Trattamento di categorie particolari di dati personali: l'attuale quadro giuridico in Turchia
Sono state apportate modifiche alla legge sulla protezione dei dati personali n. 6698 (“Legge”) attraverso la Legge n. 7499, pubblicata nella Gazzetta Ufficiale del 12 marzo 2024, con il numero 32487. Nel febbraio 2025 è stata pubblicata la Guida sul trattamento delle categorie particolari di dati personali (“Guida”) è stato pubblicato sul sito web dell’Autorità Garante per la Protezione dei Dati Personali (“Autorità").
1. introduzione
Ai sensi della legge, le categorie speciali di dati personali includono informazioni sulla razza, l'origine etnica, le opinioni politiche, le convinzioni filosofiche, la religione, la setta o altre convinzioni, l'aspetto fisico e l'abbigliamento, l'appartenenza ad associazioni, fondazioni o sindacati, la salute, la vita sessuale, le condanne penali e le misure di sicurezza, nonché dati biometrici e genetici.
Prima dell'emendamento, il trattamento di categorie particolari di dati personali era, di norma, soggetto al consenso esplicito dell'interessato. Per quanto riguarda il trattamento di tali dati senza consenso esplicito, la Legge aveva precedentemente stabilito una distinzione tra "dati relativi alla salute e alla vita sessuale" e "altre categorie particolari di dati personali.” Secondo questa distinzione:
- Altre categorie particolari di dati personali: potrebbero essere trattati senza esplicito consenso solo se espressamente previsto dalla legge.
- Dati relativi alla salute e alla vita sessuale: potrebbero essere trattati solo senza esplicito consenso, per finalità quali la tutela della salute pubblica, la medicina preventiva, la diagnosi medica, i servizi di cura e assistenza, nonché la pianificazione e la gestione dei servizi sanitari e del loro finanziamento, ma solo da persone o istituzioni soggette a un obbligo di riservatezza.
In base alla precedente normativa, i dati sanitari potevano essere elaborati quasi esclusivamente dall'Istituto di previdenza sociale, dal Ministero della salute e dalle istituzioni sanitarie. Ciò ha sollevato diverse preoccupazioni pratiche in merito all'elaborazione dei dati sanitari necessari in settori quali assicurazioni, salute e sicurezza sul lavoro e servizi sociali. Infatti, la normativa aveva limitato alcune attività di istituzioni pubbliche, stakeholder del settore privato e organizzazioni non governative, impedendo loro di adempiere ad alcuni dei loro obblighi statutari. Pertanto, gli emendamenti miravano ad affrontare queste questioni pratiche e a soddisfare le attuali esigenze.
2. Situazione attuale
Con le recenti modifiche, la distinzione tra “dati relativi alla salute e alla vita sessuale” e "altre categorie particolari di dati personali” è stato eliminato. Di conseguenza, i dati relativi alla salute e alla vita sessuale non sono più soggetti a basi giuridiche diverse per l'elaborazione rispetto ad altre categorie speciali di dati personali. Inoltre, le condizioni di elaborazione sono state riviste per applicarsi uniformemente a tutte le categorie speciali di dati personali e sono state introdotte basi giuridiche aggiuntive.
Secondo la nuova normativa, le categorie particolari di dati personali possono essere trattate alle seguenti condizioni:
a) Consenso esplicito dell'interessato: Se l'interessato fornisce un consenso esplicito, le sue categorie speciali di dati personali possono continuare a essere trattate sulla base di tale consenso. Non esiste alcuna differenza gerarchica tra il consenso esplicito e le altre basi giuridiche elencate di seguito. Tuttavia, è opportuno notare che il consenso esplicito deve continuare a rispettare i principi generali stabiliti dalla Legge.
b) Espressamente previsto dalla legge: Categorie particolari di dati personali possono essere elaborate senza il consenso esplicito dell'interessato se espressamente previsto dalla legge. Ad esempio, ai sensi dell'articolo 5 della legge 2559 sui poteri e doveri della polizia, i dati delle impronte digitali possono essere raccolti da individui che richiedono una patente di guida o un passaporto. La Guida chiarisce che anche regolamenti quali statuti, comunicati e circolari emanati ai sensi dell'autorità esplicitamente concessa dalla legge per l'elaborazione di categorie particolari di dati personali rientreranno in questa base giuridica.
c) Impossibilità pratica: Se un interessato non è in grado di fornire il consenso a causa di una situazione di impossibilità pratica/disabilità o il suo consenso è giuridicamente invalido, categorie speciali di dati personali possono essere elaborate senza consenso se essenziale per proteggere la vita o l'integrità fisica dell'interessato o di un'altra persona. Un esempio di questa base giuridica è l'elaborazione di informazioni sul gruppo sanguigno di una persona e sulle malattie passate in una situazione medica di emergenza in cui l'individuo è incosciente.
d) Dati resi pubblici dall'interessato: Se l'interessato ha reso pubbliche le sue categorie speciali di dati personali, tali dati possono essere trattati senza consenso, a condizione che il trattamento sia in linea con l'intento dell'interessato. Ad esempio, se un individuo condivide pubblicamente le informazioni sul suo gruppo sanguigno e sulle allergie per scopi di emergenza, tali dati possono essere utilizzati a tale scopo. Va sottolineato che il semplice fatto che l'interessato abbia reso pubbliche le sue categorie speciali di dati personali non è di per sé sufficiente; il titolare del trattamento dei dati deve agire in conformità con l'intenzione o lo scopo di divulgazione dell'interessato quando elabora tali dati.
e) Costituzione, esercizio o tutela dei diritti legali: Categorie speciali di dati personali possono essere elaborate senza consenso se essenziali per l'istituzione, l'esercizio o la protezione di un diritto legale. Ad esempio, un datore di lavoro può conservare i dati sanitari di un ex dipendente per potenziali controversie legali a seguito della risoluzione di un contratto di lavoro.
Analogamente, nei casi in cui non è possibile per un avvocato far valere i diritti del proprio cliente in altro modo, la presentazione al tribunale di categorie speciali di dati personali ottenuti legalmente come parte del fascicolo del caso può essere considerata una base giuridica per il trattamento. Come altro esempio, nei casi in cui il trattamento di categorie speciali di dati personali, come informazioni sulla disabilità o sulla salute relative ai coniugi e ai figli dei dipendenti, è richiesto per il pagamento degli stipendi, anche il trattamento di tali dati da parte del datore di lavoro può essere considerato in questo ambito.
f) Servizi sanitari e necessità simili: Le persone o le istituzioni e le organizzazioni autorizzate e tenute alla riservatezza possono continuare a trattare categorie particolari di dati personali senza ottenere il consenso esplicito se necessario per la tutela della salute pubblica, della medicina preventiva, della diagnosi medica, dei servizi di cura e assistenza, nonché per la pianificazione, la gestione e il finanziamento dei servizi sanitari.
Il Ministero della Salute, tutti i tipi di istituzioni sanitarie e l'Istituto di Previdenza Sociale sono considerati in questo ambito per quanto riguarda i dati che raccolgono per scopi specifici. La Guida indica che il termine "istituzioni e organizzazioni autorizzate” include non solo istituzioni e organizzazioni pubbliche ma anche individui e persone giuridiche private che forniscono servizi sanitari. Il termine “persone tenute al segreto professionale" include tutti gli operatori sanitari, nonché coloro che, anche se non sono operatori sanitari, sono coinvolti nella fornitura di servizi sanitari.
g) Adempimento degli obblighi legali in materia di lavoro: Categorie particolari di dati personali possono essere trattate senza il consenso esplicito dell'interessato se essenziale per adempiere agli obblighi di legge in materia di occupazione, salute e sicurezza sul lavoro, previdenza sociale, servizi sociali e assistenza sociale.
Esempi di questa base giuridica includono: i datori di lavoro che elaborano dati sanitari o di condanne penali per adempiere al loro obbligo di impiegare persone disabili o condannate ai sensi della legge sul lavoro n. 4857 (articolo 30), l'elaborazione di dati sanitari per gli esami sanitari richiesti dai contratti di contrattazione collettiva (legge sui sindacati e sui contratti di contrattazione collettiva n. 6356, articolo 36(1)) e l'elaborazione di dati sanitari e di condanne penali per i conducenti (regolamento sui trasporti su strada, articolo 34) e il personale di sicurezza (legge n. 5188 sui servizi di sicurezza privata, articolo 10).
h) Appartenenza a fondazioni, associazioni ed enti senza scopo di lucro: Categorie particolari di dati personali (degli attuali o ex membri e degli individui che sono in contatto regolare con tali organizzazioni) possono essere trattate senza esplicito consenso da fondazioni, associazioni e organizzazioni senza scopo di lucro costituite per scopi politici, filosofici, religiosi o sindacali, a condizione che il trattamento sia conforme al loro quadro giuridico e ai loro obiettivi, sia limitato alle loro attività e non sia comunicato a terzi.
Ad esempio, il trattamento delle informazioni relative agli attuali membri, così come agli ex membri e alle persone che sono regolarmente in contatto tramite donazioni, sarà considerato in questo ambito. Analogamente, un sindacato può trattare solo i dati relativi all'iscrizione al sindacato in relazione al suo ambito di attività e obiettivi. Tuttavia, i dati personali relativi alla salute o alla religione dei membri del sindacato non possono essere trattati se non sono correlati all'ambito di attività e obiettivi.
Alcune delle basi giuridiche di cui sopra contengono i termini “necessario” o “essenziale”. Secondo la Guida:
- Il termine "necessario" significa che le attività di elaborazione dei dati devono essere valutate caso per caso giustificando l'uso dei dati personali sulla base di prove oggettive. Implica inoltre che deve esserci una connessione tra i dati elaborati e lo scopo legittimo rivendicato, in linea con il principio di pertinenza, limitazione e proporzionalità allo scopo per cui vengono elaborati.
- Il termine "essenziale" non si basa su una valutazione soggettiva, ma si riferisce a una situazione in cui le condizioni pubbliche e sociali richiedono il trattamento di categorie speciali di dati personali. In tali attività di trattamento, non deve esserci alcun metodo alternativo per il trattamento di categorie speciali di dati personali, rendendo l'attività di trattamento inevitabile nell'ambito dello scopo specificato.
Pertanto, prima di avviare il trattamento di categorie particolari di dati personali sulla base di una qualsiasi di queste basi giuridiche, è opportuno effettuare una valutazione approfondita per determinare se tali criteri siano soddisfatti.
3. CONCLUSIONE
A seguito delle modifiche, i titolari del trattamento che trattano categorie particolari di dati personali devono rivedere i processi basati sul consenso esplicito, aggiornare i propri inventari di trattamento dei dati personali, le informative e le policy di conservazione e distruzione.
Il requisito di prendere “misure adeguate” rimane invariato. Le categorie speciali di dati personali devono continuare a essere elaborate in conformità con le disposizioni del Consiglio per la protezione dei dati personali decisione datata 31 gennaio 2018 e numerata 2018/10 in merito alle misure adeguate che devono essere adottate dai titolari del trattamento dei dati nel trattamento di categorie particolari di dati personali. Se non sono ancora state implementate misure adeguate, le organizzazioni devono garantire la conformità il prima possibile.
Inoltre, i titolari del trattamento dei dati che elaborano dati genetici e/o biometrici devono anche considerare i principi delineati nella Guida al trattamento dei dati genetici e Linee guida sulle considerazioni nel trattamento dei dati biometrici.
