Turquía KVKK: Cumplimiento de la protección de datos personales

La Kişisel Verilerin Korunması Kanunu (KVKK – Ley de Protección de Datos Personales No. 6698) de Turquía entró en vigor el 7 de abril de 2016, convirtiendo a Turquía en uno de los primeros países fuera de la UE en promulgar una legislación integral de protección de datos alineada con el RGPD. Con la creciente economía digital de Turquía, su importante población (85 millones) y su papel como centro para empresas que atienden a los mercados de Europa y Medio Oriente, el cumplimiento de la KVKK se ha convertido en una consideración cada vez más importante para las organizaciones internacionales.

La KVKK es administrada por la Autoridad de Protección de Datos Personales (Kişisel Verileri Koruma Kurumu - Autoridad KVKK o KVK Kurumu) y aplicada por la Junta de Protección de Datos Personales (Kişisel Verileri Koruma Kurulu). La Junta ha emitido activamente orientaciones, investigado denuncias e impuesto multas importantes, con sanciones que alcanzarán los 19,8 millones de libras esterlinas (620.000 dólares estadounidenses) por infracción a partir de 2025.

Conclusiones clave

• KVKK se aplica a personas físicas y jurídicas que procesan datos personales de personas turcas, independientemente de dónde esté establecido el controlador
• Existen siete condiciones de procesamiento para datos personales generales; ocho para datos personales sensibles
• Los datos personales sensibles incluyen raza, origen étnico, opinión política, creencias filosóficas, religión, secta, afiliación sindical, salud, vida sexual, condenas penales, datos biométricos y genéticos.
• Los interesados tienen ocho derechos, incluidos el acceso, la rectificación, la supresión y la oposición a las decisiones automatizadas.
• Las transferencias de datos transfronterizas requieren una determinación de idoneidad por parte de la Junta o un consentimiento explícito
• El registro VERBİS (Registro de Controladores de Datos) es obligatorio para los controladores que cumplen ciertos umbrales
• Se requiere notificación de violación de datos sin demora indebida a la Junta y dentro de las 72 horas para violaciones graves
• Multas administrativas de hasta 19,8 millones de libras esterlinas; responsabilidad penal según el Código Penal turco

---

Marco KVKK y Ámbito Territorial

Aplicabilidad

KVKK se aplica a:

• Personas físicas y jurídicas que traten datos personales total o parcialmente por medios automatizados
• Personas físicas y jurídicas que traten datos personales por medios no automatizados si los datos forman parte de un fichero

Alcance extraterritorial: KVKK no establece explícitamente la aplicación extraterritorial en los mismos términos claros que el artículo 3 del RGPD. Sin embargo, la Junta ha adoptado la posición de que KVKK se aplica a los controladores de datos extranjeros que procesan datos personales de personas en Turquía, lo que se refleja en acciones de cumplimiento contra Facebook/Meta y otras empresas internacionales. Los responsables del tratamiento fuera de Turquía que ofrezcan bienes/servicios a personas turcas o procesen datos de personas turcas deben evaluar las obligaciones de la KVKK.

Exenciones: KVKK no se aplica a:

• Tratamiento de datos personales por parte de personas físicas para actividades puramente personales
• Tratamiento de datos personales con fines de investigación y persecución penal
• Tratamiento de datos personales anonimizados con fines estadísticos
• Procesamiento para las artes y la literatura.
• Tratamiento con fines periodísticos, académicos, artísticos o literarios (con limitaciones)
• Tratamiento en el ámbito de la defensa nacional, la seguridad y la seguridad pública

---

Condiciones de procesamiento

El artículo 5 establece las condiciones bajo las cuales se pueden procesar datos personales. Se debe cumplir al menos una condición:

1. Consentimiento explícito del interesado
2. Explícitamente previsto por la ley: procesamiento expresamente requerido o permitido por la legislación
3. Protección de la vida o la integridad física: cuando el interesado o el tercero no puedan dar su consentimiento
4. Necesidad del contrato: procesamiento necesario para la celebración o ejecución de un contrato
5. Obligación legal — cumplimiento de una obligación legal del responsable del tratamiento
6. El interesado ha hecho públicos los datos: la persona ha revelado los datos
7. Establecimiento, ejercicio o protección de un derecho — necesario para procedimientos legales

Condiciones de Datos Personales Sensibles (Artículo 6): Los datos personales sensibles sólo podrán ser tratados:

1. Con el consentimiento explícito del interesado
2. Sin consentimiento, para categorías específicas únicamente:

• Datos de salud y vida sexual: sólo para protección de la salud pública, medicina preventiva, diagnóstico médico, servicios de atención/tratamiento y planificación y gestión de servicios de salud, por o bajo la obligación de secreto de las personas del sector salud.
• Otros datos sensibles (raza, origen étnico, religión, afiliación sindical, etc.): procesamiento permitido cuando las leyes lo establezcan explícitamente.

Los datos personales sensibles incluyen: raza, origen étnico, opinión política, creencias filosóficas, religión, secta u otras creencias, vestimenta, afiliación sindical, salud, vida sexual, condenas penales y medidas de seguridad, y datos biométricos y genéticos.

---

Derechos del interesado

El artículo 11 otorga a los interesados los siguientes derechos: las solicitudes deben responderse dentro de 30 días sin costo alguno:

Ejercicio de derechos: Los interesados ​​presentan solicitudes por escrito (o mediante el método especificado por el responsable del tratamiento). Los controladores deben responder en un plazo de 30 días. Si se rechaza la solicitud, el interesado puede presentar una reclamación ante la Junta en un plazo de 30 días.

---

Registro de VERBİS

El artículo 16 exige que los responsables del tratamiento de datos se registren en el Registro de responsables del tratamiento de datos (VERBİS — Veri Sorumluları Sicili) antes de comenzar a procesar datos personales. El registro requiere:

• Identidad del responsable del tratamiento e información de contacto.
• Finalidades del tratamiento
• Grupos de datos transferidos y destinatarios.
• Fines de transferencia
• Categorías de datos procesados
• Medidas de seguridad tomadas
• Plazos de conservación

Exenciones del registro de VERBİS (determinadas por decisiones de la Junta):

• Número anual de empleados inferior a 50 Y estado financiero anual que no exceda los 25 millones de liras turcas
• Tratamiento únicamente en beneficio propio del interesado
• Tratamiento con una finalidad limitada en la que no se tratan datos sensibles

Importante: Incluso si está exento del registro VERBİS, se aplican todas las demás obligaciones de KVKK. La exención VERBİS solo elimina el requisito de registro.

Controladores de datos en el extranjero: La Junta ha determinado que los controladores de datos en el extranjero sujetos a KVKK también deben registrarse en VERBİS si no están dentro de una categoría de exención.

---

Obligaciones de los responsables del tratamiento

Aviso de privacidad

Los responsables del tratamiento de datos deben informar a los interesados en el momento de la recopilación o antes de dicha recopilación:

• Identidad del responsable del tratamiento y representante (si procede)
• Finalidades del tratamiento
• Destinatarios de los datos personales y finalidades de la transferencia
• Método de recogida de datos y base jurídica.
• Derechos del interesado en virtud del artículo 11

Idioma: Debe estar en turco para operaciones que atiendan a personas turcas.

Representante del controlador de datos

Si bien la KVKK no exige explícitamente un representante turco para los controladores extranjeros de la misma manera que el artículo 27 del RGPD, la práctica de aplicación de la Junta ha indicado que los controladores extranjeros deben designar un punto de contacto en Turquía. Se espera que un reglamento de la Junta de 2024 sobre transferencias transfronterizas formalice este requisito.

Minimización de datos y limitación de finalidad

El artículo 4 establece principios básicos de procesamiento de datos:

• Cumplimiento de la ley y buena fe
• Exactitud y estar al día.
• Tratamiento con finalidades específicas, claras y legítimas
• Relevancia, restricción y proporcionalidad al propósito
• Conservación durante el plazo previsto por la ley o exigido por la finalidad.

Medidas de seguridad (Artículo 12)

Los responsables del tratamiento deberán adoptar todas las medidas técnicas y administrativas necesarias para evitar:

• Tratamiento ilícito de datos personales
• Acceso ilícito a datos personales
• Pérdida, destrucción o alteración de datos personales

La Junta ha publicado directrices técnicas específicas. Los requisitos clave incluyen:

• Cifrado de datos personales sensibles en almacenamiento y transmisión.
• Control de acceso y gestión de autenticación.
• Registro de auditoría
• Pruebas de penetración (al menos anualmente)
• Formación del personal.

---

Transferencia de datos transfronteriza

Los artículos 9 y 9/A regulan las transferencias internacionales de datos. Restricciones clave:

Prohibición general: Los datos personales no pueden transferirse al extranjero sin el consentimiento explícito del titular, a menos que se cumpla una de las siguientes condiciones:

1. Protección adecuada: La Junta ha determinado que el país de destino proporciona protección adecuada; y se cumple una de las condiciones de procesamiento

2. Compromiso: El destinatario extranjero se compromete por escrito a que se le brindará la protección adecuada; y la Junta ha aprobado la transferencia

3. Cláusulas contractuales estándar: las enmiendas de la KVKK de 2024 introducen SCC basadas en el enfoque del GDPR: las transferencias a países no adecuados pueden utilizar cláusulas contractuales estándar aprobadas por la Junta

4. Normas corporativas vinculantes: BCR aprobadas para transferencias intragrupo

5. Transferencias excepcionales: Cuando no se puede obtener el consentimiento explícito y la transferencia es necesaria para: procedimientos judiciales, intereses vitales, ejercicio de derechos, desempeño de funciones oficiales

Países con determinación de idoneidad: La Junta mantiene una lista; A principios de 2026, ha aprobado un número limitado de países. La UE no tiene un acuerdo de adecuación recíproca con Turquía (a pesar de la alineación del RGPD de KVKK), lo que significa que las transferencias UE→Turquía y Turquía→UE requieren SCC o consentimiento explícito.

Realidad práctica de los servicios en la nube: Muchas empresas que operan en Turquía utilizan servicios en la nube alojados fuera de Turquía. Según los requisitos actuales de la KVKK, deben obtener el consentimiento explícito para los datos de cada individuo transferidos al extranjero o implementar SCC/BCR para el acuerdo de transferencia.

---

Notificación de infracción

La KVKK no especifica un cronograma explícito de notificación de incumplimiento en la ley original. Sin embargo, las decisiones de la Junta y las directrices de implementación establecen:

• Notificación a la Junta Directiva: sin demoras indebidas y a más tardar dentro de las 72 horas posteriores a tener conocimiento de una violación de datos personales
• Notificación a los interesados: si es probable que la violación afecte los derechos de los interesados, sin demoras indebidas
• Utilice el formulario de notificación de la Junta disponible en el portal kvkk.gov.tr

Contenido de la notificación:

• Naturaleza de la infracción y categorías/número aproximado de personas afectadas
• Categorías y número aproximado de registros afectados
• Datos de contacto de la persona de contacto en materia de protección de datos
• Posibles consecuencias del incumplimiento
• Medidas adoptadas o propuestas

---

Aplicación de la junta y sanciones

La Junta de Protección de Datos Personales (Kişisel Verileri Koruma Kurulu) tiene siete miembros designados por el Presidente de Turquía. Tiene autoridad para:

• Investigar quejas
• Realizar investigaciones de oficio
• Emitir decisiones vinculantes
• Imponer multas administrativas
• Emitir órdenes de cumplimiento

Multas administrativas (actualizadas anualmente):

Sanciones penales: Según los artículos 135 a 140 del Código Penal turco, la grabación ilegal, el suministro a terceros, la destrucción o el uso de datos personales pueden dar lugar a una pena de prisión de 1 a 4 años. El uso indebido de datos confidenciales aumenta las sanciones.

Acciones de cumplimiento notables: La Junta ha emitido decisiones importantes que incluyen multas contra: WhatsApp (1,95 millones de ₺ por transferencia transfronteriza ilegal a través de cambios en la política de privacidad), Trendyol (múltiples acciones por deficiencias de seguridad de datos), Meta/Facebook (3 millones de ₺ por compartir datos de WhatsApp) y varios bancos y operadores de telecomunicaciones turcos.

---

Lista de verificación de cumplimiento de KVKK

• Se determina la aplicabilidad de KVKK (operaciones en Turquía o datos de personas turcas procesados)
• Registro de VERBİS completado o exención confirmada
• Inventario de datos personales completado, incluida la identificación de datos confidenciales.
• Condiciones de procesamiento documentadas para cada actividad
• Condiciones de procesamiento de datos sensibles documentadas (consentimiento explícito o exención específica)
• [] Aviso de privacidad preparado en turco con todos los elementos requeridos
• Procedimientos de derechos del interesado documentados (respuesta de 30 días)
• Evaluación de transferencia transfronteriza completada: mecanismo vigente (SCC, consentimiento o adecuación)
• Medidas de seguridad implementadas: cifrado, control de acceso, registro de auditoría
• Prueba de penetración realizada y resultados documentados.
• Procedimiento de notificación de incumplimiento documentado (notificación a la Junta cada 72 horas)
• [] Programas de retención documentados y eliminación automática configurada
• Se completó la capacitación del personal sobre las obligaciones del KVKK.
• [] Entradas de VERBİS mantenidas actualizadas y actualizadas

---

Preguntas frecuentes

¿Qué es VERBİS? ¿Es obligatorio el registro para mi negocio?

VERBİS (Veri Sorumluları Sicili) es el Registro de Controladores de Datos de Turquía, un registro público de organizaciones que procesan datos personales. El registro es obligatorio para los controladores de datos que no califican para una exención determinada por la Junta. Las categorías exentas incluyen organizaciones pequeñas (menos de 50 empleados Y menos de 25 millones de TL de facturación anual) que no procesan datos confidenciales. Todas las demás organizaciones que procesan datos personales con fines comerciales deben registrarse antes de comenzar el procesamiento. La falta de registro está sujeta a multas administrativas de hasta 1,96 millones de libras esterlinas.

¿Cómo se compara KVKK con el RGPD?

KVKK y GDPR son similares en estructura y principios: ambos establecen bases legales, derechos de los interesados, marcos de controlador/procesador y obligaciones de seguridad de datos. Diferencias clave: (1) KVKK tiene menos condiciones de procesamiento (7 frente a las 6 del RGPD, pero las condiciones de KVKK difieren sustancialmente); (2) Las transferencias transfronterizas KVKK son más restrictivas: Turquía no es un país adecuado para la UE, por lo que las transferencias UE→Turquía y Turquía→UE requieren SCC o consentimiento; (3) el registro de VERBİS no tiene un equivalente directo del RGPD; (4) las sanciones penales del KVKK son más amplias; (5) El enfoque de aplicación de la ley por parte de la KVKK ha sido más restrictivo con respecto a los flujos de datos internacionales.

¿Mi empresa necesita un representante local en Turquía?

La KVKK no tiene un requisito explícito análogo al artículo 27 del RGPD para un representante turco. Sin embargo, la Junta ha tomado medidas coercitivas contra empresas extranjeras, y el cumplimiento práctico (incluido el registro de VERBİS y la respuesta a las investigaciones de la Junta) requiere comunicación en idioma turco y la capacidad de responder dentro de los procesos legales turcos. Muchas empresas extranjeras designan a un bufete de abogados turco o a un socio de cumplimiento como su representante de facto. Se espera que las enmiendas de la KVKK de 2024 aclaren los requisitos representativos para los controladores extranjeros.

¿Cuáles son las opciones de transferencia transfronteriza para las empresas turcas que utilizan AWS o Azure?

AWS y Azure tienen centros de datos en Turquía (AWS y Azure tienen regiones de Estambul). El uso de servicios de la región de Turquía evita problemas de transferencias transfronterizas. Si utiliza regiones de la nube no turcas, necesita un mecanismo de transferencia transfronteriza. Actualmente, las opciones principales son: (1) consentimiento individual explícito (un desafío operativo para el uso de la nube a gran escala); (2) compromiso: el destinatario extranjero proporciona un compromiso por escrito para proteger los datos, aprobado por la Junta (el proceso de aprobación de la Junta es largo); (3) SCC aprobadas por la Junta introducidas en enmiendas de 2024. Muchas empresas están esperando la orientación de la Junta sobre las plantillas de SCC antes de migrar desde enfoques basados ​​en el consentimiento.

¿Qué tipos de infracciones generan las multas más altas del KVKK?

Las multas administrativas más elevadas (hasta 19,6 millones de libras esterlinas) se aplican a infracciones de transferencias transfronterizas. Las violaciones de las obligaciones de seguridad de los datos conllevan multas de hasta 9,8 millones de libras esterlinas. El incumplimiento de las decisiones de la Junta también conlleva multas elevadas (de hasta 9,8 millones de libras esterlinas). En la práctica, la Junta ha emitido las multas más cuantiosas por: transferencias transfronterizas ilegales (particularmente a plataformas de redes sociales), violaciones de seguridad de datos resultantes de medidas técnicas inadecuadas e incumplimiento sistemático de las obligaciones de notificación. Las sanciones penales (encarcelamiento según el Código Penal turco) están reservadas al registro o suministro deliberado e ilegal de datos personales.

---

Próximos pasos

La KVKK de Turquía es un marco de cumplimiento exigente con aplicación activa, normas técnicas específicas y reglas complejas de transferencia transfronteriza. A medida que la legislación turca continúa evolucionando a través de decisiones de la Junta y modificaciones regulatorias, mantener el cumplimiento requiere un monitoreo continuo.

ECOSIRE ayuda a las empresas que operan en Turquía con evaluaciones de cumplimiento de KVKK, soporte de registro de VERBİS, implementación técnica de controles de protección de datos y selección de mecanismos de transferencia transfronteriza.

Comenzar: Servicios ECOSIRE

Descargo de responsabilidad: esta guía tiene fines informativos únicamente y no constituye asesoramiento legal. La ley turca de protección de datos está sujeta a cambios continuos a través de decisiones de la Junta y enmiendas legislativas. Consulte a un asesor legal turco calificado para obtener asesoramiento específico para su organización.