Menu
Menu

Transferência de dados pessoais para o exterior: quadro jurídico atual na Turquia

Publicada no Diário Oficial da União nº 32487 de 12.03.2024, a Lei nº 7499 introduziu alterações na Lei de Proteção de Dados Pessoais nº 6698 (a “Lei de Proteção de Dados Pessoais”).Escritórios de”). Posteriormente, o Regulamento sobre os Procedimentos e Princípios para a Transferência de Dados Pessoais para o Exterior (“Regulamento”) foi publicado e entrou em vigor no Diário Oficial nº 32598 de 10.07.2024. Em janeiro de 2025, o Guia sobre Transferência de Dados Pessoais para o Exterior (“Guias”) foi publicada no sítio da Autoridade de Proteção de Dados Pessoais (“Autoridade").

1. Introdução

Anteriormente, a transferência de dados pessoais para o exterior sem a obtenção do consentimento expresso do titular dos dados, exigia a existência de uma das condições previstas na Lei, sendo que o Conselho de Proteção de Dados Pessoais (“Conselho Administrativo”) decidindo que o país para o qual os dados seriam transferidos tinha proteção adequada (sendo listado na lista de países seguros).

Se um país não fosse considerado como tendo proteção adequada, os dados pessoais ainda poderiam ser transferidos sem o consentimento explícito do titular dos dados, se uma das condições relevantes de processamento de dados fosse atendida, desde que os controladores de dados na Türkiye e no país relevante se comprometessem com a proteção adequada (através do envio de uma carta de compromisso) e o Conselho concedesse permissão. Para empresas multinacionais que transferem dados entre si, regras corporativas vinculativas (“BCR”) precisava ser criado e aprovado pelo Conselho.

No entanto, devido à falta de aplicação prática de cartas de compromisso e BCRs e à permissão concedida pelo Board para muito poucos pedidos, a transferência de dados para o exterior praticamente se tornou dependente apenas da obtenção do consentimento explícito dos titulares dos dados. Até 01.06.2024, o Board recebeu 86 pedidos feitos por meio do fornecimento de cartas de compromisso, dos quais apenas 10 foram aprovados. Além disso, 3 pedidos de BCR foram feitos, mas nenhum deles foi aprovado devido a deficiências processuais e substantivas.

Essa situação tornou quase impossível usar a maioria dos servidores localizados no exterior e a maioria dos softwares e aplicativos baseados em nuvem legalmente, e estava se tornando uma barreira para investimentos em nosso país. Nesse contexto, um mecanismo de três alternativas para a transferência de dados pessoais para o exterior foi previsto. As mudanças visam alinhar a legislação com o Regulamento da UE 2016/679 (Regulamento Geral de Proteção de Dados (GDPR)) e atender às necessidades práticas.

2. Métodos de transferência

 a. Decisão de Adequação

 A transferência de dados para o exterior pode ocorrer se uma das condições de tratamento de dados mencionadas nos artigos 5º e 6º da Lei estiver presente e o Conselho emitir uma decisão de adequação quanto ao local da transferência.

A prática de decisão de adequação é paralela à prática anterior de “lista de países seguros”. O objetivo desta avaliação é confirmar que o nível de proteção de dados do país, setor ou organização internacional para o qual os dados estão sendo transferidos é equivalente ao da Türkiye. Esta avaliação considerará fatores como reciprocidade, a legislação do país relevante, a existência de uma autoridade de proteção de dados independente e eficaz, recursos administrativos e judiciais e se o país é parte de tratados internacionais ou membro de organizações internacionais.

Foi declarado anteriormente na decisão do Conselho datada de 02.05.2019 e numerada 2019/125 que até mesmo o volume de comércio com o país relevante seria levado em consideração durante a avaliação relevante. Neste ponto, conforme enfatizado na Diretriz, espera-se que os países que são partes de tratados internacionais, dos quais a Türkiye é parte, sejam priorizados ao emitir a decisão de adequação.

A decisão de adequação a ser emitida pelo Board pode pertencer não apenas ao país para o qual os dados serão transferidos, mas também a um setor específico naquele país ou a uma organização internacional. O Board revisará a decisão de adequação pelo menos uma vez a cada quatro anos e, se julgar necessário, poderá modificá-la, suspendê-la ou revogá-la. Este período de quatro anos é um prazo regulatório e, se o Board julgar necessário, poderá reavaliar a decisão de adequação antes do término deste período.

b. Apropriado proteções

Caso não haja uma decisão de adequação, a transferência ainda poderá prosseguir se uma das condições de processamento de dados especificadas nos Artigos 5 e 6 existir, desde que o titular dos dados possa exercer seus direitos e acessar recursos legais efetivos no país de transferência, e que salvaguardas apropriadas estejam em vigor.

Acordos: A transferência pode ser feita se houver um acordo, que não seja classificado como uma convenção internacional, entre instituições e organizações públicas, ou organizações profissionais com status de instituição pública na Türkiye e instituições, organizações ou organizações internacionais públicas no exterior, e se o Conselho conceder permissão para transferência. Esses acordos podem ser na forma de protocolos de cooperação, memorandos de entendimento ou acordos administrativos, como o acordo administrativo para a transferência de dados pessoais entre a Agência Turca de Medicamentos e Dispositivos Médicos e a Comissão Europeia.

Regras Corporativas Vinculantes: As transferências podem ser feitas na presença de BCRs aprovadas pelo Conselho, que contêm disposições relativas à proteção de dados pessoais que as empresas dentro de um grupo envolvido em atividade econômica conjunta são obrigadas a cumprir. BCRs são regras de proteção de dados pessoais que devem ser seguidas pelos membros do grupo no caso de atividades de transferência de dados pessoais de um controlador de dados ou processador de dados estabelecido na Türkiye para um controlador de dados ou processador de dados estabelecido no exterior dentro do mesmo grupo. Diretrizes contendo as considerações a serem levadas em conta ao preparar BCRs foram publicadas no site oficial da Autoridade em 10.07.2024.

Contratos padrão: Se as partes da transferência assinarem um contrato padrão anunciado pelo Board, que contenha detalhes como categorias de dados, propósitos da transferência de dados, grupos de destinatários, medidas técnicas e administrativas a serem tomadas pelo destinatário dos dados e medidas adicionais para categorias especiais de dados pessoais, os dados podem ser transferidos para o exterior. Quatro tipos de modelos de contrato padrão cobrindo diferentes cenários de transferência foram anunciados no site da Authority site do produto após um anúncio público em 10.07.2024.

Após escolher o tipo apropriado de contrato padrão, as partes só podem fazer alterações em disposições opcionais ou alternativas do mesmo. Nenhuma adição, exclusão ou alteração pode ser feita aos contratos padrão além dessas disposições. Esses contratos padrão devem ser relatados à Autoridade pelo controlador ou processador de dados dentro de 5 dias úteis a partir da assinatura. O não cumprimento dessa obrigação de notificação está sujeito a uma multa administrativa. Além disso, se houver alguma alteração nas declarações ou informações fornecidas pelas partes ou se o contrato padrão expirar, uma notificação deve ser feita à Autoridade.

Carta de Compromisso: Se houver um compromisso por escrito entre as partes da transferência que inclua disposições que garantam proteção adequada, a finalidade, o escopo, a natureza e a base legal da transferência, um compromisso de cumprir princípios gerais, restrições sobre transferências subsequentes de dados e regulamentações semelhantes, e se o Conselho conceder permissão para a transferência, a transferência poderá prosseguir como no período de implementação anterior.

c. Casos Incidentais (Excepcionais)

Em casos onde não há decisão de adequação ou salvaguardas apropriadas não podem ser fornecidas; os dados podem ser transferidos para o exterior sob circunstâncias limitadas especificadas como incidentais. Esses casos incidentais especificados na Lei incluem:

  • O titular dos dados dá consentimento explícito após ser informado dos riscos potenciais,
  • A transferência é necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou para a implementação de medidas pré-contratuais tomadas a pedido do titular dos dados,
  • A transferência é necessária para a celebração ou execução de um contrato a ser celebrado entre o responsável pelo tratamento e outra pessoa singular ou coletiva em benefício do titular dos dados,
  • A transferência é necessária por um interesse público primordial,
  • A transferência é necessária para o estabelecimento, exercício ou proteção de uma reivindicação legal,
  • A transferência é necessária para a proteção da vida ou da integridade física da própria pessoa ou de qualquer outra pessoa que não consiga justificar o seu consentimento devido a deficiência física ou cujo consentimento não seja considerado legalmente válido,
  • A transferência é feita a partir de um registro aberto ao público ou acessível a pessoas com interesse legítimo, desde que as condições para acessar o registro sob a legislação relevante sejam cumpridas e que a pessoa com interesse legítimo tenha solicitado a transferência.

Em casos de circunstâncias incidentais, as condições estabelecidas nos Artigos 5 e 6 da Lei não são necessárias. Transferências de dados pessoais com base em circunstâncias incidentais não exigem permissão ou aprovação do Board, nem há qualquer obrigação de notificação.

Entretanto, como transferências feitas sob circunstâncias incidentais constituem uma exceção, uma interpretação restrita deve ser aplicada. Primeiro, deve ser avaliado se uma decisão de adequação ou uma das salvaguardas apropriadas está disponível; na ausência delas, a transferência excepcional deve ser usada apenas como último recurso.

As transferências incidentais podem ocorrer mais de uma vez; no entanto, para que as transferências que ocorrem repetidamente sejam consideradas excepcionais, elas não devem ser regulares, não devem ter continuidade e devem ocorrer em circunstâncias imprevistas e em intervalos irregulares, fora do curso normal das ações.”

3. Avaliações e Conclusão

Os regulamentos, afirmando que se houver uma disposição em um tratado internacional ou outras leis sobre a transferência de dados para o exterior, os dados pessoais podem ser transferidos para o exterior de acordo com tais disposições, foram preservados. Portanto, antes de avaliar decisões de adequação, salvaguardas apropriadas ou casos excepcionais de transferência, deve-se determinar se uma disposição existe em um tratado internacional ou outras leis no estágio inicial da atividade de transferência.

Se não houver nenhuma disposição em acordos internacionais ou outras leis, deve-se primeiro examinar se uma decisão de adequação está disponível. Se não houver nenhuma decisão de adequação, deve-se avaliar se uma das salvaguardas apropriadas pode ser fornecida. Se isso não for possível, como último recurso, deve-se avaliar se a transferência constitui uma transferência incidental (excepcional).

Até a data de publicação deste artigo, não há nenhum país, setor ou organização internacional que tenha recebido uma decisão de adequação. Os motivos que atrasaram a criação da lista de países seguros no passado são geralmente fatores que também entrarão em jogo no processo de obtenção de uma decisão de adequação, portanto, resta saber se a decisão será tomada em curto prazo. Portanto, espera-se que, por enquanto, as aplicações práticas se concentrem em salvaguardas apropriadas, com cláusulas contratuais padrão sendo predominantemente aplicadas entre essas salvaguardas.

Como outra nota, a Lei estipula que salvaguardas na legislação também devem ser fornecidas para transferências subsequentes de dados pessoais transferidos para o exterior. Embora a legislação não regule explicitamente como a conformidade de terceiros com os regulamentos relevantes deve ser aplicada quando a parte destinatária transfere os dados para terceiros, nem o Guia fornece clareza sobre como as transferências subsequentes serão monitoradas. Portanto, questões práticas podem surgir em relação às transferências subsequentes. Espera-se que essas questões sejam moldadas pelas práticas no próximo período.

De acordo com a disposição transitória “Artigo Temporário 3” adicionada à Lei, as atividades de processamento de dados devem estar em conformidade com os novos regulamentos a partir de 01.09.2024. De fato, está claro que as transferências feitas por empresas com base no consentimento explícito obtido dos titulares dos dados durante o período de implementação anterior não são mais válidas, e é crucial para as empresas que ainda não cumpriram os novos regulamentos identificar prontamente o método mais aplicável para seus processos de negócios e concluir seus procedimentos de conformidade.

Avukat Ece Elvan Celep - ASY Legal

Av. Ece Elvan Celep

Contato para consulta

Autor Bio

Artigos relacionados