Ley turca de protección de datos personales nº 6698

La Ley turca de protección de datos personales n.º 6698, también conocida como Ley de protección de datos, es una ley integral de protección de datos que se aprobó en Turquía en 2016. Antes de la aprobación de la Ley de Protección de Datos, Turquía aún no había adoptado ninguna legislación relacionada con la protección de los derechos de privacidad de los datos. Como tal, Turquía trató de proporcionar a los ciudadanos de su país derechos de protección de datos al mismo nivel que los ofrecidos por el Reglamento General de Protección de Datos (RGPD) de la UE. Con este fin, la Ley de Protección de Datos describe las diversas restricciones y responsabilidades que deben cumplir los responsables del tratamiento al procesar los datos personales de los ciudadanos turcos.

¿Cuál es el ámbito de aplicación y la aplicabilidad de la Ley de Protección de Datos?

A diferencia del Reglamento General de Protección de Datos, la Ley de Protección de Datos de Turquía no contiene ningún ámbito territorial específico. Alternativamente, la Ley de Protección de Datos se aplica a:

• Las personas físicas cuyos datos personales sean objeto de tratamiento
• Las personas físicas o jurídicas que traten dichos datos total o parcialmente por medios automatizados o no automatizados únicamente para el tratamiento que forme parte de cualquier sistema de registro de datos previsto en la Ley.

En cuanto al ámbito de aplicación material de la ley, la Ley de Protección de Datos define los datos personales “como toda operación realizada sobre datos personales, como la recogida, grabación, almacenamiento, conservación, alteración, organización, difusión, transferencia, comunicación, puesta a disposición, clasificación o impedir su uso, en su totalidad o en parte, mediante procedimientos automatizados o no automatizados, únicamente para el proceso que forme parte de cualquier sistema de registro de datos”. Como tal, cualquier sistema estructurado que se utilice para facilitar el acceso a los datos personales de los ciudadanos turcos de acuerdo con un criterio específico entrará en el ámbito de aplicación de la Ley de Protección de Datos.

¿Cuáles son los requisitos que la Ley de Protección de Datos impone a los responsables del tratamiento?

Como ocurre con muchas otras leyes de protección de la intimidad en todo el mundo, la Ley de Protección de Datos establece varios principios de protección de datos que los responsables del tratamiento deben respetar al tratar los datos personales de los interesados. Estos principios incluyen:

• Los datos personales deben tratarse de forma lícita y leal.
• Los datos personales deben ser exactos y, en caso necesario, mantenerse actualizados.
• Los datos personales deben tratarse con fines específicos, explícitos y legítimos.
• Los datos personales deben ser pertinentes, limitados y proporcionados a los fines para los que se tratan.
• Los datos personales sólo podrán conservarse durante el periodo de tiempo que determine la ley, o durante el periodo que se considere necesario para los fines previstos del tratamiento de datos.
• Los responsables del tratamiento están obligados a impedir tanto el tratamiento ilícito de datos personales como el acceso ilícito a los mismos, y a garantizar su conservación.
• Los responsables del tratamiento están obligados a realizar las auditorías necesarias para garantizar que cumplen la ley.
• Los responsables del tratamiento están obligados a cumplir las condiciones de transferencia de datos para las transferencias de datos dentro del país, así como para las transferencias de datos transfronterizas.
• Los responsables del tratamiento también son responsables de crear un inventario de datos para todos los datos personales tratados en Turquía. Este inventario de datos debe incluir información identificativa, las categorías de datos, la finalidad prevista del tratamiento de datos, los grupos de interesados, el destinatario o los grupos de destinatarios a los que pueden transferirse los datos personales, información relativa a si la categoría de datos pertinente se transfiere al extranjero, las medidas de seguridad de los datos que deben adoptar los responsables del tratamiento asociados y el periodo máximo de tiempo durante el cual se tratarán los datos personales.

¿Cuáles son los derechos de los interesados en virtud de la Ley de Protección de Datos?

En virtud de la Ley de Protección de Datos, los interesados tienen una serie de derechos de acuerdo con la ley. Entre estos derechos figuran los siguientes

• El derecho del interesado a solicitar información sobre si sus datos personales han sido o están siendo tratados.
• Derecho a solicitar información sobre cómo se han tratado sus datos, en caso de que se hayan tratado.
• Derecho a solicitar información sobre la finalidad prevista del tratamiento de datos, así como sobre si los datos de un interesado se han utilizado de forma coherente con dicha finalidad.
• Derecho a solicitar información sobre la identidad de las personas físicas o jurídicas con las que se hayan compartido los datos personales del interesado.
• Derecho a solicitar que el responsable del tratamiento rectifique, borre o elimine los datos personales de un interesado.
• El derecho a solicitar información que confirme si los datos de un interesado se transfieren o no, así como el derecho a solicitar información relativa a si el responsable del tratamiento asociado ha advertido o no a los terceros a los que se han transferido estos datos acerca de la corrección, supresión y eliminación de dichos datos, en caso de que el interesado solicite tales cambios.
• Derecho a oponerse a cualquier consecuencia negativa que pueda derivarse del análisis de los datos del interesado exclusivamente mediante el uso de sistemas automatizados.
• Los derechos de acceso, rectificación, supresión y a ser informado.
• El derecho a solicitar una indemnización en caso de que se vulnere alguno de los derechos antes mencionados.

En cuanto a las sanciones y penas por incumplimiento, los responsables del tratamiento de datos que sean declarados infractores están sujetos a diversas penas. Estas sanciones incluyen penas de prisión de seis meses a cuatro años y multas administrativas que oscilan entre 5.000 TRY (575 $) y 1 millón TRY (115.190 $), así como el derecho de los interesados a reclamar una indemnización por la recogida o el tratamiento ilícitos de sus datos personales. Además, pueden imponerse multas sectoriales a las empresas y organizaciones que infrinjan la ley, que pueden llegar hasta el 3% de las ventas netas de un año natural.

Como Turquía era uno de los muchos países de todo el mundo que aún no había aprobado una legislación integral sobre privacidad de datos antes de la aprobación de la Ley de Protección de Datos en 2016, la ley sirve como un recurso para la protección de los derechos de privacidad de datos de los ciudadanos turcos. Dado que el objetivo era proporcionar a los ciudadanos turcos el mismo nivel de protección de datos que ofrece el Reglamento general de protección de datos de la UE, la ley de protección de datos de Turquía establece sanciones severas para los responsables del tratamiento de datos que incumplan la normativa. De este modo, los derechos de protección de datos de los ciudadanos turcos pueden protegerse a toda costa.