I. PANORAMA GENERAL DE LA PROTECCIÓN DE DATOS PERSONALES
La protección de datos personales fue un tema controvertido en Turquía durante muchos años, principalmente debido al proceso de adhesión a la Unión Europea. Aunque Turquía firmó y, por tanto, es parte del Convenio No. 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio 108) desde 1981, las regulaciones internas posteriores nunca fueron implementadas y, por ello, el Convenio 108 nunca entró en vigor de forma efectiva.
Para remediar esta situación, Turquía adoptó una nueva ley en materia de protección de datos personales, la Ley de Protección de Datos Personales No. 6698, publicada en el Diario Legislativo de fecha 7 de abril de 2016 y No. 29677 (la Ley), implementando así de forma efectiva el Convenio 108 a nivel interno.
Esta Ley se considera una mejora muy necesaria en materia de protección de datos personales y establece nuevas responsabilidades para titulares, supervisores y encargados de datos, con el fin de mantener dichos datos personales privados en todo momento. Sin embargo, la Ley contiene definiciones algo imprecisas al determinar qué constituye dato personal, imprecisión que también se encuentra en el Convenio 108.
Estas definiciones amplias permiten una concepción flexible de lo que constituye dato personal, lo que hace posible que distintos conjuntos de datos sean considerados datos personales sin necesidad de modificaciones legislativas. No obstante, también pueden generar ambigüedad y confusión respecto de determinados conjuntos de datos, como los datos biométricos. En consecuencia, para determinar las reglas relativas al uso de datos biométricos, deben examinarse primero los principios generales y la definición de dato personal.
II. DEFINICIÓN DE DATOS PERSONALES Y MÉTODOS DE TRATAMIENTO
El artículo 2 de la Ley define los datos personales como «toda información relativa a una persona física identificada o identificable», mientras que el artículo 6 establece que «los datos personales relativos a la raza, origen étnico, opinión política, convicción filosófica, religión, secta u otra creencia, vestimenta, afiliación a asociaciones, fundaciones o sindicatos, salud, vida sexual, condenas y medidas de seguridad, así como los datos biométricos y genéticos, se consideran datos personales de categoría especial«.
El artículo 2 también define el tratamiento de datos personales como «cualquier operación realizada sobre datos personales, tales como la recogida, registro, almacenamiento, conservación, alteración, reorganización, divulgación, transferencia, recepción, puesta a disposición, clasificación o impedimento de su uso, total o parcialmente por medios automatizados o, siempre que el proceso forme parte de cualquier sistema de registro de datos, por medios no automatizados«.
En consecuencia, incluso la recogida, registro y/o almacenamiento de datos personales se considerará tratamiento de datos y, por tanto, estará sujeto a las estrictas normas procedimentales previstas por la Ley. Por ello, cualquier actuación contemplada en el artículo 2 respecto de cualquier dato personal estará sujeta al consentimiento explícito del titular de los datos conforme al artículo 5. Por supuesto, existen ciertas excepciones a esta regla. Conforme al artículo 5, los datos personales podrán tratarse sin el consentimiento explícito del titular de los datos si:
a) está claramente previsto por la ley,
b) es obligatorio para proteger la vida o la integridad física de la persona o de cualquier otra persona que se encuentre físicamente imposibilitada para prestar su consentimiento o cuyo consentimiento no se considere legalmente válido,
c) el tratamiento de datos personales pertenecientes a las partes de un contrato es necesario, siempre que esté directamente relacionado con la celebración o ejecución de dicho contrato,
d) es obligatorio para que el responsable del tratamiento pueda cumplir sus obligaciones legales,
e) los datos en cuestión han sido puestos a disposición del público por el propio interesado,
f) el tratamiento de datos es obligatorio para el establecimiento, ejercicio o protección de cualquier derecho,
g) es obligatorio para los intereses legítimos del responsable del tratamiento, siempre que dicho tratamiento no vulnere los derechos y libertades fundamentales del titular de los datos.
III. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO Y DERECHOS DEL TITULAR DE LOS DATOS
- Obligaciones del responsable del tratamiento
Conforme al artículo 10, durante la recogida y/o tratamiento de datos, el responsable del tratamiento o las personas autorizadas por este están obligados a informar al titular de los datos sobre (a) la identidad del responsable y de todos sus representantes, (b) la finalidad del tratamiento de datos, (c) a quiénes y con qué fines pueden transferirse los datos tratados y (d) el método y la base jurídica de la recogida de datos personales.
Además, los responsables del tratamiento también están obligados a adoptar todas las medidas necesarias, técnicas y administrativas, para impedir cualquier acceso y/o tratamiento ilícito de dichos datos. Si los datos son gestionados o tratados por terceros autorizados, el responsable del tratamiento será solidariamente responsable junto con el tercero de adoptar estas medidas preventivas y garantizar la seguridad de los datos recogidos.
- Derechos del titular de los datos
Además de las obligaciones impuestas a los responsables del tratamiento, los titulares de los datos también cuentan con una serie considerable de derechos bajo la Ley. Conforme al artículo 11, los titulares de los datos tienen derecho a solicitar al responsable del tratamiento información sobre si sus datos personales están siendo tratados o, en su caso, almacenados y recogidos; en caso afirmativo, con qué finalidad y en qué medida se están tratando los datos personales; información sobre los terceros que tengan acceso a dicha información, si los hubiere; solicitar la rectificación de información incompleta o inexacta, si la hubiere; solicitar la supresión y/o destrucción de los datos personales pertinentes; y solicitar indemnización por los daños sufridos como consecuencia del tratamiento ilícito de datos personales.
Los dos derechos importantes para los titulares de datos en este punto son el derecho a solicitar la rectificación de información incompleta o inexacta y el derecho a reclamar indemnización por los daños sufridos como consecuencia del tratamiento ilícito de datos. Esto otorga efectivamente al titular de los datos la facultad de eliminar y destruir sus datos personales que se estén tratando o que hayan sido tratados en el pasado, y también le reconoce el derecho a reclamar indemnización si los responsables del tratamiento incumplen sus obligaciones derivadas de la Ley.
IV. DEFINICIÓN DE DATOS BIOMÉTRICOS
Hasta hace poco, la legislación no ofrecía una definición separada de datos biométricos ni una definición clara y extensa de lo que constituye dato personal. En su lugar, los datos personales se definían como «toda información relativa a una persona física identificada o identificable». La única otra clasificación relativa a datos personales es la definición de «datos personales de categoría especial» establecida en el artículo 6 (como se indicó anteriormente).
Aunque este artículo 6 es casi una traducción directa del artículo 6 del Convenio 108, existe una diferencia crucial. En 1981, cuando el Convenio 108 se implementó por primera vez, el término datos biométricos no existía y, por tanto, dicho término no fue incluido en el texto original del Convenio 108 ni los datos biométricos fueron clasificados como datos personales de categoría especial. Sin embargo, el artículo 6 de la Ley sí señala que «los datos biométricos y genéticos» deben considerarse datos personales de categoría especial.
Un aspecto interesante a destacar es la jurisprudencia del Tribunal de Apelación respecto de los datos biométricos (dictada antes de la implementación de la Ley). Conforme al precedente establecido por el Tribunal de Apelación, «las huellas dactilares y muestras biológicas como ADN, cabello, saliva y muestras de uñas» deben considerarse datos personales.
Asimismo, el Tribunal Constitucional, al remitirse a los artículos pertinentes del Convenio 108, resolvió que «los datos obtenidos mediante métodos biométricos» deben considerarse datos personales; sin embargo, dichos datos no pueden considerarse «datos personales extremadamente sensibles, como opiniones políticas, creencias religiosas, salud, vida sexual o condenas penales, según lo previsto en el artículo 6 del Convenio 108». Por ello, no está claro cómo debe revisarse este precedente judicial a la luz de los nuevos cambios introducidos en la Ley, aunque se espera que el Tribunal de Apelación modifique dicho precedente conforme a la nueva Ley.
V. TRATAMIENTO DE DATOS BIOMÉTRICOS
Con los recientes avances tecnológicos y el abaratamiento de las tecnologías biométricas, la demanda y el acceso a dichas tecnologías han aumentado de forma drástica. Los escáneres biométricos se utilizan cada vez más con fines de seguridad (especialmente en empresas tecnológicas donde la información confidencial tiene un alto valor y en grandes empresas o holdings con un número elevado de empleados) y con fines de identificación (principalmente en el sector médico, en hospitales, clínicas, etc.).
La cuestión más importante al utilizar datos biométricos con fines de seguridad y/o identificación es obtener el consentimiento explícito del titular de los datos. Si se necesita el consentimiento de cada titular de datos, ¿cómo pueden las empresas utilizar sistemas de seguridad que requieren datos biométricos (como salas seguras o confidenciales accesibles mediante lectores de huellas dactilares) si uno o más de sus empleados se niegan a proporcionarlos? ¿Pueden las empresas exigir a sus empleados que utilicen escáneres biométricos para controlar sus turnos? ¿Puede el sector médico exigir datos biométricos antes de prestar asistencia médica para verificar la identidad de los pacientes?
Todas estas son cuestiones controvertidas debido al reciente desarrollo tecnológico que permite implementar tales sistemas a un coste mucho menor. Además, los escáneres biométricos y los sistemas de seguridad son, discutiblemente, más seguros que las contraseñas simples, que pueden descifrarse, o que sistemas de identificación basados en la firma de una persona, que puede duplicarse.
Lamentablemente, la Ley y la normativa posterior no ofrecen respuestas claras a estas cuestiones. Por ello, los altos tribunales (principalmente el Tribunal de Apelación, el Consejo de Estado y el Tribunal Constitucional) han dictado resoluciones diferentes para distintas situaciones, caso por caso, en función del principio de proporcionalidad.
- Datos biométricos en el sector médico para fines de identificación de pacientes
Conforme al artículo 67 de la Ley de Seguridad Social y Seguro General de Salud No. 5510, los hospitales estatales en Turquía pueden exigir a sus pacientes que proporcionen datos biométricos como medio para verificar la identificación del paciente (el artículo establece que los pacientes deben acreditar su identidad mediante medios biométricos o con documento de identidad, permiso de conducir, certificado de matrimonio o pasaporte, para poder beneficiarse de los servicios de salud).
En consecuencia, algunos hospitales estatales comenzaron a utilizar controles biométricos para verificar la identidad de los pacientes solicitantes, lo que generó cierta controversia, al considerarse una vulneración del derecho a la intimidad.
Finalmente, en 2014, el Consejo de Estado presentó un recurso ante el Tribunal Constitucional solicitando la anulación de las disposiciones pertinentes de este artículo 67, alegando que vulneraban los artículos 2, 13 y 20 de la Constitución. El Tribunal Constitucional rechazó la solicitud y resolvió que los hospitales estatales pueden solicitar datos biométricos para verificar la identidad del paciente y que ello no vulnera el derecho a la intimidad previsto en la Constitución.
La motivación ofrecida por el Tribunal en esta decisión fue que, dado que la verificación de identidad mediante medios biométricos es más segura frente al uso no autorizado, ya que tales datos no pueden falsificarse, resulta mucho más eficaz para combatir la corrupción en las instituciones públicas.
En otras palabras, el Tribunal resolvió que prevenir el abuso del sistema sanitario reviste una importancia primordial y que, comparado con la vulneración del derecho a la intimidad, esta disposición no infringe el principio de proporcionalidad. Por tanto, el Tribunal concluyó que la disposición no vulneraba la Constitución, al existir proporcionalidad entre los derechos protegidos (la integridad del sistema sanitario) y los derechos afectados (el derecho a la intimidad).
- Datos biométricos para controles de turnos de empleados
Esta es otra cuestión, especialmente relevante para grandes empresas y holdings con un número elevado de empleados. Estas empresas utilizan distintos sistemas para controlar y registrar las horas de trabajo de sus empleados, como hojas de firma o sistemas de tarjetas. Sin embargo, otro sistema que puede utilizarse es el escaneo de huellas dactilares, mediante el cual los empleados registran su hora de entrada y salida escaneando sus huellas.
Un hospital estatal en Turquía comenzó a utilizar una aplicación de control de turnos que registraba las horas de trabajo de los empleados mediante lectores de huellas dactilares. Posteriormente, se presentó una demanda contra esta aplicación obligatoria de escaneo de huellas, que finalmente fue resuelta por el Consejo de Estado.
El Consejo de Estado resolvió en dicha decisión que las huellas dactilares de una persona deben considerarse un elemento inseparable de su vida privada y, por tanto, se encuentran bajo la protección del derecho a la intimidad conforme al artículo 20 de la Constitución. Asimismo, el Tribunal señaló que existen otros medios igualmente idóneos para controlar los turnos de los empleados, y que el beneficio obtenido mediante dicha aplicación de control, incluso en el sector público, es insignificante frente a la vulneración del derecho a la intimidad. Por tanto, el Consejo de Estado concluyó que tales aplicaciones vulneran la Constitución y que los empleados no pueden ser obligados a utilizar sistemas de escaneo de huellas dactilares para fines de control de turnos, ni siquiera en el sector público.
- Datos biométricos para salas seguras o confidenciales
Otra tendencia en el ámbito empresarial, especialmente en empresas tecnológicas, es la implementación de salas seguras para almacenar información confidencial de forma segura. Esto es especialmente exigido por empresas extranjeras a sus contrapartes turcas en casos en que se intercambia información altamente clasificada y confidencial entre las partes. Estas salas seguras solían estar protegidas por sistemas basados en contraseñas simples, mientras que actualmente las empresas requieren salas seguras accesibles únicamente mediante datos biométricos, como huellas dactilares, escáneres de retina o reconocimiento facial (al considerarse más seguros que las contraseñas).
Sin embargo, las salas seguras accesibles mediante datos biométricos plantean nuevamente la cuestión del consentimiento. Dado que las empresas necesitan que uno o más de sus empleados tengan acceso a estas salas seguras, deben obtener los datos biométricos de dichos empleados para implementar adecuadamente una sala segura. Aunque todavía no existen resoluciones específicas de altos tribunales sobre esta cuestión, la decisión del Consejo de Estado relativa al uso de datos biométricos para controles de turnos de empleados (mencionada anteriormente) debería servir como una base adecuada.
Aplicando dicha decisión a este caso, resulta claro que el beneficio obtenido de implementar una sala segura (en empresas privadas) será insignificante frente a la vulneración del derecho a la intimidad. Por tanto, las empresas no pueden exigir datos biométricos a sus empleados para la implementación de salas seguras ni pueden extinguir contratos de trabajo basándose en la negativa de un empleado a proporcionar dichos datos. Sin embargo, sigue siendo posible obtener tales datos de empleados que presten su consentimiento (aunque dicho consentimiento debe redactarse cuidadosamente para evitar la vulneración de cualquier disposición de la Ley).
VI. CONCLUSIÓN
La normativa en Turquía relativa a la protección de datos personales es todavía bastante reciente y, por tanto, aún no existen precedentes judiciales consolidados. Las resoluciones judiciales actualmente disponibles son, por lo general, anteriores a la implementación de la Ley y, aunque algunas de ellas hacen referencia al Convenio 108, todavía habrá que esperar algunos años para que los altos tribunales establezcan jurisprudencia específica sobre la propia Ley y sus reglamentos secundarios. Por ello, resulta extremadamente importante que las empresas cuenten con textos integrales de protección de datos personales (textos informativos y formularios de consentimiento), a fin de evitar cualquier posible responsabilidad futura que pueda ser impuesta por la jurisprudencia.
Para obtener más información y asistencia sobre esta materia, no dude en ponerse en contacto con nosotros aquí.
Esta traducción se ofrece únicamente con fines informativos y puede presentar diferencias respecto del texto original.
