Perspectivas críticas del TEDH y la Autoridad turca de Protección de Datos
I. Introducción
En un mundo en el que el ámbito digital se ha entrelazado profundamente con nuestra vida diaria, no puede exagerarse la importancia de la protección de datos. Turquía, como parte de su compromiso con la salvaguarda de los derechos de sus ciudadanos, ha promulgado normas estrictas relativas al tratamiento de datos personales y biométricos. Este artículo analiza en profundidad el panorama jurídico de Turquía en materia de protección de datos y, en especial, el uso de datos biométricos en Turquía, ofreciendo una visión integral para cualquier persona que deba desenvolverse en esta materia compleja.
II. Legislación aplicable en Turquía al tratamiento de datos y datos biométricos:
La legislación principal que rige el tratamiento de datos personales en Turquía es la Ley de Protección de Datos Personales (PDPL), número 6698. La PDPL tiene por objeto proteger los derechos y libertades fundamentales de las personas, en particular el derecho a la privacidad, en relación con el tratamiento de datos personales.
Conforme a la PDPL, los datos personales se refieren a cualquier información relativa a una persona física identificada o identificable. Cuando estos datos personales revelan origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical, y se tratan datos genéticos, datos biométricos destinados a identificar de manera única a una persona física, datos relativos a la salud o datos relativos a la vida sexual u orientación sexual de una persona física, se clasifican como «datos personales sensibles». Los datos biométricos, que han adquirido importancia en diversos sectores debido a los avances tecnológicos, entran dentro de esta categoría especial, lo que exige reglas de tratamiento más estrictas.
La PDPL se complementa con diversos reglamentos secundarios y decisiones emitidas por la Junta de Protección de Datos Personales (la Junta). La Junta desempeña un papel crucial en la interpretación de la PDPL y en la orientación sobre su aplicación.
III. Comprender los datos personales: análisis de los artículos 3(a) y 6(1) de la PDPL turca
En el marco de la Ley de Protección de Datos Personales de Turquía (PDPL), existen clasificaciones distintas de datos. En el centro de estas definiciones se encuentran los denominados «datos personales», tal como se definen en el artículo 3(a) de la PDPL. Estos datos comprenden cualquier información relativa a una persona física identificada o identificable, abarcando un amplio espectro que va desde datos básicos, como nombres y direcciones, hasta datos más técnicos, como direcciones IP.
Sin embargo, existe un subconjunto de datos personales que exige mayor atención por su sensibilidad: las «categorías especiales de datos personales». El artículo 6(1) de la PDPL profundiza en esta cuestión, destacando tipos de datos que revelan origen racial o étnico, posturas políticas, creencias religiosas o filosóficas e incluso afiliaciones sindicales. Un elemento destacado dentro de esta categoría son los datos biométricos. La inclusión de los datos biométricos en esta categoría, dada su capacidad única para identificar a las personas, subraya su relevancia y sensibilidad.
IV. Derechos y obligaciones en materia de datos en Turquía: perspectivas de los artículos 11 y 12 de la PDPL
La PDPL no se limita a definir datos; también sirve de guía sobre los derechos de los interesados y las obligaciones de quienes controlan los datos. El artículo 11 de la PDPL establece los derechos de los interesados. Faculta a las personas para saber si sus datos han sido tratados, comprender la finalidad de dicho tratamiento y ser informadas sobre terceros implicados en tales operaciones, ya sean nacionales o internacionales.
Además, las personas pueden solicitar la rectificación de sus datos si se tratan de forma inexacta, y tienen derecho a oponerse a cualquier resultado derivado de análisis de sus datos mediante sistemas automatizados. Si se produce alguna infracción, la ley les concede el derecho a reclamar daños y perjuicios.
Por otro lado, los responsables del tratamiento tienen su propio conjunto de obligaciones previstas en el artículo 12 de la PDPL. Deben garantizar la seguridad de los datos personales, informar a los interesados sobre cualquier violación de datos e inscribirse en el Registro de Responsables del Tratamiento. Asimismo, están obligados a preparar un Inventario de Tratamiento de Datos Personales y, si es necesario, designar a un Delegado de Protección de Datos.
V. El auge de la biometría en el sector privado turco: aplicaciones reales e implicaciones
Los datos biométricos no se limitan a discusiones jurídicas. Sus aplicaciones prácticas están ampliamente extendidas en distintos sectores de Turquía. El sector sanitario, por ejemplo, aprovecha los datos biométricos, especialmente los datos genéticos, para el diagnóstico, la planificación de tratamientos y la adaptación de la medicina a necesidades individuales. El uso de identificación biométrica en hospitales y clínicas para el registro de pacientes garantiza precisión y evita incidentes médicos.
En el ámbito empresarial, muchas compañías han recurrido a sistemas biométricos para el seguimiento de empleados, intentando encontrar formas de implementar tecnologías de huella dactilar o reconocimiento facial que ofrecen control horario preciso y mayor seguridad. Estos esfuerzos fueron posteriormente bloqueados por decisiones de la Junta.
El ámbito tecnológico también ha adoptado la biometría. Los dispositivos que utilizamos a diario, ya sean teléfonos inteligentes, tabletas u ordenadores, incorporan ahora escáneres de huellas dactilares, reconocimiento facial e incluso funciones de reconocimiento de voz. Es una prueba de lo integrada que se ha vuelto la biometría en nuestra vida cotidiana.
Por último, el sector de la seguridad en Turquía otorga gran importancia a la biometría. La precisión de identificación sin parangón que ofrece la biometría es evidente en zonas de alta seguridad donde el control de acceso es fundamental. Incluso los sistemas de vigilancia emplean ahora tecnología de reconocimiento facial, lo que enfatiza el papel de la biometría en los protocolos modernos de seguridad.
VI. Precedentes jurisprudenciales relativos a datos biométricos
a. Datos biométricos en el plano internacional: el caso GLUKHIN c. Rusia
En una sentencia histórica, el Tribunal Europeo de Derechos Humanos (TEDH) se pronunció sobre el uso de tecnología de reconocimiento facial y los derechos a la privacidad y a la libertad de expresión en el caso Glukhin c. Rusia.
Glukhin realizó una manifestación individual en Moscú, que fue grabada y posteriormente publicada en un canal público de Telegram. La policía descubrió este contenido durante labores rutinarias de vigilancia en internet. En su investigación, realizó capturas de pantalla del canal de Telegram y aplicó tecnología de reconocimiento facial sobre ellas para identificar a Glukhin. Además, tras deducir que el lugar del vídeo era una estación del metro de Moscú, obtuvo grabaciones de vídeo de cámaras de CCTV de esa estación y de otras dos por las que Glukhin pasó. Cabe destacar que estas grabaciones fueron utilizadas posteriormente como prueba contra él en procedimientos administrativos.
La decisión del tribunal (a la que puede accederse aquí) acentuó la importancia de un marco jurídico transparente y sólido para la recopilación, almacenamiento y uso de datos biométricos. Por ello, el tribunal determinó que se había producido una vulneración tanto del artículo 8 (derecho al respeto de la vida privada) como del artículo 10 (libertad de expresión) del Convenio. La sentencia subrayó la necesidad de normas detalladas que regulen las medidas de reconocimiento facial y la exigencia de salvaguardias robustas frente a posibles usos indebidos y arbitrariedades.
El tribunal enfatizó las implicaciones del uso de una tecnología tan invasiva, señalando que podía generar un efecto inhibidor sobre los derechos a la libertad de expresión y reunión. El tribunal destacó la importancia del derecho al respeto de la vida privada, consagrado en el artículo 8, y de la libertad de expresión, establecida en el artículo 10. En su sentencia, el tribunal concluyó que la injerencia del Estado en los derechos de Glukhin no respondía a una «necesidad social imperiosa» y, por tanto, no estaba justificada.
Este caso sirve como un claro recordatorio de los riesgos y desafíos inherentes asociados a los datos biométricos, especialmente cuando se manejan de forma descuidada o sin una justificación adecuada.
b. Interpretación del criterio de la Junta turca de Protección de Datos sobre datos biométricos
La Junta turca de Protección de Datos, en su decisión con número de referencia 2022/662, realizó una determinación crucial sobre la recopilación y tratamiento de datos biométricos, centrándose específicamente en la geometría de la mano.
i. Antecedentes de la decisión:
La decisión cobró relevancia a raíz de una denuncia presentada por una persona que sostenía que una empresa privada había recopilado sus datos de geometría de la mano sin obtener consentimiento explícito. La principal alegación era que tal acto no solo resultaba invasivo, sino que también contravenía los principios consagrados en la Ley de Protección de Datos Personales (PDPL).
ii. Determinación de la Junta sobre el uso de datos biométricos:
Tras una revisión y deliberación exhaustivas, la Junta respaldó las preocupaciones del denunciante. Se estableció de forma inequívoca que la recopilación de datos de geometría de la mano, aun cuando tuviera fines de seguridad o autenticación, se clasifica como datos biométricos. Esta categorización exige obtener el consentimiento explícito del interesado antes de cualquier recopilación o tratamiento de datos. Se consideró que la empresa privada en cuestión había infringido la PDPL y, en consecuencia, fue sancionada con una multa administrativa de 100.000 TL.
iii. Implicaciones de la decisión:
Esta resolución de la Junta sirve como recordatorio de la naturaleza compleja de los datos biométricos y de las estrictas salvaguardias que rodean su recopilación y tratamiento. La decisión destaca el papel fundamental del consentimiento informado y constituye una advertencia para que las organizaciones alineen meticulosamente sus prácticas de tratamiento de datos con los mandatos legales prescritos.
Más allá de sus implicaciones inmediatas, el pronunciamiento de la Junta sienta un precedente claro para futuros casos y disputas relacionados con datos biométricos. La decisión aclara la definición y el alcance de lo que queda comprendido dentro de los datos biométricos, reforzando los derechos de los interesados en la era digital. Insta a las empresas, tanto nacionales como internacionales que operan en Turquía, a revisar y reevaluar sus métodos de recopilación de datos, asegurando que estén en estricta conformidad con la PDPL y otras normas asociadas.
VII. Reflexiones finales sobre los datos biométricos en Turquía
El recorrido de Turquía en el ámbito de la protección de datos biométricos es dinámico. Con un marco jurídico sólido en la PDPL, el país ha establecido límites claros sobre lo que está permitido y lo que no. Desde la definición de datos personales y biométricos hasta la identificación de los derechos y obligaciones de las partes interesadas, la ley abarca todos estos aspectos.
Las aplicaciones reales de la biometría en sectores como la salud, la tecnología y la seguridad muestran su creciente importancia. Sin embargo, con casos internacionales como GLUKHIN c. Rusia activando señales de alarma, resulta evidente que no hay margen para la complacencia.
La decisión de la Junta turca de Protección de Datos refuerza aún más la postura del país en esta materia, asegurando que el tratamiento de datos biométricos se alinee con las mejores prácticas y respete los derechos individuales.
Para las entidades, especialmente aquellas del sector privado, es crucial mantenerse actualizadas, cumplir con la normativa y priorizar la protección de datos. El panorama puede ser complejo, pero con conciencia y observancia, navegarlo se vuelve menos intimidante.
Esta traducción se ofrece únicamente con fines informativos y puede presentar diferencias respecto del texto original.
