Tratamiento de categorías especiales de datos personales: el marco jurídico vigente en Turquía
Se realizaron modificaciones a la Ley de Protección de Datos Personales N° 6698 (“Ley. ”) mediante la Ley N° 7499, publicada en el Diario Oficial de fecha 12 de marzo de 2024, y numerada 32487. En febrero de 2025, se publicó la Guía sobre el Tratamiento de Categorías Especiales de Datos Personales (“Guía”) se publicó en el sitio web de la Autoridad de Protección de Datos Personales (“Autoridad").
1. Introducción
Según la Ley, las categorías especiales de datos personales incluyen información sobre la raza, el origen étnico, las opiniones políticas, las creencias filosóficas, la religión, la secta u otras creencias, la apariencia física y la vestimenta, la membresía en asociaciones, fundaciones o sindicatos, la salud, la vida sexual, las condenas penales y las medidas de seguridad, así como los datos biométricos y genéticos.
Antes de la reforma, el tratamiento de categorías especiales de datos personales estaba sujeto, por regla general, al consentimiento explícito del interesado. En lo que respecta al tratamiento de dichos datos sin consentimiento explícito, la Ley establecía anteriormente una distinción entre “datos relacionados con la salud y la vida sexual" y "otras categorías especiales de datos personales.” Según esta distinción:
- Otras categorías especiales de datos personales:solo podrán ser objeto de tratamiento sin consentimiento explícito, si así lo prevé expresamente la ley.
- Datos relacionados con la salud y la vida sexual: sólo podrán ser objeto de tratamiento sin consentimiento explícito, para fines tales como la protección de la salud pública, la medicina preventiva, el diagnóstico médico, los servicios de tratamiento y atención, y la planificación y gestión de los servicios de salud y su financiación, pero únicamente por personas o instituciones sujetas a una obligación de confidencialidad.
Conforme a la normativa anterior, los datos sanitarios podían ser procesados casi exclusivamente por la Institución de Seguridad Social, el Ministerio de Salud y las instituciones de atención sanitaria. Esto planteó varias preocupaciones prácticas con respecto al procesamiento de los datos sanitarios necesarios en sectores como los seguros, la salud y la seguridad en el trabajo y los servicios sociales. De hecho, la normativa había restringido ciertas actividades de las instituciones públicas, las partes interesadas del sector privado y las organizaciones no gubernamentales, impidiéndoles cumplir algunas de sus obligaciones legales. Por lo tanto, las modificaciones tenían por objeto abordar estas cuestiones prácticas y satisfacer las necesidades actuales.
2. Situación actual
Con las recientes modificaciones, la distinción entre ““datos relacionados con la salud y la vida sexual” y "otras categorías especiales de datos personales” ha sido suprimido. En consecuencia, los datos relacionados con la salud y la vida sexual ya no están sujetos a bases jurídicas diferentes para su tratamiento que otras categorías especiales de datos personales. Además, se han revisado las condiciones de tratamiento para que se apliquen de manera uniforme a todas las categorías especiales de datos personales y se han introducido bases jurídicas adicionales.
Según la nueva normativa, se podrán tratar categorías especiales de datos personales en las siguientes condiciones:
a) Consentimiento explícito del interesado: Si el interesado da su consentimiento explícito, las categorías especiales de datos personales que le conciernen podrán seguir tratándose sobre la base de dicho consentimiento. No existe una diferencia jerárquica entre el consentimiento explícito y las demás bases jurídicas que se enumeran a continuación. No obstante, cabe señalar que el consentimiento explícito debe seguir cumpliendo los principios generales establecidos por la Ley.
b) Explícitamente previsto por la ley:Se podrán procesar categorías especiales de datos personales sin el consentimiento explícito del titular de los datos si así lo prevé expresamente la ley. Por ejemplo, en virtud del artículo 5 de la Ley 2559 sobre los poderes y deberes de la policía, se podrán recopilar datos de huellas dactilares de personas que soliciten una licencia de conducir o un pasaporte. La Guía aclara que las normas, como los reglamentos, los comunicados y las circulares emitidos en virtud de la autoridad explícitamente otorgada por la ley para procesar categorías especiales de datos personales también se incluirán en esta base jurídica.
c) Imposibilidad práctica:Si un interesado no puede dar su consentimiento debido a una situación de imposibilidad práctica o discapacidad o su consentimiento es jurídicamente inválido, se podrán tratar categorías especiales de datos personales sin consentimiento si es esencial para proteger la vida o la integridad física del interesado o de otra persona. Un ejemplo de esta base jurídica es el tratamiento de información sobre el tipo de sangre de una persona y sus enfermedades pasadas en una situación médica de emergencia en la que la persona está inconsciente.
d) Datos divulgados públicamente por el titular de los datos:Si el interesado ha hecho públicas sus categorías especiales de datos personales, dichos datos podrán ser tratados sin consentimiento, siempre que el tratamiento se ajuste a la intención del interesado. Por ejemplo, si una persona comparte públicamente su tipo de sangre y su información sobre alergias en caso de emergencia, dichos datos podrán utilizarse para este fin. Cabe destacar que el mero hecho de que el interesado haya hecho públicas sus categorías especiales de datos personales no es suficiente por sí solo; el responsable del tratamiento de datos debe actuar de acuerdo con la intención o el propósito de divulgación del interesado al tratar estos datos.
e) Establecimiento, ejercicio o protección de derechos legales:Se podrán procesar categorías especiales de datos personales sin consentimiento si son esenciales para el establecimiento, ejercicio o protección de un derecho legal. Por ejemplo, un empleador puede conservar los datos de salud de un ex empleado para posibles disputas legales tras la rescisión de un contrato de trabajo.
De manera similar, en los casos en que no sea posible que un abogado haga valer los derechos de su cliente de ninguna otra manera, la presentación de categorías especiales de datos personales obtenidos legalmente al tribunal como parte del expediente del caso puede considerarse una base legal para el procesamiento. Como otro ejemplo, en los casos en que se requiere el procesamiento de categorías especiales de datos personales, como información sobre discapacidad o salud relacionada con los cónyuges e hijos de los empleados, para el pago de salarios, el procesamiento de dichos datos por parte del empleador también puede considerarse dentro de este alcance.
f) Servicios de salud y necesidades análogas.:Las personas o instituciones y organizaciones autorizadas bajo la obligación de confidencialidad podrán continuar procesando categorías especiales de datos personales sin obtener el consentimiento explícito cuando sea necesario para la protección de la salud pública, la medicina preventiva, el diagnóstico médico, los servicios de tratamiento y atención, así como para la planificación, gestión y financiación de los servicios de salud.
El Ministerio de Salud, todo tipo de instituciones de atención de salud y la Institución de Seguridad Social se consideran dentro de este ámbito en lo que respecta a los datos que recopilan para fines específicos. La Guía indica que el término “Instituciones y organizaciones autorizadas" incluye no sólo a las instituciones y organizaciones públicas sino también a las personas físicas y jurídicas privadas que prestan servicios de atención sanitaria. El término "personas sujetas a la obligación de confidencialidad” incluye a todos los profesionales de la salud, así como a aquellos que, incluso si no son profesionales de la salud, participan en la prestación de servicios de salud.
g) Cumplimiento de obligaciones legales en materia laboral:Se podrán procesar categorías especiales de datos personales sin el consentimiento explícito del interesado si es esencial para cumplir con obligaciones legales en las áreas de empleo, salud y seguridad en el trabajo, seguridad social, servicios sociales y asistencia social.
Ejemplos de esta base legal incluyen: empleadores que procesan datos de salud o condenas penales para cumplir con su obligación de emplear a personas discapacitadas o condenadas según la Ley Laboral No. 4857 (artículo 30), procesamiento de datos de salud para exámenes de salud requeridos por convenios colectivos (Ley de Sindicatos y Convenios Colectivos de Trabajo No. 6356, artículo 36(1)), y procesamiento de datos de salud y condenas penales para conductores (Reglamento de Transporte por Carretera, artículo 34) y personal de seguridad (Ley No. 5188 sobre Servicios de Seguridad Privada, artículo 10).
h) La pertenencia a fundaciones, asociaciones y organizaciones sin fines de lucro:Las categorías especiales de datos personales (de los miembros actuales o anteriores y de las personas que están en contacto habitual con estas organizaciones) podrán ser tratadas sin consentimiento explícito por fundaciones, asociaciones y organizaciones sin ánimo de lucro constituidas con fines políticos, filosóficos, religiosos o sindicales, siempre que el tratamiento sea conforme a su marco jurídico y objetivos, se limite a sus actividades y no se divulgue a terceros.
Por ejemplo, se considerarán dentro de este ámbito de aplicación el tratamiento de información relativa a los miembros actuales, así como a los antiguos miembros y a las personas con las que se mantiene un contacto regular mediante donaciones. De manera similar, un sindicato solo puede tratar datos relativos a la afiliación sindical en relación con su ámbito de actividades y objetivos. Sin embargo, no se podrán tratar datos personales relativos a la salud o la religión de los miembros del sindicato si no están relacionados con el ámbito de actividades y objetivos.
Algunas de las bases jurídicas mencionadas anteriormente contienen los términos “necesario” o “esencial”. Según la Guía:
- El término "necesario" Significa que las actividades de tratamiento de datos deben evaluarse caso por caso, justificando el uso de datos personales con base en evidencias objetivas. También implica que debe existir una conexión entre los datos tratados y la finalidad legítima alegada, de acuerdo con el principio de pertinencia, limitación y proporcionalidad respecto de la finalidad para la que se tratan.
- El término "esencial" No se basa en una evaluación subjetiva, sino que se refiere a una situación en la que las condiciones públicas y sociales exigen el tratamiento de categorías especiales de datos personales. En tales actividades de tratamiento, no debe existir ningún método alternativo para el tratamiento de categorías especiales de datos personales, lo que hace que la actividad de tratamiento sea inevitable en el marco del propósito especificado.
Por lo tanto, antes de iniciar el procesamiento de categorías especiales de datos personales con base en cualquiera de estas bases legales, se debe realizar una evaluación exhaustiva para determinar si se cumplen estos criterios.
3. Conclusión
Tras las modificaciones, los responsables del tratamiento de datos que procesen categorías especiales de datos personales deberán revisar los procesos basados en el consentimiento explícito, actualizar sus inventarios de tratamiento de datos personales, avisos de información y políticas de retención y destrucción.
El requisito de tomar “medidas adecuadas” permanece sin cambios. Las categorías especiales de datos personales deben continuar siendo procesadas de conformidad con la política de protección de datos personales del Consejo de Protección de Datos Personales. Decisión de 31 de enero de 2018, con número 2018/10, relativa a las medidas adecuadas que deben adoptar los responsables del tratamiento en el tratamiento de categorías especiales de datos personales. Si aún no se han aplicado medidas adecuadas, las organizaciones deben garantizar su cumplimiento lo antes posible.
Además, los responsables del tratamiento de datos genéticos y/o biométricos también deben tener en cuenta los principios descritos en el Guía sobre el tratamiento de datos genéticos además Directriz sobre consideraciones en el procesamiento de datos biométricos.
