Español ES
English English EN Türkçe Türkçe TR Deutsch Deutsch DE Español Español ES 中文 中文 ZH
Contacto y consulta
ES

Firmas biométricas en Turquía: implicaciones legales y protección de datos

Análisis de las firmas biométricas en Turquía, su relación con eIDAS, la LPDP, el consentimiento explícito y las decisiones de protección de datos.

Por Ali Yurtsever · · 9 min de lectura

I. Introducción a las firmas biométricas en Turquía

Las firmas biométricas, una convergencia contemporánea entre tecnología e identificación personal, representan una nueva frontera en el mundo de la validación electrónica y digital. En esencia, las firmas biométricas son una derivación de los datos biométricos. Estos datos, conocidos por su asociación inherente con una persona y por su naturaleza normalmente inalterable, proporcionan atributos únicos que los distinguen de los datos convencionales. Su imposibilidad de ser modificados u olvidados, basada en su conexión innata con la persona, convierte a los datos biométricos en una forma de información distinta de otras.

Sin embargo, a medida que nos adentramos en el ámbito de las transacciones digitales y la autenticación electrónica, encontramos una combinación de distintas regulaciones que pueden variar significativamente entre jurisdicciones. La Unión Europea, con su enfoque sistemático y amplio, ha desarrollado un marco regulatorio integral que abarca diversas formas de firmas electrónicas y digitales. El Reglamento eIDAS, un pilar destacado de esta estructura, ofrece definiciones claras entre distintos niveles de firmas electrónicas, desde las «simples» hasta las avanzadas y cualificadas.

Por el contrario, las firmas biométricas en Turquía presentan un panorama diferente. Mientras que el marco regulatorio de la UE ofrece claridad y cobertura integral, el enfoque de Turquía parece más limitado. El panorama regulatorio del país, centrado predominantemente en las «firmas electrónicas cualificadas», deja sin regular otros tipos de firmas electrónicas y digitales. Este marco limitado genera importantes zonas grises, planteando preguntas sobre la validez, reconocimiento y ejecutabilidad de distintas firmas electrónicas dentro de la jurisdicción turca.

En este artículo, analizaremos las firmas biométricas y cómo encajan en el panorama más amplio de las normas digitales tanto en la UE como en Turquía

II. Diferenciación de tipos de firmas: electrónica, digital y biométrica

Antes de profundizar en las firmas biométricas, es fundamental comprender la distinción entre firmas electrónicas, firmas digitales y firmas biométricas. El Reglamento eIDAS proporciona un enfoque estructurado de las firmas electrónicas:

  • Firmas electrónicas «simples»: Definidas como «datos en formato electrónico anexos a otros datos electrónicos o asociados lógicamente con ellos, que utiliza el firmante para firmar». En esencia, añadir su nombre al final de un correo electrónico podría constituir una firma electrónica «simple».
  • Firmas electrónicas avanzadas (AdES): Más allá de la firma electrónica básica, una AdES está vinculada de forma única al firmante y le permite control total. Además, está vinculada al documento asociado de tal modo que cualquier cambio posterior puede detectarse. La tecnología más extendida que asegura esto es la infraestructura de clave pública (PKI), que comprende el uso de certificados y claves criptográficas.
  • Firmas electrónicas cualificadas (QES): Una QES es una versión reforzada de la AdES, creada mediante un dispositivo cualificado de creación de firma (QSCD) y basada en un certificado cualificado de firma electrónica.

Mientras que las firmas electrónicas y digitales giran principalmente en torno a la validación de datos y la autenticación del usuario, las firmas biométricas se apoyan en las características físicas o conductuales únicas del firmante. Es crucial señalar la posición de la normativa turca en este contexto. La normativa turca solo reconoce las «firmas electrónicas cualificadas» (QES) como firmas válidas. Otras formas, incluidas las firmas electrónicas simples y avanzadas, no son plenamente reconocidas como firmas oficiales en el país, lo que les otorga una posición jurídica limitada. Esta distinción se vuelve más pronunciada al considerar la evolución y el posible reconocimiento legal de las firmas biométricas en Turquía

III. Comprender las firmas biométricas

Las firmas biométricas implican el uso de datos biométricos específicos para crear firmas en una tableta o dispositivo dedicado, con dichos datos a menudo vinculados de forma segura al documento firmado. Es importante aclarar que, aunque las firmas biométricas comparten algunas similitudes con las firmas manuscritas tradicionales, son conceptos distintos. A diferencia de las firmas manuscritas tradicionales realizadas con bolígrafo y papel, las soluciones de firma biométrica carecen de un marco estandarizado, lo que da lugar a características de diseño diversas y funcionalidades diferentes.

La diferencia crucial entre las firmas biométricas y las firmas manuscritas tradicionales reside en la forma en que se evalúan. En el contexto de la privacidad de datos, la esencia del análisis de firmas biométricas se basa en características dinámicas, considerando factores como la presión aplicada durante la firma, el ángulo de escritura, la velocidad y aceleración del lápiz óptico, la formación de letras, la orientación de la firma y otros atributos dinámicos únicos. Esto contrasta con las firmas tradicionales, que se centran principalmente en la apariencia visual de la firma.

IV. Aspectos legales de las firmas biométricas: eIDAS, LPDP y más

a. UE frente a Turquía

El examen de las firmas biométricas en el contexto de los marcos legales y regulatorios revela un panorama multifacético. Las soluciones de firma biométrica presentan variaciones en sus estándares de diseño e implementación, en gran medida debido a la ausencia de un estándar universal global que rija su desarrollo y utilización. En contraste, la Unión Europea ha avanzado sustancialmente en la elaboración de un marco cohesivo para la identificación electrónica y los servicios de confianza dentro del mercado único digital. Este marco, conocido como el «Reglamento de identificación electrónica y servicios de confianza» (eIDAS), ofrece un enfoque estructurado para estas cuestiones y aporta cierta claridad dentro de la UE.

Sin embargo, al desplazar el foco hacia la legislación turca, encontramos una falta de claridad similar. Las distinciones entre firmas biométricas y manuscritas y su compatibilidad con las estructuras legales existentes se vuelven cada vez más marcadas. La ausencia de un marco legislativo específico para las firmas biométricas en Turquía plantea preguntas pertinentes sobre su estatus y reconocimiento bajo la ley. Esta ambigüedad subraya la necesidad de un análisis jurídico riguroso para aclarar la posición de las firmas biométricas dentro del panorama jurídico turco.

b. TCC, LPDP y la decisión de la Junta de Protección de Datos

La inclusión de las firmas biométricas dentro del marco legal plantea preguntas interesantes, especialmente en relación con su compatibilidad con las disposiciones del Código de Obligaciones turco No. 6098 (el «TCC»). En los artículos 14 y 15 del TCC, que delimitan los principios fundamentales de la formación contractual, el requisito de firma se establece como un acto manuscrito. Este énfasis en el acto de firmar exclusivamente a mano plantea una pregunta pertinente: ¿pueden evaluarse las firmas biométricas dentro del ámbito del artículo 6, párrafo 3, de la Ley turca de Protección de Datos Personales No. 6698 (la «LPDP»)?

La distinción entre las firmas manuscritas tradicionales y las firmas biométricas depende del proceso de evaluación. Las firmas manuscritas tradicionales se basan en atributos estáticos o geométricos, es decir, en su apariencia visual. En cambio, las firmas biométricas se centran en características dinámicas, examinando el proceso de creación de la firma. Un análisis integral de firmas biométricas considera elementos dinámicos como la presión aplicada durante la firma, el ángulo y la velocidad del lápiz óptico, la formación de caracteres, la dirección de la firma y una variedad de otras características dinámicas distintivas.

En una decisión clave con número de expediente 2020/649, la Junta turca de Protección de Datos se pronunció sobre esta cuestión. Su criterio enfatizó que el término «firma» dentro del TCC incluye la firma manuscrita tradicional y la firma electrónica segura. Aunque estos dos tipos de firmas producen resultados jurídicos similares, la Junta señaló que el legislador regula ambas de forma diferenciada. Ampliar las disposiciones del TCC para cubrir las firmas biométricas podría conducir a una lectura excesivamente amplia de la excepción del artículo 6, párrafo 3, de la LPDP, potencialmente en conflicto con el principio de proporcionalidad. Por ello, la Junta sugirió un tratamiento cuidadoso de las firmas biométricas, exigiendo:

  • Consentimiento expreso de las personas relacionadas,
  • Notificación adecuada conforme al artículo 10 de la LPDP,
  • Cumplimiento de las «Medidas Adecuadas» determinadas por la Junta al tratar datos personales sensibles, conforme al artículo 6, párrafo 4, de la LPDP.

A la luz de estos puntos, queda claro que las firmas biométricas plantean complejas cuestiones jurídicas que exigen un análisis cuidadoso dentro del marco turco vigente.

V. Uso de datos biométricos y firmas biométricas

En el ámbito de la protección de datos, el uso de firmas biométricas se entrelaza con consideraciones jurídicas complejas. La LPDP clasifica los datos biométricos como un subconjunto especial de datos personales. El tratamiento de estos datos, sin consentimiento explícito, solo está permitido cuando otras leyes lo autorizan. Un ejemplo principal es la disposición que permite recopilar datos biométricos para servicios de salud conforme al artículo 67 de la Ley No. 5510, Ley de Seguridad Social y Seguro General de Salud.

Para un análisis más profundo de las complejidades de los datos biométricos en Turquía, incluidas perspectivas críticas del Tribunal Europeo de Derechos Humanos (TEDH) y de la Autoridad turca de Protección de Datos (DPA), se recomienda a los lectores consultar nuestro artículo detallado: «Claves para el uso de datos biométricos en Turquía: perspectivas críticas del TEDH y la Autoridad turca de Protección de Datos».

Al tratar datos biométricos, es crucial cumplir las siguientes condiciones:

  • Consentimiento explícito: El tratamiento de datos biométricos generalmente requiere el consentimiento explícito de los interesados.
  • Obligación de información: Los responsables del tratamiento deben proporcionar a los interesados información clara y completa sobre el tratamiento de datos.
  • Medidas de seguridad de los datos: Para proteger la integridad y confidencialidad de los datos biométricos, deben existir estrictas medidas de seguridad.

a. Datos biométricos en el sector sanitario

En el sector sanitario, el artículo 67 de la Ley No. 5510 permite a los hospitales estatales solicitar datos biométricos para verificar la identidad de los pacientes al recibir servicios sanitarios. Esta práctica ha generado debates sobre los derechos de privacidad. Sin embargo, el Tribunal Constitucional resolvió que esta disposición no vulnera la Constitución, destacando la importancia de prevenir la corrupción en las oficinas públicas y la mayor seguridad que ofrece la verificación biométrica.

b. Datos biométricos para controles de turnos de empleados

Las grandes empresas y holdings suelen emplear datos biométricos para controlar las horas de trabajo de los empleados. Sin embargo, el uso de escáneres de huellas dactilares para tales fines planteó desafíos legales. El Consejo de Estado resolvió que las huellas dactilares forman parte integral de la vida privada de una persona y, por tanto, están protegidas por el derecho a la privacidad (artículo 20 de la Constitución). Se determinó que existen otros métodos igualmente eficaces para controlar los turnos de los empleados, y obligar a los empleados a utilizar sistemas de escaneo de huellas dactilares fue considerado inconstitucional.

c. Datos biométricos para salas seguras

La implementación de salas seguras, especialmente en empresas tecnológicas para proteger información confidencial, ha generado demanda de datos biométricos. Las empresas pueden exigir a los empleados que proporcionen datos biométricos para acceder a estas salas. Aunque los tribunales superiores aún no han dictado resoluciones específicas sobre esta materia, la decisión del Consejo de Estado relativa a datos biométricos para controles de turnos de empleados sugiere que los empleados no pueden ser obligados a proporcionar tales datos para acceder a salas seguras. La recopilación de datos basada en el consentimiento sigue siendo una opción viable, siempre que el consentimiento se obtenga meticulosamente.

VI. Conclusión

La intersección entre las firmas biométricas y el derecho turco está marcada tanto por promesas como por ambigüedad. Aunque la tecnología abre el camino a medios innovadores y seguros de autenticación, el panorama regulatorio en Turquía sigue siendo cauteloso, enfatizando la importancia del consentimiento explícito y de medidas robustas de protección de datos. Los distintos escenarios, ya sea en salud, gestión de empleados o áreas seguras, presentan matices jurídicos propios, lo que subraya la importancia de un enfoque prudente. En el umbral de una transformación digital, la narrativa en evolución de la biometría en Turquía constituye un testimonio convincente de la compleja interacción entre avance tecnológico y adaptación jurídica. El camino a seguir exige un enfoque armonizado que defienda tanto los derechos individuales como el creciente potencial de la biometría.

Esta traducción se ofrece únicamente con fines informativos y puede presentar diferencias respecto del texto original.

Continuar leyendo

Insights relacionados

Este sitio está registrado en wpml.org como sitio de desarrollo. Cambie a una clave de sitio de producción para remove this banner.