Por abogado Serkan Kara, Istanbul Bar No. 53770. Última actualización: 14 de junio de 2026.
La protección de datos en Turquía se rige por la Ley de Protección de Datos Personales n.º 6698 (KVKK), un régimen estrechamente inspirado en el Reglamento General de Protección de Datos de la UE (RGPD). La KVKK regula cómo los responsables del tratamiento recopilan, tratan, almacenan y transfieren datos personales, establece las condiciones de licitud del tratamiento en su artículo 5, regula las transferencias internacionales en su artículo 9 y es aplicada por la Autoridad de Protección de Datos Personales (Kisisel Verileri Koruma Kurumu). Para las empresas con actividad transfronteriza, el cumplimiento de la KVKK convive hoy con la exposición al RGPD, el Reglamento de IA de la UE y los deberes de notificación de brechas, de modo que los instrumentos aplicables deben leerse de forma conjunta y no aislada.
Para los inversores extranjeros, los asesores jurídicos internos y las empresas transfronterizas, el cumplimiento en materia de tecnología y privacidad de datos en Turquía ha dejado de ser un ejercicio de una sola norma. La Ley de Protección de Datos Personales n.º 6698 (KVKK) es el instrumento interno central, pero la exposición real también pasa por el RGPD, el Reglamento de IA de la UE y las obligaciones contractuales impuestas por los clientes corporativos. Esta guía responde a las preguntas que los clientes realmente plantean, identifica los instrumentos aplicables y explica cómo un programa de cumplimiento documentado reduce el riesgo sancionador y el riesgo en las operaciones.
¿Qué ley rige la protección de datos en Turquía?
La protección de datos en Turquía se rige por la Ley de Protección de Datos Personales n.º 6698 (KVKK), que entró en vigor en 2016 y está alineada estructuralmente con el RGPD de la UE. La KVKK se aplica a los responsables y encargados del tratamiento que manejan datos personales de personas físicas, fija las condiciones de licitud del tratamiento, define los derechos de los interesados y crea la Autoridad de Protección de Datos Personales como órgano de control. Las empresas que prestan servicios a clientes europeos siguen además sujetas al RGPD, de manera que un mismo negocio suele asumir obligaciones dobles.
La KVKK construye su marco sobre principios conocidos: tratamiento lícito, leal y transparente; limitación de la finalidad; minimización de los datos; exactitud; limitación del plazo de conservación; y seguridad de los datos. Estos principios no son abstractos. Son el criterio frente al cual la Autoridad valora si el tratamiento fue lícito y si los controles fueron adecuados durante una inspección o tras un incidente.
¿Cuál es la base de licitud para el tratamiento de datos personales conforme a la KVKK?
Conforme al artículo 5 de la KVKK, los datos personales solo pueden tratarse con el consentimiento explícito del interesado o cuando concurra alguna de las excepciones legales enumeradas, como la ejecución de un contrato, el cumplimiento de una obligación legal, la protección de un interés legítimo o los supuestos expresamente previstos en la ley. El tratamiento sin consentimiento y sin una excepción aplicable es ilícito, con independencia de cuán bien se hayan asegurado técnicamente los datos.
En la práctica, el fallo más frecuente no es la ausencia de una base de licitud, sino la incapacidad de acreditarla. Los responsables deberían poder demostrar, para cada actividad de tratamiento, la base concreta invocada, la finalidad, las categorías de datos implicadas y el plazo de conservación. Las categorías especiales de datos están sujetas a condiciones más estrictas, por lo que la base para tratar datos de salud, biométricos o similares debería documentarse por separado y con criterio prudente.
¿Cómo se regulan las transferencias internacionales de datos?
El artículo 9 de la KVKK rige la transferencia de datos personales al extranjero y exige, bien el consentimiento explícito, bien un nivel adecuado de protección en el país de destino, respaldado cuando proceda por compromisos vinculantes entre las partes. Cuando las empresas también están sujetas al RGPD, cobran relevancia mecanismos paralelos como las Cláusulas Contractuales Tipo (CCT), las Normas Corporativas Vinculantes (NCV) o marcos de adecuación como el Marco de Privacidad de Datos UE-EE. UU. (DPF) para los correspondientes flujos de datos de origen europeo.
El error recurrente es tratar la arquitectura en la nube como automáticamente lícita. Un marco de transferencia se derrumba si la cadena de subencargados está incompleta, si los equipos de soporte globales pueden acceder a los datos de producción sin controles, o si la empresa no es capaz de responder quién puede acceder a qué datos y cuándo. La posición jurídica debe coincidir con la realidad técnica de dónde residen los datos y quién los manipula.
| Mecanismo de transferencia | Más adecuado para | Limitación principal |
|---|---|---|
| Cláusulas Contractuales Tipo (CCT) | La mayoría de los flujos transfronterizos; rápidas de implementar a nivel contractual | Solo papel salvo que se combinen con controles técnicos y de acceso verificables |
| Normas Corporativas Vinculantes (NCV) | Grandes grupos multinacionales con una gobernanza madura | Requieren una inversión considerable y un tiempo de aprobación interna prolongado |
| Adecuación / DPF | Destinatarios admisibles en jurisdicciones cubiertas | No cubre las transferencias ulteriores ni exime de una diligencia debida deficiente sobre los proveedores |
¿Qué es VERBIS y quién debe inscribirse?
VERBIS es el registro de responsables del tratamiento mantenido conforme a la KVKK, en el que los responsables del tratamiento están obligados a inscribir sus actividades de tratamiento, salvo que sea aplicable una exención. La inscripción no es una formalidad de una sola vez. Está conectada con la obligación de mantener un inventario de tratamientos exacto que refleje qué datos se conservan, por qué, sobre qué base de licitud y durante cuánto tiempo.
Si una empresa concreta está obligada a inscribirse, así como cualquier umbral o exención aplicable, es algo que fija la Autoridad y que puede cambiar; por ello, conviene confirmar la obligación de inscripción y los umbrales vigentes en el momento de presentar la solicitud. La conclusión práctica es que una situación correcta en VERBIS depende del mismo mapeo de datos que sustenta todas las demás partes de un programa de cumplimiento.
¿Qué derechos tienen las personas, y cómo añade el Reglamento de IA de la UE a este panorama?
Conforme a la KVKK, los interesados disponen de derechos que incluyen el acceso a sus datos, la rectificación de datos inexactos, la supresión o destrucción en circunstancias definidas y el derecho a oponerse a decisiones adoptadas únicamente mediante tratamiento automatizado. Los responsables deben contar con un procedimiento para recibir, evaluar y responder a estas solicitudes dentro del plazo establecido por la ley, y deben poder acreditar que dicho procedimiento funciona.
Para las empresas que desarrollan o implementan IA, el Reglamento de IA de la UE añade un régimen separado, basado en el riesgo, que clasifica los sistemas e impone obligaciones de gobernanza a los usos de mayor riesgo, como la selección de personal, la evaluación crediticia y de seguros, y la identificación biométrica. La cuestión práctica para los negocios transfronterizos no es si utilizan IA, sino si sus sistemas están correctamente clasificados y si pueden presentar un expediente de gobernanza coherente —que incluya gestión de riesgos, supervisión humana, documentación técnica y registro de actividad— cuando lo solicite un regulador o un cliente corporativo.
¿Cuáles son las sanciones por infracciones de la KVKK?
La KVKK prevé multas administrativas y otras medidas para infracciones como el tratamiento ilícito, la falta de garantía de la seguridad de los datos o la falta de inscripción cuando esta es exigible. Los umbrales económicos están fijados por la ley y se ajustan con el tiempo, por lo que cualquier horquilla de multas debería confirmarse frente a las cifras vigentes en el momento de la conducta o de la presentación, en lugar de tratarse como un importe fijo y actual.
Los resultados sancionadores dependen menos de la existencia de una infracción que de la calidad de la respuesta. Los hechos decisivos suelen ser si el responsable puede acreditar una finalidad lícita, la minimización y unos controles adecuados con documentación real, y si el equipo operativo ejecutó la respuesta a la brecha sin generar contradicciones ni perder pruebas.
¿Cómo deben gestionar las empresas una brecha de datos y el plazo de notificación?
La respuesta ante una brecha es una prueba de proceso, no una decisión aislada. Conforme al RGPD, el artículo 33 exige notificar a la autoridad de control sin dilación indebida y, de ser factible, en un plazo de 72 horas desde que se tiene conocimiento de una brecha de datos personales que alcance el umbral correspondiente; la KVKK exige igualmente la notificación a la Autoridad y a las personas afectadas dentro del plazo que establece. El fallo habitual es la demora: las empresas esperan a tener certeza absoluta y dejan pasar el plazo legal.
Una respuesta defendible en el primer día implica activar un único mando de incidentes, preservar pruebas como registros e instantáneas antes de que la contención las destruya, identificar los conjuntos de datos y las jurisdicciones afectadas y mantener un único canal narrativo coherente frente a reguladores, clientes y aseguradoras. Diseñe el protocolo antes del incidente, porque el plazo es demasiado breve para construir el proceso mientras los hechos siguen siendo incompletos.
Preguntas frecuentes
¿Se aplica la KVKK a una empresa extranjera sin oficina en Turquía?
La KVKK puede alcanzar a responsables del tratamiento que traten datos personales de personas físicas situadas en Turquía, según la naturaleza y la ubicación del tratamiento. Una empresa sin oficina local no debería dar por sentado que queda fuera del ámbito de aplicación; al contrario, debería identificar dónde se encuentran sus interesados, qué datos se tratan y sobre qué base de licitud, y obtener asesoramiento sobre su presencia concreta conforme a la Ley n.º 6698.
¿Legalizan automáticamente las CCT las transferencias en la nube conforme al RGPD?
No. Las Cláusulas Contractuales Tipo son un mecanismo contractual, no un sello que legalice cualquier transferencia. Deben ajustarse a la realidad técnica y, cuando el riesgo de la transferencia sea elevado, respaldarse con medidas complementarias como el cifrado, la gestión de claves y un control de acceso estricto. Si la cadena de subencargados o el modelo de acceso no están claros, las CCT se quedan en mero papel y no superarán una auditoría técnica.
¿Se requiere siempre el consentimiento para tratar datos personales en Turquía?
No. El artículo 5 de la KVKK enumera excepciones legales que permiten el tratamiento sin consentimiento explícito, como la ejecución de un contrato o el cumplimiento de una obligación legal. El consentimiento es una base de licitud entre varias, pero cuando se invoca una excepción debe poder identificarse con precisión y documentarse por qué resulta aplicable a esa actividad de tratamiento concreta.
¿Cómo afecta el Reglamento de IA de la UE a una empresa turca?
El Reglamento de IA de la UE cobra relevancia cuando una empresa introduce sistemas de IA en el mercado de la UE, presta servicios a clientes con sede en la UE o está obligada por contrato a demostrar el cumplimiento en materia de IA. La presión de los procesos de compra suele forzar la gobernanza antes que los plazos formales, por lo que el paso práctico consiste en inventariar los sistemas de IA, clasificarlos por riesgo y reunir la documentación que esperan los compradores corporativos y los reguladores.
¿Cuál es la mejora de cumplimiento más rápida para una empresa de tamaño medio?
Cree y mantenga los registros básicos: un registro de tratamientos, un registro de transferencias, un registro de sistemas de IA cuando proceda y un registro de proveedores. Después, imponga una regla de contratación sencilla según la cual ningún proveedor nuevo ni ninguna función de IA nueva se pongan en marcha sin actualizar el registro y sin una comprobación de la transferencia y de la base de licitud. Estos registros se convierten en la capa probatoria que se necesita para responder con rapidez a un regulador o a un cliente.
Hable con un abogado antes de su próximo proyecto de datos
La privacidad de datos transfronteriza, la gobernanza de la IA y las cuestiones de criptoactivos y tecnología se entrecruzan de maneras difíciles de gestionar norma por norma. Si necesita un programa documentado y preparado para auditorías, en lugar de una simple lista de verificación, nuestro equipo de derecho tecnológico, privacidad de datos y criptoactivos asesora a inversores extranjeros y empresas transfronterizas en materia de cumplimiento de la KVKK y el RGPD, mecanismos de transferencia, gobernanza conforme al Reglamento de IA y respuesta ante incidentes. También damos soporte a las operaciones relacionadas a través de nuestra práctica de derecho societario y mercantil cuando los activos de datos forman parte de una operación.
Como lectura relacionada, consulte nuestras guías sobre derecho de propiedad intelectual, los aspectos jurídicos de las inversiones internacionales en Turquía y los prompts de análisis jurídico con IA para Turquía.
Información general, no constituye asesoramiento jurídico. Derecho turco; verifique su situación concreta con un abogado cualificado.