Se introdujeron modificaciones en la Ley de Protección de Datos Personales núm. 6698 (“Ley”) mediante la Ley núm. 7499, publicada en el Boletín Oficial de fecha 12 de marzo de 2024 y número 32487. En febrero de 2025 se publicó en el sitio web de la Autoridad de Protección de Datos Personales (“Autoridad”) la Guía sobre el Tratamiento de Categorías Especiales de Datos Personales (“Guía”). Estas novedades son especialmente relevantes para quienes tratan datos personales sensibles en Turquía.
1. Introducción
Conforme a la Ley, las categorías especiales de datos personales incluyen información relativa a la raza, origen étnico, opiniones políticas, creencias filosóficas, religión, secta u otras creencias de las personas, apariencia física y vestimenta, pertenencia a asociaciones, fundaciones o sindicatos, salud, vida sexual, condenas penales y medidas de seguridad, así como datos biométricos y genéticos.
Antes de la modificación, el tratamiento de categorías especiales de datos personales estaba, como regla general, sujeto al consentimiento explícito del titular de los datos. Respecto del tratamiento de estos datos sin consentimiento explícito, la Ley distinguía anteriormente entre “datos relativos a la salud y la vida sexual” y “otras categorías especiales de datos personales”. Conforme a esta distinción:
- Otras categorías especiales de datos personales: solo podían tratarse sin consentimiento explícito si estaba expresamente previsto por la ley.
- Datos relativos a la salud y la vida sexual: solo podían tratarse sin consentimiento explícito para finalidades como la protección de la salud pública, medicina preventiva, diagnóstico médico, servicios de tratamiento y atención, y planificación y gestión de servicios sanitarios y su financiación, pero únicamente por personas o instituciones sujetas a una obligación de confidencialidad.
Bajo la regulación anterior, los datos de salud podían ser tratados casi exclusivamente por la Institución de Seguridad Social, el Ministerio de Salud y las instituciones sanitarias. Esto generaba diversas inquietudes prácticas respecto del tratamiento de datos de salud necesarios en sectores como seguros, salud y seguridad laboral, y servicios sociales. De hecho, la regulación había restringido ciertas actividades de instituciones públicas, agentes del sector privado y organizaciones no gubernamentales, impidiéndoles cumplir algunas de sus obligaciones legales. Por ello, las modificaciones buscaron resolver estos problemas prácticos y responder a las necesidades actuales.
2. Situación actual
Con las modificaciones recientes, se ha eliminado la distinción entre “datos relativos a la salud y la vida sexual” y “otras categorías especiales de datos personales”. En consecuencia, los datos relativos a la salud y la vida sexual ya no están sujetos a bases legales de tratamiento diferentes de las aplicables a otras categorías especiales de datos personales. Además, las condiciones de tratamiento se han revisado para aplicarse de forma uniforme a todas las categorías especiales de datos personales y se han introducido bases legales adicionales.
Conforme a la nueva regulación, las categorías especiales de datos personales pueden tratarse bajo las siguientes condiciones:
a) Consentimiento explícito del titular de los datos: Si el titular de los datos otorga su consentimiento explícito, sus categorías especiales de datos personales pueden seguir tratándose con base en dicho consentimiento. No existe una diferencia jerárquica entre el consentimiento explícito y las demás bases legales enumeradas a continuación. No obstante, debe recordarse que el consentimiento explícito debe seguir cumpliendo los principios generales establecidos por la Ley.
b) Previsión expresa en la ley: Las categorías especiales de datos personales pueden tratarse sin consentimiento explícito del titular si así lo prevé expresamente la ley. Por ejemplo, conforme al artículo 5 de la Ley núm. 2559 sobre las Facultades y Deberes de la Policía, pueden recogerse datos de huellas dactilares de las personas que solicitan un permiso de conducir o un pasaporte. La Guía aclara que regulaciones como reglamentos, comunicados y circulares emitidos en virtud de una autorización legal expresa para tratar categorías especiales de datos personales también quedarán comprendidas en esta base legal.
c) Imposibilidad práctica: Si el titular de los datos no puede prestar consentimiento debido a una situación de imposibilidad práctica o incapacidad, o si su consentimiento no es jurídicamente válido, las categorías especiales de datos personales pueden tratarse sin consentimiento cuando sea esencial para proteger la vida o integridad física del titular o de otra persona. Un ejemplo de esta base legal es el tratamiento de información sobre el grupo sanguíneo y enfermedades previas de una persona en una emergencia médica en la que la persona está inconsciente.
d) Datos hechos públicos por el titular: Si el titular ha hecho públicas sus categorías especiales de datos personales, dichos datos pueden tratarse sin consentimiento, siempre que el tratamiento sea compatible con la intención del titular. Por ejemplo, si una persona comparte públicamente su grupo sanguíneo e información sobre alergias para fines de emergencia, esos datos pueden utilizarse con ese propósito. Debe subrayarse que el mero hecho de que el titular haya hecho públicas sus categorías especiales de datos personales no basta por sí solo; el responsable del tratamiento debe actuar conforme a la intención o finalidad de divulgación del titular al tratar esos datos.
e) Constitución, ejercicio o protección de derechos legales: Las categorías especiales de datos personales pueden tratarse sin consentimiento si ello es esencial para la constitución, el ejercicio o la protección de un derecho legal. Por ejemplo, un empleador puede conservar datos de salud de un antiguo empleado para posibles litigios posteriores a la terminación de un contrato de trabajo.
De forma similar, cuando no sea posible que un abogado haga valer los derechos de su cliente por otro medio, la presentación ante el tribunal de categorías especiales de datos personales obtenidas lícitamente como parte del expediente puede considerarse una base lícita de tratamiento. Como otro ejemplo, en los casos en que el tratamiento de categorías especiales de datos personales, como información sobre discapacidad o salud relativa a los cónyuges e hijos de empleados, sea necesario para pagos salariales, el tratamiento de esos datos por el empleador también puede considerarse incluido en este ámbito.
f) Servicios de salud y necesidades similares: Las personas o instituciones y organizaciones autorizadas sujetas a obligación de confidencialidad pueden seguir tratando categorías especiales de datos personales sin obtener consentimiento explícito cuando sea necesario para la protección de la salud pública, medicina preventiva, diagnóstico médico, servicios de tratamiento y atención, así como para la planificación, gestión y financiación de servicios sanitarios.
El Ministerio de Salud, todo tipo de instituciones sanitarias y la Institución de Seguridad Social se consideran incluidas en este ámbito respecto de los datos que recopilan para fines determinados. La Guía indica que el término “instituciones y organizaciones autorizadas” incluye no solo instituciones y organizaciones públicas, sino también personas físicas y personas jurídicas privadas que prestan servicios sanitarios. El término “personas sujetas a obligación de confidencialidad” incluye a todos los profesionales sanitarios, así como a quienes, aun no siendo profesionales sanitarios, participan en la prestación de servicios de salud.
g) Cumplimiento de obligaciones legales relacionadas con el empleo: Las categorías especiales de datos personales pueden tratarse sin consentimiento explícito del titular si ello es esencial para cumplir obligaciones legales en materia de empleo, salud y seguridad en el trabajo, seguridad social, servicios sociales y asistencia social.
Entre los ejemplos de esta base legal se incluyen: el tratamiento por empleadores de datos de salud o condenas penales para cumplir su obligación de emplear a personas con discapacidad o condenadas bajo la Ley Laboral núm. 4857 (artículo 30), el tratamiento de datos de salud para exámenes médicos requeridos por convenios colectivos (Ley de Sindicatos y Convenios Colectivos núm. 6356, artículo 36(1)), y el tratamiento de datos de condenas penales y salud de conductores (Reglamento de Transporte por Carretera, artículo 34) y personal de seguridad (Ley núm. 5188 sobre Servicios de Seguridad Privada, artículo 10).
h) Membresía en fundaciones, asociaciones y organizaciones sin ánimo de lucro: Las categorías especiales de datos personales de miembros actuales o antiguos y de personas que mantienen contacto regular con estas organizaciones pueden tratarse sin consentimiento explícito por fundaciones, asociaciones y organizaciones sin ánimo de lucro establecidas con fines políticos, filosóficos, religiosos o sindicales, siempre que el tratamiento sea conforme con su marco legal y sus objetivos, se limite a sus actividades y no se divulgue a terceros.
Por ejemplo, el tratamiento de información relativa a miembros actuales, así como antiguos miembros y personas que mantienen contacto regular mediante donaciones, se considerará incluido en este ámbito. Del mismo modo, un sindicato solo puede tratar datos relativos a la afiliación sindical en relación con su ámbito de actividades y objetivos. Sin embargo, no pueden tratarse datos personales relativos a la salud o religión de los miembros del sindicato si no guardan relación con el ámbito de actividades y objetivos.
Algunas de las bases legales anteriores contienen los términos “necesario” o “esencial”. Según la Guía:
- El término “necesario” significa que las actividades de tratamiento deben evaluarse caso por caso, justificando el uso de datos personales con base en pruebas objetivas. También implica que debe existir una conexión entre los datos tratados y la finalidad legítima invocada, de conformidad con el principio de ser pertinentes, limitados y proporcionales a la finalidad para la que se tratan.
- El término “esencial” no se basa en una evaluación subjetiva, sino que se refiere a una situación en la que las condiciones públicas y sociales requieren el tratamiento de categorías especiales de datos personales. En dichas actividades de tratamiento no debe existir un método alternativo para tratar esas categorías especiales, de modo que la actividad resulte inevitable dentro del alcance de la finalidad indicada.
Por lo tanto, antes de iniciar el tratamiento de categorías especiales de datos personales con base en cualquiera de estas bases legales, debe realizarse una evaluación exhaustiva para determinar si se cumplen estos criterios.
3. Conclusión
Tras las modificaciones, los responsables del tratamiento que tratan categorías especiales de datos personales deben revisar los procesos basados en consentimiento explícito, actualizar sus inventarios de tratamiento de datos personales, avisos informativos y políticas de conservación y destrucción.
El requisito de adoptar “medidas adecuadas” permanece sin cambios. Las categorías especiales de datos personales deben seguir tratándose en cumplimiento de la decisión del Consejo de Protección de Datos Personales de fecha 31 de enero de 2018 y número 2018/10 sobre las medidas adecuadas que deben adoptar los responsables en el tratamiento de categorías especiales de datos personales. Si dichas medidas aún no se han implementado, las organizaciones deben asegurar el cumplimiento lo antes posible.
Asimismo, los responsables que traten datos genéticos y/o biométricos también deben considerar los principios establecidos en la Guía sobre el Tratamiento de Datos Genéticos y la Guía sobre Consideraciones en el Tratamiento de Datos Biométricos.
Nota: Esta traducción se ofrece únicamente como cortesía y puede presentar pequeñas diferencias respecto del texto original.
