Introduzione
La legge n. 7499 di modifica del codice di procedura penale e di alcune leggi ha introdotto alcune modifiche anticipate alla legge n. 6698 sulla protezione dei dati personali (“KVKK”) con la pubblicazione nella Gazzetta Ufficiale n. 32487 del marzo 2024. 32487 del 12 marzo 2024. Le disposizioni modificate della KVKK sono entrate in vigore il 1° giugno 2024. Nell’ambito della tanto attesa revisione del KVKK, questi emendamenti rappresentano un passo importante verso l’armonizzazione della legislazione turca in materia di protezione dei dati personali con il Regolamento generale sulla protezione dei dati dell’Unione europea (“GDPR”).
Cosa sono le categorie speciali di dati personali?
Le categorie speciali di dati personali si riferiscono a dati che, se divulgati, possono comportare la discriminazione o la vittimizzazione dell’interessato. Pertanto, richiedono una protezione migliore rispetto ad altri tipi di dati personali. Le categorie speciali di dati personali possono essere trattate con il consenso esplicito dell’interessato o nei casi previsti dalla legge. Sono elencate nella legge e non possono essere ampliate rispetto ad altri dati. Si tratta di dati relativi alla razza, all’origine etnica, alle opinioni politiche, alle convinzioni filosofiche, alla religione, alla setta religiosa o ad altre convinzioni, all’aspetto, all’appartenenza ad associazioni, fondazioni o sindacati, nonché di dati relativi alla salute, alla vita sessuale, alle condanne penali e alle misure di sicurezza, nonché di dati biometrici e genetici.
Trattamento di categorie particolari di dati personali
Prima delle modifiche del 1° giugno 2024, la legge distingueva anche tra categorie speciali di dati personali e richiedeva condizioni diverse per il trattamento dei dati personali relativi alla salute e alla vita sessuale e altri casi in cui le categorie speciali di dati personali possono essere trattate senza consenso esplicito. Di conseguenza, le categorie speciali di dati personali possono essere trattate senza il consenso esplicito dell’interessato come segue:
- Le categorie particolari di dati personali, ad eccezione di quelli relativi alla salute e alla vita sessuale, possono essere trattate nei casi previsti dalla legge, mentre
- I dati personali relativi alla salute e alla vita sessuale possono essere trattati solo da persone soggette all’obbligo di segretezza o da istituzioni e organizzazioni pubbliche competenti, ai fini della tutela della salute pubblica, dell’esercizio della medicina preventiva, della diagnosi medica, della cura e dei servizi infermieristici, della pianificazione e della gestione dei servizi sanitari e del loro finanziamento.
Con le modifiche apportate, non esiste più una distinzione tra i dati relativi alla salute e alla vita sessuale e altre categorie speciali di dati personali, e i requisiti legali per il trattamento sono stati ampliati. Di conseguenza, le categorie particolari di dati personali possono essere trattate se:
- L’interessato ha dato un consenso esplicito,
- è esplicitamente previsto dalle leggi,
- Il trattamento è necessario per la protezione della vita o dell’integrità fisica dell’interessato o di un’altra persona fisica qualora l’interessato sia fisicamente o legalmente incapace di dare il proprio consenso,
- il trattamento riguarda i dati personali resi pubblici dall’interessato e rispetta la sua volontà di renderli pubblici,
- il trattamento è necessario per l’accertamento, l’esercizio o la tutela di un diritto,
- il trattamento da parte di persone soggette all’obbligo di segretezza o di istituzioni e organizzazioni pubbliche competenti è necessario ai fini della tutela della salute pubblica, dell’esercizio della medicina preventiva, della diagnosi medica, del trattamento e dei servizi infermieristici, della pianificazione e della gestione dei servizi sanitari e del loro finanziamento,
- il trattamento è necessario per l’adempimento di obblighi legali in materia di occupazione, salute e sicurezza sul lavoro, sicurezza sociale, servizi sociali e assistenza sociale,
- Il trattamento è effettuato da una fondazione, un’associazione o qualsiasi altra organizzazione o ente senza scopo di lucro con finalità politiche, filosofiche o sindacali e a condizione che il trattamento riguardi i suoi membri attuali o precedenti o le persone che hanno contatti regolari con essa, a condizione che il trattamento sia conforme alle sue finalità e alla legislazione che la riguarda, sia limitato ai suoi campi di attività e i dati non siano divulgati a terzi.
Implicazioni degli emendamenti per la pratica corrente
È ora possibile trattare categorie speciali di dati personali non solo con il consenso esplicito della persona interessata e nei casi previsti dalla legge, ma anche in casi particolari, ad esempio per la protezione della vita o dell’integrità fisica di persone fisicamente incapaci di dare il proprio consenso. Il trattamento è consentito anche per determinate finalità, come la fornitura di servizi sanitari o l’adempimento di determinati obblighi legali. Di conseguenza, le modifiche prevedono una certa flessibilità nel trattamento di categorie speciali di dati personali, che può ottimizzare il trattamento dei dati, soprattutto in settori sensibili come quello sanitario. Nel frattempo, l’obbligo di adottare misure adeguate stabilite dal Consiglio garantisce la sicurezza dei dati e la supervisione dei processi di elaborazione dei dati. In questo contesto, i responsabili del trattamento dei dati devono rispettare i nuovi requisiti durante il trattamento dei dati e adottare le misure legali e tecniche necessarie.
Conclusione
Le modifiche alla KVKK, valide a partire dal 1° giugno 2024, introducono cambiamenti significativi per quanto riguarda l’elaborazione di categorie speciali di dati personali, per le quali è ora prevista una maggiore flessibilità. Sarà quindi possibile un trattamento dei dati più efficiente, soprattutto in settori sensibili come quello sanitario. Tuttavia, va notato che se da un lato le modifiche offrono flessibilità ai responsabili del trattamento, dall’altro richiedono maggiore responsabilità, attenzione e una rigorosa aderenza agli standard di sicurezza e conformità dei dati.
