Avv. Ali Yurtsever LLM
Consiglio per la protezione dei dati recentemente emesso un nuovo decisione e multato Amazon Turchia 1.100.000 TRL per violazioni della normativa in materia di protezione dei dati e commercio elettronico, e per illeciti trasferimenti di dati transfrontalieri in particolare per i trasferimenti di dati alle sue affiliate estere. Andando avanti, la decisione avrà serie ramificazioni per quanto riguarda i trasferimenti di dati in Turchia e, per comprendere meglio queste conseguenze, dobbiamo prima comprendere il contesto che ha portato a tale decisione.
Protezione dei dati personali in Turchia
In un'economia globalizzata in cui le aziende tecnologiche dominano e controllano gran parte del marketing dei contenuti e dove i dati sono visti come il nuovo oro, limitando e monitorando trasferimenti di dati transfrontalieri sta diventando sempre più importante, come evidenziato anche nella decisione del Consiglio per la protezione dei dati (DPB) su Amazon Turchia. A questo proposito, la Turchia sta assumendo una posizione simile a quella europea in materia di protezione dei dati, introducendo la legge sulla protezione dei dati personali n. 6698 (LLPPD), che è essenzialmente la versione turca del regolamento generale sulla protezione dei dati (GDPR).
Trasferimento di dati personali a terzi
Trasferimenti di dati personali a terzi sono regolamentati in modo abbastanza restrittivo dalla LPPD (simile alle disposizioni del GDPR). L'articolo 5 del LPPD afferma chiaramente che i titolari del trattamento non possono trasferire dati personali a terzi senza il consenso esplicito del titolare del trattamento salvo le circostanze di cui all'articolo 5 e 2. L'articolo 6 stabilisce inoltre che i trasferimenti transfrontalieri di dati sono vietati a meno che il titolare dei dati non vi acconsenta esplicitamente trasferimenti di dati transfrontalieri. L'articolo 9/2 prevede un'eccezione a questa regola e consente trasferimenti transfrontalieri di dati senza il consenso esplicito dei proprietari dei dati nei casi in cui sono applicabili le circostanze di cui agli articoli 5/2 e 6/3 e se (i) "è necessaria una protezione sufficiente forniti nel Paese estero in cui i dati devono essere trasferiti” o (ii) “i titolari del trattamento in Turchia e nel relativo Paese estero garantiscono una protezione sufficiente per iscritto e il Consiglio ha autorizzato tale trasferimento, ove non sia prevista una protezione sufficiente”.
Trasferimenti di dati ed eccezioni al consenso esplicito
Come sopra evidenziato, la regola generale per i trasferimenti di dati, sia domestici che transfrontalieri, è quella di ottenere il previo consenso esplicito del titolare del trattamento. Tuttavia, il LPPD prevede alcune esenzioni a questo requisito sia per i dati personali che per i dati personali di natura speciale, rispettivamente di cui all'articolo 5/2 e 6/3. Ai sensi dell'articolo 5/2, i dati personali possono essere trattati e ceduti a terzi senza il consenso esplicito del titolare se:
- Previsto/previsto dalla legge,
- Richiesto per la tutela della vita o dell'integrità fisica di una persona che non è fisicamente in grado di fornire il consenso,
- Richiesto per la conclusione, l'adempimento o l'approvvigionamento di servizi annotati in un contratto,
- Necessari al titolare per lo svolgimento dei propri obblighi di legge,
- I dati sono comunicati al pubblico dal titolare del trattamento,
- I dati sono ritenuti obbligatori per l'esercizio o la tutela di qualsiasi diritto, oppure
- Obbligatorio per i legittimi interessi del titolare del trattamento, a condizione che non violi i diritti e le libertà fondamentali del titolare del trattamento.
L'articolo 6/3 prevede inoltre che i dati personali di particolare natura, esclusi quelli relativi alla salute e alla vita sessuale, possono essere trattati, e trasferiti a terzi senza l'espresso consenso del titolare se previsto dalla legge.
Trasferimenti di dati transfrontalieri e problema di una protezione sufficiente
Queste disposizioni che stabiliscono eccezioni alla regola del consenso esplicito per i trasferimenti di dati transfrontalieri sono abbastanza chiare, in quanto l'articolo 9/2 stabilisce che i trasferimenti di dati transfrontalieri possono essere eseguiti senza il consenso esplicito del titolare dei dati se viene fornita una protezione sufficiente in il paese estero in cui i dati devono essere trasferiti. Tenendo conto che questo LPPD è quasi una traduzione diretta del GDPR, è ragionevole presumere che tutti i trasferimenti di dati transfrontalieri in uno o più dei paesi in cui è applicabile il GDPR saranno coperti da questa disposizione e quindi saranno esenti dal requisito del consenso esplicito.
Sfortunatamente, questo non è il caso. Il problema qui sorge dal comma 3 dello stesso articolo 9, in cui si afferma che il DPB determina e annuncia i paesi in cui viene fornito un livello di protezione sufficiente. Il DPB deve ancora annunciare tale elenco, il che significa che l'esenzione prevista dall'articolo 9/2/a non è ancora applicabile a eventuali trasferimenti di dati transfrontalieri, compresi i paesi in cui è applicabile il GDPR.
Sintesi della decisione di Amazon Turchia sui trasferimenti di dati transfrontalieri
Reclami contro Amazon Turchia
Come notato all'inizio di questo articolo, a seguito di un reclamo presentato da un utente di Amazon Turchia in merito all'elaborazione e al trasferimento illeciti dei dati, il Consiglio per la protezione dei dati ha multato Amazon Turchia 1.100.000 TRL per trasferimenti illegali di dati transfrontalieri alle sue affiliate estere e per non rispetto delle leggi sulla protezione dei dati e sull'e-commerce. Una delle principali affermazioni dichiarate in questa conformità era il fatto che Amazon Turchia includeva la frase "Potremmo trasferire i tuoi dati personali nell'Unione Europea e negli Stati Uniti al fine di archiviare ed elaborare le tue informazioni personali nel contesto delle finalità stabilite nella presente Informativa sulla privacy”, che, secondo la denuncia, ha violato gli obblighi previsti da LPPD in quanto Amazon Turchia non ha ottenuto il consenso esplicito del titolare dei dati per tali trasferimenti internazionali, ma si è limitata a notificare di poter trasferire i dati all'estero.
Decisione di Amazon Turchia di DPB sui trasferimenti di dati transfrontalieri
A seguito della denuncia, il DPB ha avviato un'indagine su Amazon Turchia e ha stabilito che, in realtà, non ha ottenuto un consenso esplicito dai proprietari dei dati per i trasferimenti di dati transfrontalieri, ma ha piuttosto fornito ai proprietari dei dati la possibilità di rinunciare o scegliere di non condividere i propri dati con terzi. Questo meccanismo di opt-out è stato ritenuto in violazione della LPPD, in quanto la legge richiede chiaramente un consenso esplicito da parte dei proprietari dei dati per i trasferimenti di dati transfrontalieri e pertanto richiede che i proprietari dei dati "accedano" esplicitamente a tali trasferimenti piuttosto che piuttosto che presumere che i proprietari dei dati abbiano acconsentito per impostazione predefinita e quindi fornire loro un'opzione di opt-out.
Poiché Amazon Turchia non ha acquisito il previo consenso esplicito dai proprietari dei dati, l'unica opzione per Amazon Turchia di effettuare legalmente trasferimenti di dati transfrontalieri in Turchia era affermare che tali trasferimenti rientravano nell'ambito delle esenzioni previste dall'articolo 9/2 LPPD.
Tuttavia, come visto in precedenza, tali esenzioni si applicano ai trasferimenti transfrontalieri di dati solo se è prevista una protezione sufficiente nel paese estero in cui i dati devono essere trasferiti e il DPB è autorizzato a determinare i paesi con livelli di protezione sufficienti ai sensi dell'articolo 9 /3. Il problema qui è, come anche accennato in precedenza, che il DPB deve ancora pubblicare tale elenco di paesi esentati e, poiché tale elenco non è ancora disponibile, questa esenzione prevista per i paesi con protezioni sufficienti non si applica ancora a nessun paese, compresa l'UE paesi in cui è applicabile il GDPR.
Poiché Amazon Turchia non può beneficiare di questa esenzione di "protezione sufficiente", resta l'esenzione finale prevista dall'articolo 9/3, in base alla quale i trasferimenti di dati transfrontalieri possono essere effettuati senza previo consenso esplicito verso paesi privi di protezione sufficiente, se i titolari del trattamento stranieri in La Turchia e nel relativo paese estero fornisce lettere di garanzia al DPB per iscritto e il Consiglio approva tale trasferimento. Si noti qui che Amazon ha effettivamente presentato una garanzia al Board per beneficiare di tale esenzione.
Tuttavia, al momento di questo reclamo e della decisione, la lettera di garanzia e la domanda di esenzione di Amazon erano ancora pendenti davanti al DPB, in attesa della decisione finale e dell'approvazione del Consiglio. L'articolo 9/3 afferma chiaramente che questa esenzione sarà applicabile solo se viene fornita una lettera di garanzia E il DPB approva i trasferimenti e poiché DPB non ha mai approvato la domanda di esenzione di Amazon Turchia, il DPB ha deciso che tali trasferimenti di dati transfrontalieri eseguiti da Amazon Turchia violavano le disposizioni dell'LPPD.
Andando avanti: effetti della decisione Amazon Turchia sui trasferimenti di dati transfrontalieri
La decisione di multare Amazon Turchia è stata una decisione molto controversa da parte del DPB. È stato controverso perché Amazon Turchia stava trasferendo dati personali verso paesi dell'UE, che avrebbero dovuto essere considerati paesi con protezione sufficiente poiché anche quei paesi sono soggetti alla regolamentazione del GDPR, e perché Amazon Turchia aveva già fornito al consiglio le lettere di garanzia necessarie di beneficiare della seconda esenzione prevista dall'articolo 9-3.
Sebbene comprendiamo da dove vengono gli argomenti contro questa decisione, riteniamo anche che la legge sia abbastanza chiara e trasparente in merito alle esenzioni. Le disposizioni LPPD stabiliscono chiaramente che le esenzioni per i trasferimenti transfrontalieri di dati sono applicabili solo se il paese in cui i dati sono trasferiti ha livelli di protezione sufficienti (da determinare dal consiglio) o se non è disponibile una protezione sufficiente, una lettera di garanzia è previsto e il trasferimento è approvato dal Consiglio.
Poiché l'elenco dei paesi esentati non è ancora stato pubblicato dal Board, l'unico modo per beneficiare delle esenzioni per il trasferimento di dati transfrontaliero è presentare una lettera di garanzia al Board e attendere l'approvazione dei trasferimenti da parte del Board. Sebbene Amazon abbia fornito una lettera di garanzia, non ha atteso l'elaborazione della domanda e l'approvazione del Consiglio e ha proseguito con i trasferimenti di dati transfrontalieri senza ottenere il consenso esplicito dai proprietari dei dati.
Al riguardo, il DPB ha ampiamente chiarito la propria posizione; se i titolari del trattamento desiderano effettuare trasferimenti di dati transfrontalieri senza ottenere espliciti consensi, devono attendere la pubblicazione dell'elenco dei paesi esentati, oppure presentare una lettera di garanzia e attendere l'approvazione del Consiglio. In caso contrario, l'LPPD richiede a tutti i responsabili del trattamento di ottenere il consenso esplicito dai proprietari dei dati prima di effettuare trasferimenti di dati transfrontalieri.
