Menu
Menu

Processamento de categorias especiais de dados pessoais: o atual quadro jurídico na Turquia

Foram introduzidas alterações à Lei de Proteção de Dados Pessoais n.º 6698 (“Escritórios de”) por meio da Lei nº 7499, publicada no Diário Oficial da União de 12 de março de 2024, sob o número 32487. Em fevereiro de 2025, foi aprovado o Guia sobre Tratamento de Categorias Especiais de Dados Pessoais (“Guias”) foi publicada no sítio da Autoridade de Proteção de Dados Pessoais (“Autoridade").

1. Introdução

 De acordo com a Lei, categorias especiais de dados pessoais incluem informações sobre raça, origem étnica, opiniões políticas, convicções filosóficas, religião, seita ou outras crenças, aparência física e vestimenta, filiação a associações, fundações ou sindicatos, saúde, vida sexual, condenações criminais e medidas de segurança, bem como dados biométricos e genéticos.

Antes da alteração, o processamento de categorias especiais de dados pessoais era, via de regra, sujeito ao consentimento explícito do titular dos dados. Em relação ao processamento de tais dados sem consentimento explícito, a Lei estabelecia anteriormente uma distinção entre “dados relacionados à saúde e vida sexualeoutras categorias especiais de dados pessoais.” De acordo com esta distinção:

  • Outras categorias especiais de dados pessoais: só poderão ser processados ​​sem consentimento explícito, se explicitamente previsto por lei.
  • Dados relacionados à saúde e vida sexual: só podem ser processados ​​sem consentimento explícito, para fins como a proteção da saúde pública, medicina preventiva, diagnóstico médico, serviços de tratamento e assistência, e o planejamento e gestão de serviços de saúde e financiamento, mas apenas por pessoas ou instituições sob obrigação de confidencialidade.

Sob o regulamento anterior, os dados de saúde podiam ser processados ​​quase exclusivamente pela Instituição de Seguridade Social, o Ministério da Saúde e instituições de saúde. Isso levantou várias preocupações práticas sobre o processamento de dados de saúde necessários em setores como seguros, saúde e segurança ocupacional e serviços sociais. Na verdade, o regulamento restringiu certas atividades de instituições públicas, partes interessadas do setor privado e organizações não governamentais, impedindo-as de cumprir algumas de suas obrigações estatutárias. Portanto, as emendas visavam abordar essas questões práticas e atender às necessidades atuais.

2. Situação atual

 Com as recentes alterações, a distinção entre “dados relacionados à saúde e à vida sexual” e "outras categorias especiais de dados pessoais” foi eliminado. Consequentemente, dados relacionados à saúde e à vida sexual não estão mais sujeitos a bases legais diferentes para processamento do que outras categorias especiais de dados pessoais. Além disso, as condições de processamento foram revisadas para se aplicarem uniformemente a todas as categorias especiais de dados pessoais, e bases legais adicionais foram introduzidas.

De acordo com a nova regulamentação, categorias especiais de dados pessoais podem ser processadas nas seguintes condições:

a) Consentimento explícito do titular dos dados: Se o titular dos dados fornecer consentimento explícito, suas categorias especiais de dados pessoais podem continuar a ser processadas com base em tal consentimento. Não há diferença hierárquica entre o consentimento explícito e as outras bases legais listadas abaixo. No entanto, deve-se notar que o consentimento explícito deve continuar a cumprir os princípios gerais estabelecidos pela Lei.

b) Explicitamente previsto em lei: Categorias especiais de dados pessoais podem ser processadas sem o consentimento explícito do titular dos dados, se explicitamente previsto por lei. Por exemplo, sob o artigo 5 da lei 2559 sobre os Poderes e Deveres da Polícia, dados de impressão digital podem ser coletados de indivíduos que solicitam uma carteira de motorista ou passaporte. O Guia esclarece que regulamentações como estatutos, comunicados e circulares emitidos sob a autoridade explicitamente concedida por lei para o processamento de categorias especiais de dados pessoais também se enquadrarão nesta base legal.

c) Impossibilidade prática: Se um titular de dados não puder dar consentimento devido a uma situação de impossibilidade/incapacidade prática ou seu consentimento for legalmente inválido, categorias especiais de dados pessoais podem ser processadas sem consentimento se forem essenciais para proteger a vida ou a integridade física do titular de dados ou de outra pessoa. Um exemplo dessa base legal é o processamento de informações sobre o tipo sanguíneo de uma pessoa e doenças passadas em uma situação médica de emergência em que o indivíduo está inconsciente.

d) Dados divulgados publicamente pelo titular dos dados: Se o titular dos dados tornou públicas suas categorias especiais de dados pessoais, tais dados podem ser processados ​​sem consentimento, desde que o processamento esteja alinhado com a intenção do titular dos dados. Por exemplo, se um indivíduo compartilha publicamente seu tipo sanguíneo e informações sobre alergias para fins de emergência, tais dados podem ser usados ​​para essa finalidade. Deve-se enfatizar que o mero fato de o titular dos dados ter tornado públicas suas categorias especiais de dados pessoais não é suficiente por si só; o controlador de dados deve agir de acordo com a intenção ou propósito de divulgação do titular dos dados ao processar esses dados.

e) Estabelecimento, exercício ou proteção de direitos legais: Categorias especiais de dados pessoais podem ser processadas sem consentimento se forem essenciais para o estabelecimento, exercício ou proteção de um direito legal. Por exemplo, um empregador pode reter os dados de saúde de um ex-funcionário para possíveis disputas legais após o término de um contrato de trabalho.

Da mesma forma, em casos em que não é possível para um advogado fazer valer os direitos de seu cliente de nenhuma outra forma, a submissão de categorias especiais de dados pessoais obtidas legalmente ao tribunal como parte do arquivo do caso pode ser considerada uma base legal para processamento. Como outro exemplo, em casos em que o processamento de categorias especiais de dados pessoais, como informações sobre deficiência ou saúde relacionadas a cônjuges e filhos de funcionários, é necessário para pagamentos de salários, o processamento de tais dados pelo empregador também pode ser considerado dentro deste escopo.

f) Serviços de saúde e necessidades semelhantes: Pessoas ou instituições e organizações autorizadas sob a obrigação de confidencialidade podem continuar processando categorias especiais de dados pessoais sem obter consentimento explícito, se necessário para a proteção da saúde pública, medicina preventiva, diagnóstico médico, serviços de tratamento e assistência, bem como para o planejamento, gestão e financiamento de serviços de saúde.

O Ministério da Saúde, todos os tipos de instituições de saúde e a Instituição da Previdência Social são considerados dentro deste escopo quanto aos dados que coletam para fins específicos. O Guia indica que o termo “instituições e organizações autorizadas” inclui não apenas instituições e organizações públicas, mas também indivíduos e entidades jurídicas privadas que fornecem serviços de saúde. O termo “pessoas sujeitas à obrigação de sigilo“inclui todos os profissionais de saúde, bem como aqueles que, mesmo não sendo profissionais de saúde, estão envolvidos na prestação de serviços de saúde.

g) Cumprimento das obrigações legais relacionadas com o emprego:Categorias especiais de dados pessoais podem ser processadas sem o consentimento explícito do titular dos dados se forem essenciais para cumprir obrigações legais nas áreas de emprego, saúde e segurança ocupacional, seguridade social, serviços sociais e assistência social.

Exemplos dessa base legal incluem: empregadores que processam dados de saúde ou condenações criminais para cumprir sua obrigação de empregar indivíduos com deficiência ou condenados sob a Lei Trabalhista nº 4857 (artigo 30), processando dados de saúde para exames de saúde exigidos por acordos de negociação coletiva (Lei de Sindicatos e Acordos de Negociação Coletiva nº 6356, artigo 36(1)) e processando dados de condenações criminais e de saúde para motoristas (Regulamento de Transporte Rodoviário, artigo 34) e pessoal de segurança (Lei nº 5188 Relativa a Serviços de Segurança Privada, artigo 10).

h) Participação em fundações, associações e organizações sem fins lucrativos: Categorias especiais de dados pessoais (de membros atuais ou antigos e de indivíduos que mantêm contato regular com essas organizações) podem ser processadas sem consentimento explícito por fundações, associações e organizações sem fins lucrativos criadas para fins políticos, filosóficos, religiosos ou sindicais, desde que o processamento esteja de acordo com sua estrutura legal e objetivos, seja limitado às suas atividades e não seja divulgado a terceiros.

 Por exemplo, o processamento de informações relacionadas aos membros atuais, bem como antigos membros e indivíduos que estão regularmente em contato por meio de doações, será considerado dentro deste escopo. Da mesma forma, um sindicato só pode processar dados relacionados à filiação sindical em relação ao seu escopo de atividades e objetivos. No entanto, dados pessoais relacionados à saúde ou religião dos membros do sindicato não podem ser processados ​​se não estiverem relacionados ao escopo de atividades e objetivos.

Algumas das bases legais acima contêm os termos “necessário” ou “essencial”. De acordo com o Guia:

  • O termo "necessário" significa que as atividades de processamento de dados devem ser avaliadas caso a caso, justificando o uso de dados pessoais com base em evidências objetivas. Também implica que deve haver uma conexão entre os dados processados ​​e a finalidade legítima reivindicada, em linha com o princípio de ser relevante, limitado e proporcional à finalidade para a qual são processados.
  • O termo "essencial" não depende de uma avaliação subjetiva, mas se refere a uma situação em que as condições públicas e sociais exigem o processamento de categorias especiais de dados pessoais. Em tais atividades de processamento, não deve haver método alternativo para processar categorias especiais de dados pessoais, tornando a atividade de processamento inevitável dentro do escopo da finalidade especificada.

Portanto, antes de iniciar o processamento de categorias especiais de dados pessoais com base em qualquer uma dessas bases legais, uma avaliação completa deve ser conduzida para determinar se esses critérios são atendidos.

3. Conclusão

 Após as alterações, os controladores de dados que processam categorias especiais de dados pessoais devem revisar os processos com base no consentimento explícito, atualizar seus inventários de processamento de dados pessoais, avisos informativos e políticas de retenção e destruição.

A exigência de tomar “medidas adequadas” permanece inalterado. Categorias especiais de dados pessoais devem continuar a ser processadas em conformidade com a Política de Proteção de Dados Pessoais do Conselho decisão datado de 31 de janeiro de 2018 e numerado 2018/10 sobre medidas adequadas a serem tomadas por controladores de dados no processamento de categorias especiais de dados pessoais. Se medidas adequadas ainda não foram implementadas, as organizações devem garantir a conformidade o mais rápido possível.

Além disso, os responsáveis ​​pelo tratamento de dados que processam dados genéticos e/ou biométricos também devem considerar os princípios descritos no Guia sobre o Processamento de Dados Genéticos e Diretriz sobre Considerações no Processamento de Dados Biométricos.

Avukat Ece Elvan Celep - ASY Legal

Av. Ece Elvan Celep

Contato para consulta

Autor Bio

Artigos relacionados