Menù
Menù

Trasferimento dei dati personali all'estero: quadro giuridico attuale in Turchia

Pubblicata nella Gazzetta Ufficiale n. 32487 del 12.03.2024, la Legge n. 7499 ha introdotto modifiche alla Legge sulla Protezione dei Dati Personali n. 6698 (la “Legge”). Successivamente, il Regolamento sulle procedure e i principi per il trasferimento all’estero dei dati personali (“Regolamento”) è stata pubblicata ed è entrata in vigore nella Gazzetta Ufficiale n. 32598 del 10.07.2024. A gennaio 2025 è stata pubblicata la Guida sul trasferimento dei dati personali all'estero (“Guida”) è stato pubblicato sul sito web dell’Autorità Garante per la Protezione dei Dati Personali (“Autorità").

1. introduzione

In precedenza, il trasferimento di dati personali all’estero senza l’ottenimento del consenso esplicito dell’interessato, richiedeva la sussistenza di una delle condizioni previste dalla Legge, e il Garante per la protezione dei dati personali (“Tavola”) decidendo che il Paese in cui i dati sarebbero stati trasferiti aveva una protezione adeguata (essendo inserito nell'elenco dei Paesi sicuri).

Se un paese non fosse ritenuto dotato di protezione adeguata, i dati personali potrebbero comunque essere trasferiti senza il consenso esplicito dell'interessato, se fosse soddisfatta una delle condizioni di elaborazione dei dati pertinenti, a condizione che i titolari del trattamento dei dati in Turchia e nel paese interessato si impegnassero a garantire una protezione adeguata (presentando una lettera di impegno) e che il Consiglio concedesse l'autorizzazione. Per le società multinazionali che trasferiscono dati tra loro, le norme aziendali vincolanti ("BCR”) doveva essere creato e approvato dal Consiglio.

Tuttavia, a causa della mancanza di applicazione pratica delle lettere di impegno e delle BCR e del fatto che il Board ha concesso l'autorizzazione per pochissime applicazioni, il trasferimento dei dati all'estero era diventato praticamente dipendente esclusivamente dall'ottenimento del consenso esplicito degli interessati. Fino al 01.06.2024, il Board ha ricevuto 86 applicazioni presentate fornendo lettere di impegno, di cui solo 10 sono state approvate. Inoltre, sono state presentate 3 applicazioni BCR, ma nessuna di esse è stata approvata a causa di carenze procedurali e sostanziali.

Questa situazione aveva reso quasi impossibile utilizzare legalmente la maggior parte dei server situati all'estero e la maggior parte dei software e delle applicazioni basati su cloud, e stava diventando una barriera agli investimenti nel nostro Paese. In questo contesto, è stato immaginato un meccanismo alternativo a tre per il trasferimento dei dati personali all'estero. Le modifiche mirano ad allineare la legislazione al Regolamento UE 2016/679 (Regolamento generale sulla protezione dei dati (GDPR)) e ad affrontare esigenze pratiche.

2. Metodi di trasferimento

 a. Decisione di adeguatezza

 Il trasferimento dei dati all'estero può avvenire se sussiste una delle condizioni di trattamento dei dati menzionate negli articoli 5 e 6 della Legge e il Consiglio emette una decisione di adeguatezza relativa al luogo del trasferimento.

La prassi della decisione di adeguatezza è parallela alla precedente prassi della "lista dei paesi sicuri". Lo scopo di questa valutazione è confermare che il livello di protezione dei dati del paese, del settore o dell'organizzazione internazionale a cui i dati vengono trasferiti sia equivalente a quello in Turchia. Questa valutazione prenderà in considerazione fattori quali la reciprocità, la legislazione del paese in questione, l'esistenza di un'autorità indipendente ed efficace per la protezione dei dati, i rimedi amministrativi e giudiziari e se il paese è parte di trattati internazionali o membro di organizzazioni internazionali.

In precedenza, nella decisione del Consiglio datata 02.05.2019 e numerata 2019/125, era stato affermato che anche il volume degli scambi con il paese in questione sarebbe stato preso in considerazione durante la valutazione pertinente. A questo punto, come sottolineato nella Direttiva, ci si aspetta che i paesi che sono parti di trattati internazionali, di cui la Turchia è parte, siano considerati prioritari durante l'emissione della decisione di adeguatezza.

La decisione di adeguatezza che deve essere emessa dal Consiglio può riguardare non solo il paese in cui i dati saranno trasferiti, ma anche un settore specifico in quel paese o un'organizzazione internazionale. Il Consiglio esaminerà la decisione di adeguatezza almeno una volta ogni quattro anni e, se ritenuto necessario, potrà modificarla, sospenderla o revocarla. Questo periodo di quattro anni è un lasso di tempo normativo e, se il Consiglio lo ritiene necessario, potrà rivalutare la decisione di adeguatezza prima della scadenza di questo periodo.

b. Appropriato Misure di salvaguardia

In assenza di una decisione di adeguatezza, il trasferimento può comunque aver luogo se sussiste una delle condizioni di trattamento dei dati specificate negli articoli 5 e 6, a condizione che l'interessato possa esercitare i propri diritti e accedere a rimedi giurisdizionali efficaci nel paese di trasferimento e che siano in atto garanzie adeguate.

Accordi: Il trasferimento può essere effettuato se esiste un accordo, che non è classificato come convenzione internazionale, tra istituzioni e organizzazioni pubbliche, o organizzazioni professionali con status di istituzione pubblica in Turchia e istituzioni pubbliche, organizzazioni o organizzazioni internazionali all'estero, e se il Consiglio concede l'autorizzazione al trasferimento. Questi accordi possono essere sotto forma di protocolli di cooperazione, memorandum d'intesa o accordi amministrativi, come l'accordo amministrativo per il trasferimento di dati personali tra l'Agenzia turca per i medicinali e i dispositivi medici e la Commissione europea.

Regole aziendali vincolanti: I trasferimenti possono essere effettuati in presenza di BCR approvate dal Consiglio, che contengono disposizioni relative alla protezione dei dati personali che le società all'interno di un gruppo impegnate in attività economiche congiunte sono tenute a rispettare. Le BCR sono regole di protezione dei dati personali che devono essere seguite dai membri del gruppo in caso di attività di trasferimento di dati personali da un titolare del trattamento o responsabile del trattamento dei dati stabilito in Turchia a un titolare del trattamento o responsabile del trattamento dei dati stabilito all'estero all'interno dello stesso gruppo. Le linee guida contenenti le considerazioni da tenere in considerazione durante la preparazione delle BCR sono state pubblicate sul sito web ufficiale dell'Autorità il 10.07.2024.

Contratti standard: Se le parti del trasferimento firmano un contratto standard annunciato dal Consiglio, che contiene dettagli quali categorie di dati, scopi del trasferimento dei dati, gruppi di destinatari, misure tecniche e amministrative da adottare da parte del destinatario dei dati e misure aggiuntive per categorie speciali di dati personali, i dati possono essere trasferiti all'estero. Quattro tipi di modelli di contratto standard che coprono diversi scenari di trasferimento sono stati annunciati sul sito dell'Autorità sito web ufficiale a seguito di un annuncio pubblico del 10.07.2024.

Dopo aver scelto il tipo appropriato di contratto standard, le parti possono apportare modifiche solo alle disposizioni facoltative o alternative dello stesso. Non è possibile apportare aggiunte, eliminazioni o modifiche ai contratti standard a parte queste disposizioni. Questi contratti standard devono essere segnalati all'Autorità dal titolare o dal responsabile del trattamento dei dati entro 5 giorni lavorativi dalla firma. Il mancato rispetto di questo obbligo di notifica è soggetto a una sanzione amministrativa. Inoltre, se ci sono modifiche nelle dichiarazioni o nelle informazioni fornite dalle parti o se il contratto standard scade, è necessario effettuare una notifica all'Autorità.

Lettera di impegno: Se esiste un impegno scritto tra le parti interessate al trasferimento che include disposizioni che garantiscono una protezione adeguata, lo scopo, l'ambito, la natura e la base giuridica del trasferimento, un impegno a rispettare i principi generali, le restrizioni sui successivi trasferimenti di dati e regolamenti simili, e se il Consiglio concede l'autorizzazione per il trasferimento, il trasferimento può procedere come nel precedente periodo di attuazione.

c. Casi incidentali (eccezionali)

Nei casi in cui non vi sia una decisione di adeguatezza o non possano essere fornite garanzie appropriate, i dati possono essere trasferiti all'estero in circostanze limitate specificate come incidentali. Questi casi incidentali specificati nella Legge includono:

  • L'interessato presta il proprio consenso esplicito dopo essere stato informato dei potenziali rischi,
  • Il trasferimento è necessario all'esecuzione di un contratto concluso tra l'interessato e il titolare del trattamento o all'esecuzione di misure precontrattuali adottate su richiesta dell'interessato,
  • Il trasferimento è necessario per la conclusione o l'esecuzione di un contratto stipulato tra il titolare del trattamento e un'altra persona fisica o giuridica a favore dell'interessato,
  • Il trasferimento è necessario per un interesse pubblico prevalente,
  • Il trasferimento è necessario per l'accertamento, l'esercizio o la tutela di un diritto in sede giudiziaria,
  • Il trasferimento è necessario per la tutela della vita o dell'integrità fisica della persona stessa o di qualsiasi altra persona che non sia in grado di spiegare il proprio consenso a causa di una disabilità fisica o il cui consenso non sia ritenuto legalmente valido,
  • Il trasferimento avviene da un registro aperto al pubblico o accessibile alle persone con un interesse legittimo, a condizione che siano soddisfatte le condizioni per l'accesso al registro previste dalla legislazione pertinente e che la persona con un interesse legittimo abbia richiesto il trasferimento.

In caso di circostanze incidentali, non sono richieste le condizioni stabilite negli articoli 5 e 6 della Legge. I trasferimenti di dati personali basati su circostanze incidentali non richiedono l'autorizzazione o l'approvazione del Consiglio, né vi è alcun obbligo di notifica.

Tuttavia, poiché i trasferimenti effettuati in circostanze incidentali costituiscono un'eccezione, si dovrebbe applicare un'interpretazione restrittiva. In primo luogo, si dovrebbe valutare se sia disponibile una decisione di adeguatezza o una delle opportune garanzie; in loro assenza, il trasferimento eccezionale dovrebbe essere utilizzato solo come ultima risorsa.

I trasferimenti incidentali possono verificarsi più di una volta; tuttavia, affinché i trasferimenti ripetuti siano considerati eccezionali, non devono essere regolari, non devono avere continuità e devono aver luogo in circostanze impreviste e a intervalli irregolari, al di fuori del normale corso delle azioni".

3. Valutazioni e conclusione

Sono state preservate le norme che stabiliscono che, se esiste una disposizione in un trattato internazionale o in altre leggi in merito al trasferimento di dati all'estero, i dati personali possono essere trasferiti all'estero ai sensi di tali disposizioni. Pertanto, prima di valutare decisioni di adeguatezza, garanzie appropriate o casi di trasferimento eccezionali, è necessario determinare se esiste una disposizione in un trattato internazionale o in altre leggi nella fase iniziale dell'attività di trasferimento.

Se non vi è alcuna disposizione in accordi internazionali o altre leggi, si dovrebbe innanzitutto esaminare se è disponibile una decisione di adeguatezza. Se non vi è alcuna decisione di adeguatezza, si dovrebbe valutare se può essere fornita una delle opportune garanzie. Se ciò non è possibile, come ultima risorsa, si dovrebbe valutare se il trasferimento costituisce un trasferimento incidentale (eccezionale).

Alla data di pubblicazione di questo articolo, non vi è alcun paese, settore o organizzazione internazionale a cui sia stata concessa una decisione di adeguatezza. Le ragioni che hanno ritardato la creazione dell'elenco dei paesi sicuri in passato sono generalmente fattori che entreranno in gioco anche nel processo di ottenimento di una decisione di adeguatezza, quindi resta da vedere se la decisione verrà presa a breve termine. Pertanto, si prevede che, per ora, le applicazioni pratiche si concentreranno su opportune garanzie, con clausole contrattuali standard applicate prevalentemente tra queste garanzie.

Come ulteriore nota, la Legge stabilisce che le garanzie nella legislazione devono essere fornite anche per i successivi trasferimenti di dati personali trasferiti all'estero. Sebbene la legislazione non regoli esplicitamente come la conformità di terze parti con le normative pertinenti debba essere applicata quando la parte ricevente trasferisce i dati a terze parti, né la Guida fornisce chiarezza su come saranno monitorati i successivi trasferimenti. Pertanto, potrebbero sorgere problemi pratici in merito ai successivi trasferimenti. Si prevede che tali problemi saranno modellati dalle pratiche nel prossimo periodo.

Secondo la disposizione transitoria “Articolo temporaneo 3” aggiunta alla Legge, le attività di trattamento dei dati devono essere conformi alle nuove normative a partire dal 01.09.2024. Infatti, è chiaro che i trasferimenti effettuati dalle aziende sulla base del consenso esplicito ottenuto dagli interessati durante il precedente periodo di attuazione non sono più validi ed è fondamentale per le aziende che non hanno ancora rispettato le nuove normative identificare tempestivamente il metodo più applicabile per i propri processi aziendali e completare le proprie procedure di conformità.

Avukat Ece Elvan Celep - ASY Legal

Av. Ece Elvan Celep

Contattare per una consulenza

Autore Bio

Post correlati