Datos Biométricos en Turquía: Reglas de la KVKK Explicadas

Los lectores de huellas dactilares controlan la entrada a muchas empresas en Turquía. Los sistemas de reconocimiento facial empiezan a aparecer en hoteles de Antalya y otras ciudades. Los lectores de venas de la palma reemplazan gradualmente a las tarjetas de registro de asistencia. Esta expansión de la tecnología biométrica en el país genera una pregunta legal fundamental: ¿bajo qué condiciones es realmente lícito usar estos sistemas? La Ley turca de Protección de Datos Personales (Kişisel Verilerin Korunması Kanunu, KVKK) trata los datos biométricos como la categoría más sensible de información personal y fija reglas que muchas empresas no conocen suficientemente. Para ciudadanos extranjeros e inversores internacionales con actividad en Turquía, entender estas reglas no es opcional.

Qué se entiende por datos biométricos según el derecho turco

El propio texto de la KVKK no define los datos biométricos, pero el artículo 6 los enumera junto con los datos genéticos, los de salud, las creencias religiosas y la vida sexual dentro de la categoría especial de datos personales (özel nitelikli kişisel veri). Los tribunales turcos han recurrido al Reglamento europeo de protección de datos (RGPD) para precisar el concepto: los datos biométricos son aquellos obtenidos mediante el tratamiento técnico específico de características físicas, fisiológicas o conductuales de una persona que permiten identificarla de forma unívoca.

En la práctica, caen dentro de esta definición las plantillas de huellas dactilares, la geometría facial, los escáneres de iris, los lectores de venas de la palma y los sistemas de verificación por voz. Si un sistema identifica a un individuo concreto a través de sus rasgos corporales, casi con certeza está tratando datos biométricos conforme a la KVKK.

La prohibición general y sus excepciones legales

El artículo 6 de la KVKK parte de una prohibición expresa: el tratamiento de las categorías especiales de datos personales — incluidos los biométricos — está prohibido salvo que concurra alguna de las bases legales previstas. Tras la reforma aprobada mediante la Ley n.º 7499 en 2024, esas bases son:

• El consentimiento explícito (açık rıza) del interesado, dado libremente, de forma específica e informada
• Una habilitación legal expresa — la normativa aplicable debe autorizar específicamente el tratamiento
• Necesidad vital cuando el interesado no puede otorgar su consentimiento
• Datos que el propio interesado haya hecho públicos
• Necesidad de establecer, ejercer o defender un derecho
• Finalidades sanitarias y de salud pública (solo por profesionales sujetos a deber de secreto)
• Cumplimiento de obligaciones legales en materia laboral, de seguridad en el trabajo y de seguridad social

El apartado 4 del artículo 6 añade una exigencia transversal: con independencia de la base legal utilizada, el tratamiento de datos de categorías especiales debe cumplir además las medidas de seguridad fijadas por el Consejo de Protección de Datos (Kişisel Verilerin Korunması Kurulu). Estas medidas abarcan el cifrado de plantillas biométricas, controles estrictos de acceso, registros de auditoría y formación del personal.

Para una visión general de las obligaciones bajo la KVKK, véase nuestro artículo sobre el cumplimiento de la KVKK en Turquía.

Biometría en el entorno laboral: el principio de proporcionalidad

El uso más litigado de los datos biométricos en Turquía ha sido el control de asistencia y el acceso a instalaciones. El Danıştay (Consejo de Estado turco) ha examinado repetidamente estos casos y ha sentado una doctrina coherente: la comodidad o la eficiencia técnica no constituyen por sí solas una justificación jurídica para recopilar datos biométricos.

En una resolución de 2022, la Sala 12.ª del Danıştay anuló una disposición administrativa que obligaba a funcionarios a registrar su asistencia mediante lectores de huellas dactilares. El tribunal apreció la ausencia tanto de base legal como de consentimiento genuinamente voluntario. Más relevante aún, razonó que aunque se hubiera obtenido el consentimiento, seguiría siendo necesario superar la prueba de proporcionalidad: si métodos menos intrusivos — como tarjetas de identificación o contraseñas — pueden lograr el mismo objetivo, la recogida de datos biométricos resulta desproporcionada y contraria al principio de minimización de datos del artículo 4 de la KVKK.

Una sentencia de 2023 aplicó el mismo razonamiento a un lector de venas de la palma: la entidad demandada comprobó que los métodos alternativos funcionaban perfectamente bien en su instalación, lo que hacía innecesario — y por tanto ilegal — el sistema biométrico.

El mensaje es directo: la disponibilidad y la eficiencia de la tecnología no convierten en lícito su uso. Si un método menos invasivo cumple la función, el derecho turco puede exigir que se opte por él.

Lo que deben hacer las organizaciones antes de tratar datos biométricos

Antes de poner en marcha cualquier sistema que capture datos biométricos — ya sea en un hotel de Antalya, una fábrica, un complejo residencial o una empresa multinacional con presencia en Turquía —, es necesario:

• Identificar la base legal. ¿Se apoya el tratamiento en el consentimiento explícito o en una norma legal habilitante? El consentimiento no puede insertarse en el contrato de trabajo ni exigirse como condición de acceso al edificio.
• Realizar y documentar la prueba de proporcionalidad. ¿Por qué son necesarios los datos biométricos? ¿Por qué no basta un método menos intrusivo?
• Redactar y entregar el aviso de privacidad antes de iniciar el tratamiento. Para la distinción entre aviso de privacidad y consentimiento explícito bajo la KVKK, véase nuestro artículo sobre avisos de privacidad y consentimiento en la KVKK.
• Aplicar las medidas de seguridad del Consejo — cifrado, control de acceso, registro de eventos y revisiones periódicas.
• Establecer un plazo de conservación y suprimir o anonimizar las plantillas biométricas una vez alcanzado el fin declarado.
• Registrar la actividad de tratamiento en VERBİS si su organización está obligada a inscribirse como responsable del tratamiento. Los tratamientos biométricos deben declararse como categoría de alta sensibilidad. Más información en nuestra guía sobre el registro VERBİS de responsables del tratamiento.

Preguntas frecuentes

P: ¿Puede una empresa turca imponer el uso de lectores de huellas dactilares?

En términos generales, no — sin base legal o consentimiento auténticamente voluntario, esa práctica es contraria a la ley. Y aunque existiera consentimiento, el tratamiento debe superar igualmente la prueba de proporcionalidad: si hay alternativas viables, eso puede ser determinante.

P: ¿Se aplica la KVKK a empresas extranjeras?

Sí. La ley se aplica a cualquier organización que trate datos personales de personas en Turquía, con independencia de dónde esté constituida.

P: ¿Qué ocurre si una empresa trata datos biométricos sin base legal?

El Consejo de Protección de Datos puede imponer sanciones administrativas. El tratamiento sin base legal de datos de categorías especiales puede también generar responsabilidad penal conforme al Código Penal turco (Türk Ceza Kanunu).

P: ¿Qué cambió la reforma de la KVKK de 2024 en materia biométrica?

La reforma amplió la lista de bases legales disponibles para el tratamiento de categorías especiales, pero los requisitos esenciales — base legal, proporcionalidad y medidas de seguridad reforzadas — siguen plenamente vigentes.

Cómo puede ayudarle Mona Hukuk

Nuestro despacho en Antalya asesora a empleadores, empresas tecnológicas e inversores extranjeros en todo lo relacionado con el cumplimiento de la KVKK, desde el diseño legal de sistemas biométricos hasta la representación ante el Consejo de Protección de Datos en procedimientos de inspección y sanción.

Contáctenos en contact@monahukuk.com o llámenos al +90 (242) 606 14 32 para concertar una consulta en Antalya.