I. PROTEZIONE DEI DATI PERSONALI OVERVIEW
La protezione dei dati personali è stata per molti anni un argomento controverso in Turchia, principalmente a causa delle procedure di ascensione dell'Unione Europea. Sebbene la Turchia abbia firmato e sia quindi parte del Trattato dell'Unione Europea n. 108 Convenzione per la protezione delle persone rispetto al trattamento automatizzato dei dati personali (Trattato 108) già nel 1981, le successive normative locali non sono mai state recepite e quindi il Trattato 108 mai entrato in vigore.
Per ovviare a ciò, la Turchia ha adottato una nuova legge in materia di protezione dei dati personali, la Legge sulla protezione dei dati personali n. 6698, pubblicata sulla Gazzetta legislativa del 7 aprile 2016 e n. 29677 (la Legge), attuando quindi di fatto il Trattato 108 a livello nazionale.
Questa legge è vista come un miglioramento molto necessario nella protezione dei dati personali e stabilisce nuove responsabilità nei confronti di titolari di dati, supervisori e responsabili del trattamento per mantenere tali dati personali in ogni momento privati. Tuttavia, la legge ha definizioni alquanto vaghe quando si tratta di definire ciò che costituisce un dato personale, che si può trovare anche nel Trattato 108.
Queste definizioni vaghe consentono una definizione flessibile di ciò che costituisce un dato personale, il che consente di considerare diversi insiemi di dati come dati personali senza la necessità di modifiche legislative. Tuttavia, può anche causare ambiguità e confusione riguardo a determinati set di dati, come i dati biometrici. Di conseguenza, al fine di determinare le regole relative all'utilizzo dei dati biometrici, dovrebbero essere esaminati in primo luogo i principi generali e la definizione dei dati personali.
II. DEFINIZIONE DI DATI PERSONALI E METODI DI LAVORAZIONE
L'articolo 2 della Legge definisce i dati personali come "ogni informazione relativa a una persona fisica identificata o identificabile", mentre l'articolo 6 prevede che "dati personali relativi alla razza, all'origine etnica, alle opinioni politiche, alle convinzioni filosofiche, alla religione, alla setta o ad altro credo, all'abbigliamento, all'appartenenza ad associazioni, fondazioni o sindacati, alla salute, alla vita sessuale, alle convinzioni e alle misure di sicurezza, nonché gli aspetti biometrici e genetici i dati sono considerati dati personali di natura speciale".
L'articolo 2 definisce anche il trattamento dei dati personali come "qualsiasi operazione compiuta su dati personali quali raccolta, registrazione, conservazione, conservazione, alterazione, riorganizzazione, divulgazione, trasferimento, subentro, rendere recuperabile, classificazione o impedirne l'uso, in tutto o in parte con mezzi automatizzati o a condizione che il processo fa parte di qualsiasi sistema di registrazione dei dati, attraverso mezzi non automatici".
Pertanto, anche la raccolta, la registrazione e/o la conservazione di dati personali sarà considerata un trattamento di dati e sarà quindi soggetta alle rigide regole procedurali previste dalla Legge. Pertanto, qualsiasi azione prevista dall'articolo 2 in merito a dati personali è subordinata al consenso esplicito del titolare del trattamento ai sensi dell'articolo 5. Naturalmente, esistono alcune eccezioni a tale regola. Ai sensi dell'articolo 5, un dato personale può essere trattato senza il consenso esplicito del titolare del trattamento se:
a) è chiaramente previsto dalla legge,
b) è obbligatorio per la tutela della vita o dell'integrità fisica della persona o di qualsiasi altra persona che sia fisicamente incapace di prestare il proprio consenso o il cui consenso non sia ritenuto giuridicamente valido,
c) il trattamento dei dati personali appartenenti alle parti di un contratto, è necessario purché direttamente correlato alla conclusione o all'adempimento di tale contratto,
d) è obbligatorio per il titolare del trattamento poter adempiere ai propri obblighi di legge,
e) i dati interessati sono messi a disposizione del pubblico dall'interessato stesso,
f) il trattamento dei dati è obbligatorio per l'accertamento, l'esercizio o la tutela di qualsiasi diritto,
g) è obbligatorio per i legittimi interessi del titolare, a condizione che tale trattamento non violi i diritti e le libertà fondamentali dell'interessato.
III. OBBLIGHI DEL TITOLARE E DIRITTI DEL TITOLARE
- Obblighi del Titolare
Ai sensi dell'articolo 10, durante la raccolta e/o il trattamento dei dati, il titolare del trattamento o i soggetti da esso autorizzati sono tenuti a informare il titolare del trattamento circa (a) l'identità del titolare e di tutti i suoi rappresentanti, (b) la finalità del trattamento dei dati, (c) a chi e per quali finalità i dati trattati possono essere trasferiti e (d) le modalità e la ragione giuridica della raccolta dei dati personali.
Inoltre, i titolari del trattamento sono altresì tenuti ad adottare tutte le misure, tecniche e amministrative, necessarie per prevenire accessi e/o trattamenti illeciti di tali dati. Se i dati sono trattati/trattati da soggetti terzi autorizzati, il titolare del trattamento è corresponsabile insieme al terzo dell'adozione di tali misure preventive e della sicurezza dei dati raccolti.
- Diritti del Titolare
Oltre agli obblighi imposti ai titolari del trattamento, i titolari dei dati hanno anche una discreta quantità di diritti previsti dalla Legge. Ai sensi dell'articolo 11, i titolari dei dati hanno il diritto di richiedere al titolare del trattamento informazioni in merito al fatto che i suoi dati personali siano trattati o in altro modo conservati e raccolti, in caso affermativo, a quale fine e in quale misura i dati personali siano oggetto di trattamento , le informazioni relative ai terzi che hanno accesso a tali informazioni, se presenti, per chiedere la rettifica delle informazioni incomplete o inesatte, se presenti, per richiedere la cancellazione e/o distruzione dei dati personali rilevanti e per chiedere il risarcimento del danno subito per trattamento illecito di dati personali.
I due importanti diritti per i titolari dei dati qui sono il diritto di chiedere la rettifica delle informazioni incomplete o inesatte e il diritto di chiedere il risarcimento dei danni subiti a causa del trattamento illecito dei dati. Ciò conferisce di fatto al titolare il potere di cancellare e distruggere i propri dati personali oggetto di trattamento o che sono stati trattati in passato, nonché il diritto di chiedere un risarcimento qualora i titolari del trattamento violino gli obblighi derivanti dalla legge.
IV. DEFINIZIONE DEI DATI BIOMETRICI
Fino a poco tempo la normativa non prevedeva una definizione separata per i dati biometrici o una definizione chiara ed estensiva di ciò che costituisce un dato personale. I dati personali sono stati invece definiti come “tutte le informazioni relative a una persona fisica identificata o identificabile”. L'unica altra classificazione relativa ai dati personali è la definizione di "dati personali di natura speciale" di cui all'articolo 6 (come sopra indicato).
Sebbene questo articolo 6 sia una traduzione quasi diretta dell'articolo 6 del Trattato 108, c'è una differenza cruciale. Già nel 1981, quando il Trattato 108 è stato attuato per la prima volta, il termine dati biometrici non esisteva, e quindi questo termine non era incluso nel testo originale del Trattato 108 ei dati biometrici non erano classificati come dati personali di natura speciale. L'articolo 6 della legge, tuttavia, osserva che "dati biometrici e genetici” sono considerati dati personali di natura speciale.
Un dato interessante da segnalare è il precedente della Corte d'Appello in merito ai dati biometrici (emessi prima dell'attuazione della Legge). Secondo il precedente stabilito dalla Corte d'Appello, “le impronte digitali e i campioni biologici come campioni di DNA, capelli, saliva e unghie” sono considerati dati personali.
Inoltre, la Corte Costituzionale, richiamandosi ai pertinenti articoli del Trattato 108, ha stabilito che "i dati ottenuti con metodi biometrici" sono da considerarsi dati personali, tuttavia, tali dati non possono essere considerati "dati personali estremamente sensibili come le opinioni politiche , credenze religiose, salute, vita sessuale o condanne penali di cui all'articolo 6 del Trattato 108”. Non è quindi chiaro come questo precedente della Corte debba essere rivisto alla luce delle nuove modifiche apportate alla legge, sebbene sia previsto che la Corte d'Appello modifichi questo precedente in conformità con la nuova legge.
V. ELABORAZIONE DEI DATI BIOMETRICI
Con i recenti progressi tecnologici e le tecnologie biometriche che stanno diventando più economiche, la domanda e l'accesso a tali tecnologie sono aumentati drasticamente. Gli scanner biometrici sono sempre più utilizzati nella sicurezza (soprattutto nelle aziende tecnologiche dove le informazioni riservate sono di alto valore e nelle grandi aziende, holding che hanno un gran numero di dipendenti) e per scopi di identificazione (soprattutto nel settore medico, negli ospedali, nelle cliniche ecc.).
La questione più importante nell'utilizzo dei dati biometrici a fini di sicurezza e/o identificazione è l'ottenimento del consenso esplicito del titolare del trattamento. Se è necessario il consenso di ogni titolare dei dati, come possono le aziende utilizzare i sistemi di sicurezza che richiedono dati biometrici (come stanze sicure/riservate accessibili da lettori di impronte digitali) se uno o più dei loro dipendenti si rifiutano di fornirli, o le aziende possono richiedere ai propri dipendenti utilizzare scanner biometrici per tenere traccia dei loro turni, oppure il settore medico può richiedere dati biometrici prima di fornire assistenza medica per verificare l'identità dei pazienti?
Queste sono tutte questioni controverse a causa del recente sviluppo della tecnologia che consente l'implementazione di tali sistemi a un prezzo molto più conveniente. Inoltre, gli scanner biometrici e i sistemi di sicurezza sono probabilmente più sicuri delle semplici password, che possono essere violate, o dei sistemi di identificazione più sicuri della firma di una persona, che può essere duplicata.
Purtroppo la Legge e le successive normative non forniscono risposte chiare a questi problemi. Pertanto, le alte corti (principalmente Corte d'Appello, Consiglio di Stato e Corte Costituzionale) hanno pronunciato, caso per caso, pronunce diverse per situazioni diverse, a seconda del principio di proporzionalità.
- Dati biometrici nel settore medico ai fini dell'identificazione del paziente
Secondo l'articolo 67 della legge sulla sicurezza sociale e sull'assicurazione sanitaria generale n. 5510, gli ospedali statali in Turchia possono richiedere ai loro pazienti di fornire i loro dati biometrici come mezzo per verificare l'identificazione del paziente (l'articolo afferma che i pazienti sono tenuti a provare la propria identità tramite mezzi biometrici o con carta d'identità, patente di guida, certificato di matrimonio o passaporto, per usufruire dei servizi sanitari).
Di conseguenza, alcuni ospedali statali hanno iniziato a utilizzare controlli biometrici per verificare l'identità del paziente richiedente e ciò ha suscitato alcune polemiche, poiché è stato visto come una violazione del diritto alla privacy.
Infine, nel 2014, il Consiglio di Stato ha proposto ricorso alla Corte Costituzionale per l'annullamento delle disposizioni rilevanti del presente articolo 67 contestando la violazione degli articoli 2, 13 e 20 della Costituzione. La Corte Costituzionale ha respinto l'istanza e stabilito che i dati biometrici possono essere richiesti dagli ospedali statali per verificare l'identità del paziente e ciò non viola il diritto alla privacy sancito dalla Costituzione.
La motivazione addotta dalla Corte in questa decisione è che, poiché la verifica dell'identità tramite mezzi biometrici è più sicura contro l'uso non autorizzato, in quanto tali dati non possono essere falsificati, è molto più efficace nel contrastare la corruzione negli uffici pubblici.
In altre parole, la Corte ha ritenuto di fondamentale importanza prevenire l'abuso del sistema sanitario e, rispetto alla violazione del diritto alla privacy, tale disposizione non viola il principio di proporzionalità. Pertanto, la Corte ha ritenuto che tale disposizione non violasse la costituzione in quanto vi era proporzionalità tra i diritti tutelati (integrità del sistema sanitario) e quelli violati (diritto alla privacy).
- Dati biometrici per i controlli dei turni dei dipendenti
Questo è un altro problema, soprattutto per quanto riguarda le grandi aziende e le holding che hanno un gran numero di dipendenti. Queste aziende utilizzano diversi sistemi per controllare e registrare l'orario di lavoro dei propri dipendenti, come fogli di firma o sistemi di carte. Tuttavia, un altro sistema che può essere utilizzato è un sistema di scansione delle impronte digitali in cui i dipendenti timbrano l'orario di arrivo e di partenza scansionando le loro impronte digitali.
Un ospedale statale in Turchia ha iniziato a utilizzare un'applicazione di controllo del turno di questo tipo che teneva traccia delle ore di turno dei dipendenti tramite scanner di impronte digitali. Successivamente è stata intentata una causa contro questa applicazione obbligatoria di scansione delle impronte digitali, che è stata definitivamente decisa dal Consiglio di Stato.
Il Consiglio di Stato ha stabilito con tale decisione che le impronte digitali di una persona devono essere considerate un'entità inscindibile della vita privata di quella persona e quindi sono tutelate dal diritto alla privacy di cui all'articolo 20 della Costituzione. Inoltre, la Corte ha stabilito che esistono altri e ugualmente competenti mezzi per tracciare i turni dei dipendenti e il beneficio che si può trarre da tale applicazione di tracciabilità, anche nel settore pubblico, è irrilevante rispetto alla violazione del diritto alla privacy. Pertanto, il Consiglio di Stato ha stabilito che tali applicazioni violano la Costituzione e che i dipendenti non possono essere obbligati a utilizzare i sistemi di scansione delle impronte digitali per il rilevamento dei turni anche nel settore pubblico.
- Dati biometrici per stanze sicure/riservate
Un'altra tendenza negli affari, in particolare nelle aziende tecnologiche, è l'implementazione di stanze sicure per archiviare in modo sicuro le informazioni riservate. Ciò è particolarmente richiesto dalle società straniere rispetto alle loro controparti turche nei casi in cui vengono scambiate informazioni altamente riservate e riservate tra le parti. Queste stanze sicure erano protette da sistemi che utilizzavano password semplici, mentre attualmente le aziende richiedono stanze sicure accessibili solo tramite dati biometrici, come impronte digitali, scanner retinici o face ID (poiché sono considerati più sicuri delle password).
Tuttavia, le stanze sicure accessibili dai dati biometrici sollevano ancora una volta la questione del consenso. Poiché le aziende hanno bisogno che uno o più dei loro dipendenti abbiano accesso a queste stanze sicure, devono ottenere i dati biometrici di tali dipendenti per implementare correttamente una stanza sicura. Sebbene non ci siano ancora sentenze specifiche dell'alta corte in merito a questo problema, la decisione del Consiglio degli Stati sull'utilizzo dei dati biometrici per i controlli dei turni dei dipendenti (indicata sopra) dovrebbe servire come una buona base.
Applicando tale decisione al caso di specie, è evidente che il beneficio che si guadagnerà dall'implementazione di una camera sicura (nelle aziende private) sarà irrilevante rispetto alla violazione del diritto alla privacy. Pertanto, le aziende non possono richiedere dati biometrici ai propri dipendenti per l'implementazione di camere sicure e non possono risolvere i contratti di lavoro sulla base del rifiuto di un dipendente di fornire tali dati. Tuttavia, è ancora possibile ottenere tali dati da dipendenti consenzienti (sebbene tale consenso debba essere formulato con attenzione per evitare di violare qualsiasi disposizione di Legge).
VI. CONCLUSIONE
Le normative in Turchia in materia di protezione dei dati personali sono ancora piuttosto nuove e, pertanto, finora non ci sono precedenti giudiziari stabiliti. Le sentenze dei tribunali attualmente disponibili sono generalmente datate prima dell'attuazione della legge e, sebbene alcune di esse facciano riferimento al Trattato 108, dovremo ancora attendere alcuni anni affinché le alte corti stabiliscano un precedente specifico per la legge stessa, e suoi regolamenti secondari. È quindi estremamente importante che le aziende dispongano di testi completi sulla protezione dei dati personali (testi informativi e moduli di consenso) al fine di evitare ogni possibile responsabilità futura che potrebbe essere imposta dai precedenti giudiziari.
Per ulteriori informazioni e assistenza in merito, non esitate a contattarci
