Protezione dei dati personali in Turchia

Avv. Ali Yurtsever LLM

Verifica dei fatti: l'LPDP si applica alla tua azienda?

Uno dei problemi principali con l'applicabilità del LPDP è che le società, gli azionisti e/o le persone interpretano erroneamente i termini indicati nella legislazione. Gli errori più comuni riguardano i termini “elaborazione dati” e “titolare del trattamento”, in quanto la maggior parte degli esponenti aziendali ritiene erroneamente che la conservazione e il trattamento dei dati siano due concetti diversi e poiché conservano solo dati personali non possono essere considerati responsabili del trattamento, che in a sua volta porta l'azienda a non intraprendere alcuna azione in merito al rispetto del LPDP e alla protezione dei dati personali.

Pertanto, è fondamentale che gli azionisti e i rappresentanti della società comprendano appieno i concetti/termini di dati personali, trattamento dei dati, titolare del trattamento e responsabile del trattamento per determinare con precisione quali disposizioni LPDP/protezione dei dati personali sono applicabili a loro.

un. Dati personali è definito in modo molto ampio all'interno del LPDP. Secondo tale definizione per dati personali si intendono “tutte le informazioni appartenenti a una persona fisica la cui identità è o può essere determinata”. Con questa definizione ampia, si considerano dati personali tutte le informazioni che possono consentire al titolare del trattamento di identificare una determinata persona. Questi possono includere dettagli ID, nome, cognome, data di nascita, numeri di telefono, CV, foto, reddito, preferenze di spesa, indirizzo, numero di bambini, indirizzi e-mail e IP, hobby, informazioni sull'ubicazione, ecc. Di conseguenza, il generale la regola è che, se uno snippet di informazioni può consentire l'identificazione di una persona specifica, tali informazioni sono considerate dati personali.

b. Trattamento dei dati personali è ulteriormente definita dall'LPDP come "qualsiasi operazione eseguita su dati personali come raccolta, registrazione, conservazione, conservazione, alterazione, riorganizzazione, divulgazione, trasferimento, subentro, rendere recuperabile, classificazione o impedirne l'uso, in tutto o in parte con mezzi automatizzati o purché il trattamento sia parte di un qualsiasi sistema anagrafico, con mezzi non automatizzati”. Pertanto, anche il mero atto di conservazione di uno qualsiasi dei predetti dati personali costituisce atto di trattamento, anche nel caso in cui il relativo titolare del trattamento non utilizzi i dati in modo significativo o impattante.

c. Titolare del trattamento è definita come “la persona fisica o giuridica che determina le finalità e i mezzi del trattamento di dati personali ed è responsabile dell'istituzione e della gestione del sistema anagrafico”. Per illustrare, se la tua azienda elabora dati personali come l'indirizzo e-mail, il numero di telefono, l'indirizzo di casa, il nome, il cognome o la data di nascita di un cliente, su supporto fisico, digitalmente su un server o tramite fornitori di servizi di terze parti , la tua azienda sarà considerata titolare del trattamento dei dati ai sensi dell'LPDP e dovrai rispettare le norme sulla protezione dei dati personali.

d. Elaboratore di dati è definita come “la persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento previa sua autorizzazione”. In questo contesto, se, ad esempio, le finanze della tua azienda e le relative dichiarazioni dei redditi sono gestite da un contabile terzo, persona fisica o società terza, tale contabile terzo elabora questi documenti contabili (come fatture che possono contengono dati personali) saranno considerati responsabili del trattamento.

e. Sistema di registrazione dei dati è definito come “il sistema anagrafico in cui sono registrati i dati personali essendo strutturato secondo determinati criteri”. Pertanto, tutti i sistemi progettati per archiviare e altrimenti elaborare dati devono essere considerati un sistema di registrazione dei dati.

Requisiti LPDP e potenziali responsabilità

Come indicato in precedenza, qualsiasi persona e/o persona giuridica qualificabile come titolare del trattamento e/o responsabile del trattamento dei dati personali sarà tenuta ad aderire alle regole stabilite dall'LPDP nel trattamento dei dati personali. Questi termini sono collettivamente noti come condizioni generali per il trattamento dei dati, che vengono analizzati in dettaglio in un articolo separato. Di conseguenza, la maggior parte del trattamento dei dati effettuato in ottemperanza alle presenti condizioni generali sarà considerato conforme, a condizione che il titolare/responsabile del trattamento dei dati personali rispetti pienamente l'LPDP e le sue normative secondarie.

Al contrario, il mancato rispetto delle regole e delle condizioni stabilite dal LPDP può comportare l'applicazione di una serie di restrizioni e sanzioni nei confronti del titolare del trattamento/incaricato del trattamento dei dati personali. Questi possono variare da misure restrittive a sanzioni amministrative fino a TRY 1.000.000.- (a seconda della violazione possono essere applicabili sanzioni anche più elevate).

La determinazione delle sanzioni amministrative è rimessa alla discrezionalità del personale Garante per la protezione dei dati personali (DPA), in quanto l'articolo 18 della LPPD prevede solo un limite inferiore e massimo per le sanzioni amministrative che possono essere emesse. Pertanto, il Garante è autorizzato a irrogare sanzioni amministrative a coloro che violano gli obblighi previsti dal LPPD di cui all'articolo 22 del LPDP.

Questo ampio potere discrezionale del Garante ha causato alcuni problemi in alcune misure amministrative applicate in passato a diversi responsabili del trattamento/incaricati del trattamento, poiché alcuni hanno affermato che il Garante ha abusato della propria autorità emettendo sanzioni dal limite superiore senza fornire una giusta causa per farlo (alcuni hanno anche intentato causa contro le multe inflitte). Per comprendere meglio questi problemi relativi alle sanzioni amministrative emesse dall'LPDP, fare riferimento al nostro precedente articolo intitolato "Ricorsi contro sanzioni amministrative comminate dall'Autorità turca per la protezione dei dati personali" (anche disponibile qui).

Conclusione

Ad essere onesti, le norme e i regolamenti che disciplinano il trattamento dei dati possono sembrare complessi, soprattutto per le entità straniere che cercano di operare all'interno del mercato turco. La principale fonte di confusione è, ovviamente, il testo LPDP e il fatto che anche i titolari del trattamento e gli incaricati del trattamento dei dati devono tenere conto delle decisioni del DPA nell'attuazione di nuove regole interne sul trattamento dei dati, che possono essere difficili per gli stranieri in quanto le decisioni del DPA sono generalmente non disponibile in nessuna lingua diversa dal turco.

Inoltre, questa legislazione sulla protezione dei dati personali è ancora piuttosto nuova ed è quindi in continua evoluzione e modifica principalmente con nuove decisioni e sanzioni del DPA. Questa natura in evoluzione dei meccanismi di conformità presenta anche sfide e problemi significativi se i responsabili del trattamento/incaricati del trattamento scelgono di utilizzare un testo legale standardizzato per garantire il rispetto di queste regole, poiché questi testi standardizzati sono generalmente molto obsoleti e contengono formulazioni errate o in alcuni casi del tutto insufficienti e meccanismi.

È pertanto imperativo che i titolari del trattamento e/o i responsabili del trattamento consultino un esperto per garantire che i loro meccanismi di conformità alla protezione dei dati personali siano attuati correttamente per evitare sanzioni inutili ed evitabili in futuro.