Avv. Ali Yurtsever LLM
Trattamento dei dati personali e LPDP
Il panorama legale che circonda i dati digitali è cambiato e si è evoluto costantemente nel corso degli anni. Il ritmo generale di questo cambiamento è aumentato con l'implementazione da parte dell'Europa del GDPR, che ha spinto altri paesi ad adattarsi a questo nuovo insieme di regole e regolamenti. Per stare al passo con le modifiche legislative internazionali, la Turchia ha anche promulgato la legge sulla protezione dei dati personali n. 6698 ("l'LPDP") e ha imposto nuove regole e obblighi (simili alla direttiva 95/46/CE) per il trattamento dei dati personali in Turchia. (Si prega di fare riferimento al nostro precedente articolo “Protezione dei dati personali in Turchia” per una panoramica delle disposizioni LPDP).
L'attuazione dell'LPDP ha comportato anche ulteriori requisiti di conformità e responsabilità per le aziende che controllano e/o elaborano in altro modo i dati personali. Tuttavia, il raggiungimento della piena conformità a LPDP e al Garante per la protezione dei dati personali (DPA) le decisioni non sono un compito facile, in quanto le imprese sono chiamate a mettere in atto diversi provvedimenti, dalla redazione di nuovi documenti relativi al trattamento dei dati personali agli ulteriori provvedimenti amministrativi e tecnici previsti dal Garante. Per avere una migliore comprensione dell'LPDP e delle sue potenziali responsabilità, fare riferimento al nostro precedente articolo "Protezione dei dati in Turchia" (disponibile anche qui).
Sebbene possa sembrare complesso, uno dei passaggi più importanti per raggiungere la piena conformità con l'LPDP è comprendere appieno quando e dove le aziende, i responsabili del trattamento e gli incaricati del trattamento dei dati possono condurre legalmente attività di trattamento dei dati personali. Di conseguenza, l'articolo 5 del LPDP delinea 8 principi (noti anche come condizioni generali) per il trattamento lecito dei dati:

Condizioni Generali per il Trattamento Lecito dei Dati Personali
Come illustrato nel grafico sopra, il LPDP consente il trattamento dei dati personali se; (i) il titolare del trattamento presta esplicito consenso, (ii) è chiaramente previsto dalla normativa, (iii) necessario per tutelare i legittimi interessi del titolare, (iv) obbligatorio per l'accertamento, l'esercizio o la tutela di un diritto , (v) sono comunicati al pubblico dal titolare del trattamento dei dati, (vi) rilevanti per la stipula, l'esecuzione e la conclusione di un contratto, (vii) necessari per la tutela della vita e/o dell'integrità fisica del titolare, nelle situazioni in cui non è possibile ottenere il consenso esplicito, or (viii) obbligatorio per il titolare del trattamento per adempiere agli obblighi di legge.
Il motivo principale per cui l'LPDP fornisce numerose basi legali per il trattamento dei dati è impedire che queste norme sulla protezione dei dati personali ostacolino le attività commerciali B2C quotidiane. In particolare le basi relative all'interesse legittimo, all'esercizio di un diritto e all'esecuzione di un contratto sono specificamente finalizzate a consentire ai titolari/responsabili del trattamento di trattare i dati dei propri clienti necessari per l'esecuzione dello specifico contratto stipulato tra gli stessi.
Ciò non significa, tuttavia, che i titolari/incaricati del trattamento dei dati possano trattare i dati di loro piacimento senza effettuare le necessarie verifiche e revisioni, in quanto alcune condizioni sopra indicate si escludono a vicenda, il che significa che uno non può essere presente se a quei dati personali specifici è applicabile un'altra base giuridica in lavorazione.
Di conseguenza, una delle principali questioni da rilevare in questa sede è che se la liceità del trattamento dei dati non si basa sul consenso esplicito ma si basa piuttosto su una delle restanti 7 condizioni sopra indicate, i titolari del trattamento dovrebbero astenersi dall'ottenere consensi aggiuntivi.
Problemi con l'ottenimento dei consensi di garanzia
Uno degli errori più comuni commessi dai titolari e dai responsabili del trattamento è quello di cercare di ottenere il consenso dai relativi titolari dei dati, qualora una o più delle altre condizioni di trattamento dei dati siano soddisfatte. Ottenere un consenso separato da un cliente per i dati personali necessari per eseguire un contratto può essere un buon esempio in questo caso.
Questi sono chiamati “Consensi di garanzia”, in quanto generalmente ottenuti perché i titolari del trattamento vogliono garantire di essere protetti dalle sanzioni LPDP. Tuttavia, questi consensi di garanzia fanno più male che bene, in quanto il Garante non accetta tali clausole di consenso di garanzia e afferma esplicitamente che se una delle altre 7 condizioni generali (diverse dal consenso) è applicabile al trattamento dei dati personali, i dati i titolari del trattamento non dovrebbero ottenere un consenso separato per tale trattamento.
Il Garante sostiene che una clausola di consenso (di garanzia) indurrà il titolare del trattamento a ritenere di poter revocare il consenso in qualsiasi momento e quindi a chiedere al titolare del trattamento l'interruzione del trattamento. Tuttavia, nei casi in cui si applichi una delle altre 7 condizioni, questa falsa impressione causata dalla clausola del consenso fuorvia i titolari dei dati, in quanto il titolare del trattamento può (e in alcuni casi è obbligato) continuare a trattare i dati anche se il titolare dei dati revoca il consenso, sulla base di una o più delle altre 7 condizioni generali, in quanto applicabili ai dati rilevanti.
Questi consensi di "garanzia" possono anche portare a provvedimenti amministrativi e sanzioni emesse dal DPA, poiché il DPA considera questi tipi di consensi come violazioni dei principi LPDP [per una revisione dettagliata delle sanzioni amministrative LPDP, fare riferimento al nostro precedente articolo "Come fare ricorso contro le sanzioni amministrative inflitte dall'autorità turca per la protezione dei dati", (anche disponibile qui)].
È, quindi, imperativo che le aziende e i titolari del trattamento conducano una valutazione completa dei dati personali che andranno a trattare per determinare con precisione se una o più delle suddette 7 condizioni (ad eccezione del consenso) sono applicabili a quello specifico set di dati . In caso affermativo, dovrebbero astenersi dall'ottenere consensi aggiuntivi dai proprietari dei dati. Considerando che se nessuna delle 7 condizioni si applica allo specifico set di dati, saranno necessari consensi espliciti per elaborare legittimamente tali dati.