Servicios en la nube en Turquía: obligaciones bajo el KVKK

El uso de plataformas en la nube —herramientas SaaS, almacenamiento remoto, servicios de infraestructura— se ha vuelto habitual entre las empresas que operan en Turquía. Lo que pocas advierten es que, en cuanto se canalizan datos personales a través de un proveedor de nube, se activa automáticamente la Ley turca de protección de datos personales (Kişisel Verilerin Korunması Kanunu / KVKK), lo que genera obligaciones legales concretas tanto para la empresa como para el proveedor. El Consejo de Estado turco (Danıştay) ha confirmado en sentencias recientes que la responsabilidad del responsable del tratamiento permanece íntegra incluso cuando delega el procesamiento en un tercero.

Cómo clasifica la ley al proveedor de nube

El KVKK delimita con precisión los roles en la cadena de tratamiento. El responsable del tratamiento (veri sorumlusu) es quien determina los fines y los medios del tratamiento de datos personales: en la práctica, la empresa que contrata el servicio de nube. El encargado del tratamiento (veri işleyen) es cualquier persona física o jurídica que trata datos por cuenta y bajo instrucciones del responsable (artículo 3 del KVKK).

Un proveedor de nube encaja perfectamente en esta segunda definición. Da igual que almacene registros de clientes en un servidor remoto, gestione nóminas a través de una plataforma SaaS o aloje su CRM en la nube: el proveedor trata datos personales en su nombre. Esta calificación activa directamente el régimen de responsabilidad del artículo 12 del KVKK.

Responsabilidad conjunta: no es posible eludir la propia obligación

Esta es la regla que más sorprende a las empresas. El artículo 12(2) del KVKK establece que cuando un responsable del tratamiento encomienda el procesamiento de datos a un tercero, ambas partes son conjuntamente responsables de adoptar todas las medidas técnicas y organizativas de seguridad necesarias.

En términos prácticos, eso significa que si su proveedor de nube sufre un incidente o no aplica controles adecuados, su empresa puede ser considerada responsable aunque el fallo sea imputable exclusivamente al proveedor. Una cláusula contractual que atribuya toda la responsabilidad de seguridad al proveedor no le exime. La ley impone la responsabilidad compartida con independencia de lo que diga el contrato de servicios.

La 10.ª Sala del Danıştay ha refrendado este principio en múltiples decisiones de 2023 y 2025: ceder el procesamiento a un tercero no traslada la responsabilidad legal del responsable del tratamiento.

Qué debe incluir el contrato de encargo de tratamiento

Antes de enviar cualquier dato personal a un proveedor de nube, es preciso formalizar por escrito un contrato de encargo de tratamiento. El KVKK no establece un modelo tipo, pero la responsabilidad conjunta prevista en el artículo 12(2) y las directrices del Consejo KVKK exigen que el contrato recoja, como mínimo:

• El alcance y la finalidad del tratamiento
• Las medidas técnicas y organizativas concretas que debe aplicar el proveedor
• El derecho del responsable a realizar o encargar auditorías (artículo 12(3))
• La prohibición de que el proveedor utilice los datos fuera del fin pactado (artículo 12(4))
• La obligación del proveedor de notificar inmediatamente al responsable cualquier violación de seguridad, para que este pueda cumplir con el deber de notificación del artículo 12(5)

El artículo 12(4) también vincula al proveedor de forma autónoma: los encargados del tratamiento solo pueden usar los datos conforme a las instrucciones del responsable, y esta obligación subsiste tras la extinción de la relación contractual.

Servidores en el extranjero: las reglas de transferencia internacional

Muchas grandes plataformas de nube almacenan datos en centros de datos fuera de Turquía. En ese caso, se produce una transferencia internacional de datos personales en el sentido del artículo 9 del KVKK, que impone condiciones específicas.

Las modificaciones del KVKK de 2024 renovaron el marco de transferencias. Son lícitas cuando el país destinatario garantiza un nivel adecuado de protección (según determine el Consejo KVKK) o, en caso contrario, cuando se han suscrito cláusulas contractuales tipo o, en determinados supuestos, se dispone del consentimiento explícito de los interesados. Las empresas que dependan de infraestructura en la nube en el extranjero deben identificar la base jurídica aplicable antes de que empiece a fluir cualquier dato.

Para un análisis más detallado de las reglas de transferencia, consulte nuestro artículo sobre transferencias internacionales de datos para empresas de control extranjero en Turquía.

El registro VERBİS y los datos en la nube

Las organizaciones que traten datos personales —incluido el tratamiento a través de servicios en la nube— y no estén exentas conforme a los umbrales fijados por el Consejo KVKK deben registrarse en el VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), el registro turco de responsables del tratamiento. Ese registro debe describir con exactitud todas las actividades de tratamiento, las categorías de datos y las transferencias, incluido el almacenamiento en la nube. Las inscripciones incompletas o inexactas pueden ser, por sí solas, objeto de sanción.

Consulte nuestra guía sobre el registro en VERBİS y sus obligaciones en Turquía.

Notificación de brechas cuando el incidente afecta al proveedor

Si la brecha se produce en la infraestructura del proveedor de nube, la obligación de notificación del artículo 12(5) del KVKK recae sobre usted como responsable del tratamiento, no sobre el proveedor. Debe informar a los afectados y al Consejo KVKK en cuanto tenga conocimiento del incidente. El Consejo también puede publicar la incidencia en su sitio web.

Por eso el contrato con el proveedor debe incluir su obligación de notificarle de forma inmediata; sin ese puente contractual, corre el riesgo de perder el plazo de notificación. Nuestro artículo sobre la notificación de brechas de datos bajo el KVKK explica el procedimiento completo.

Preguntas frecuentes

P: ¿Podemos utilizar cualquier proveedor de nube para tratar datos personales en Turquía?

Sí, siempre que el proveedor acepte condiciones de tratamiento adecuadas, aplique medidas de seguridad suficientes y —si los servidores están fuera de Turquía— cumpla los requisitos del artículo 9 del KVKK. El tamaño o la reputación del proveedor no constituyen, por sí solos, una base jurídica.

P: ¿Tiene nuestro proveedor de nube también la obligación de registrarse en VERBİS?

El registro corresponde a los responsables del tratamiento, no a los encargados que actúan exclusivamente bajo instrucciones. Si el proveedor utiliza sus datos para fines propios —por ejemplo, el entrenamiento de modelos— puede adquirir la condición de responsable y asumir su propia obligación de registro.

P: ¿Qué ocurre si nuestro proveedor sufre un ciberataque?

Como responsable del tratamiento, usted asume la responsabilidad conjunta y debe notificar al Consejo KVKK y a los afectados en cuanto tenga constancia del incidente. La indemnización contractual pactada con el proveedor puede ayudarle a recuperar costes, pero no elimina su responsabilidad regulatoria.

P: ¿Basta con un acuerdo verbal o por correo electrónico?

No. La responsabilidad conjunta del artículo 12(2) y los derechos de auditoría del artículo 12(3) son prácticamente inaplicables sin un contrato escrito que delimite con claridad las obligaciones de cada parte.

Cómo puede ayudarle Mona Hukuk

Nuestro despacho asesora a empresas en Antalya y en todo el mercado turco —incluidos clientes internacionales— en materia de cumplimiento del KVKK, redacción de contratos de encargo de tratamiento y establecimiento de marcos de gobernanza del dato. Revisamos sus contratos de nube actuales, identificamos carencias y le acompañamos en la construcción de una estructura legal sólida antes de que llegue cualquier inspección regulatoria.

Contáctenos en contact@monahukuk.com o llámenos al +90 (242) 606 14 32 para concertar una consulta en Antalya.