Transferencia Internacional de Datos Personales en Turquía: Reforma KVKK 2024

Las empresas que operan en Turquía pero dependen de una matriz o filial en el extranjero transfieren datos personales a través de fronteras prácticamente a diario: las nóminas van a un sistema de RRHH alojado en Alemania, los registros de clientes se envían a un CRM ubicado en Irlanda, las solicitudes de soporte llegan a un servicio de asistencia global. Hasta hace poco, la transferencia internacional de datos personales descansaba casi en exclusiva sobre un único fundamento jurídico: el consentimiento explícito de los interesados. En 2024, eso cambió. La reforma integral de la Ley n.º 6698 de Protección de Datos Personales (KVKK) introdujo un nuevo marco para las transferencias de datos al extranjero, que se asemeja al RGPD europeo pero no es idéntico a él. Las empresas de capital extranjero en Turquía disponen ahora de varias vías de transferencia legítimas, aunque cada una conlleva sus propias obligaciones documentales y de notificación.

Qué Cambió con la Reforma de 2024

La reforma dio una vuelta de tuerca completa al artículo 9 de la KVKK, que regula las transferencias internacionales de datos. En el sistema anterior, la transferencia de datos personales al extranjero era posible, como regla general, con el consentimiento explícito del interesado; la excepción era la «lista de países con protección adecuada» que debía publicar el Consejo de Protección de Datos (Consejo de la KVKK) —y que nunca llegó a publicarse, de modo que las empresas quedaban de hecho atadas al consentimiento explícito, un mecanismo difícil de obtener a gran escala y revocable en cualquier momento—.

El nuevo sistema sustituyó ese esquema por una estructura de tres niveles: decisiones de adecuación, garantías apropiadas y situaciones excepcionales. Cada nivel tiene sus propias condiciones y obligaciones de notificación.

Primer Nivel: Decisiones de Adecuación

El Consejo de la KVKK puede ahora dictar una decisión de adecuación (yeterlilik kararı) cuando determine que un determinado país, sector o organización internacional ofrece un nivel de protección equivalente al turco. Si el país de destino está cubierto por una de estas decisiones, la transferencia puede realizarse sin ninguna garantía adicional, en las mismas condiciones que el tratamiento interno.

En la práctica, el Consejo está siendo cauto a la hora de emitir decisiones de adecuación. La mayoría de las transferencias seguirán necesitando apoyarse en el segundo nivel.

Segundo Nivel: Garantías Apropiadas

En ausencia de una decisión de adecuación, debe disponerse previamente de una de las siguientes garantías:

• Contrato estándar aprobado por el Consejo: se celebra entre el exportador de datos en Turquía y el receptor en el extranjero. El contrato firmado debe notificarse al Consejo en el plazo de cinco días hábiles.
• Normas corporativas vinculantes: aplicables a las transferencias dentro de un grupo multinacional; requieren la aprobación del Consejo.
• Acuerdo internacional: solo relevante para transferencias entre organismos públicos.
• Compromisos escritos de las partes: deben contener determinadas obligaciones de protección y ser aprobados por el Consejo.

Para la gran mayoría de las empresas de capital extranjero en Antalya y en Turquía en general, la solución práctica son los contratos estándar. Aunque se asemejan a las SCCs del RGPD, no son idénticos, por lo que no puede utilizarse directamente un modelo de la UE.

Tercer Nivel: Situaciones Excepcionales

La reforma también prevé una serie de excepciones para transferencias puntuales y de alcance limitado (transferencias arızi): que el interesado haya dado su consentimiento explícito para esa transferencia concreta, que la transferencia sea necesaria para la ejecución de un contrato, que esté justificada por intereses vitales o que sea imprescindible para el ejercicio o la defensa de un derecho. Estas excepciones se interpretan de forma estricta. Para las transferencias sistemáticas y recurrentes es obligatorio recurrir al primer o al segundo nivel; las situaciones excepcionales no pueden sustituirlos.

Implicaciones para las Empresas de Capital Extranjero

Las empresas vinculadas a una matriz extranjera, a un sistema de RRHH corporativo o a una plataforma en la nube compartida deben revisar sus flujos de datos e identificar la vía jurídica correcta para cada uno de ellos. Un proyecto de cumplimiento típico abarca: el mapeo de todos los flujos de datos al extranjero, la determinación del rol de responsable o encargado del tratamiento en cada flujo, la selección del mecanismo de transferencia adecuado, la firma de los contratos necesarios, la actualización del aviso de privacidad y la documentación continua, ya que el Consejo puede solicitar en cualquier momento los contratos y el inventario de flujos de datos.

El incumplimiento puede tener como consecuencia sanciones administrativas del Consejo de la KVKK, reclamaciones de los interesados y daños reputacionales. En el sector del comercio electrónico o en las empresas que prestan servicios SaaS, una resolución sancionadora puede entorpecer directamente los procesos de captación de clientes. Para una visión más amplia, puede consultar nuestra guía de cumplimiento de la KVKK y nuestro artículo sobre KVKK y cookies en el comercio electrónico.

Preguntas Frecuentes

P: Hemos firmado SCCs del RGPD con nuestra matriz en Europa. ¿Es necesario suscribir también el contrato estándar turco?

Aunque los dos sistemas son similares, no son equivalentes. El contrato estándar del Consejo de la KVKK debe firmarse utilizando su propio modelo y notificarse al Consejo tras la firma. Las SCCs del RGPD por sí solas no son suficientes para las transferencias realizadas desde Turquía.

P: ¿Puede el consentimiento explícito seguir utilizándose como base para la transferencia?

Sí, pero únicamente para transferencias puntuales encuadrables en el tercer nivel. No es una base sostenible para los flujos de datos rutinarios de una filial turca integrada en un grupo global.

P: ¿Hay sanciones si la transferencia se realiza incorrectamente?

Sí. El Consejo de la KVKK puede imponer sanciones administrativas cuya cuantía varía en función de la gravedad de la infracción. Las infracciones reiteradas, el tratamiento a gran escala y la implicación de datos de categoría especial aumentan considerablemente el riesgo sancionador.

P: ¿Qué debemos hacer respecto a los datos de empleados enviados al sistema de RRHH en el extranjero?

Los datos de empleados son uno de los flujos transfronterizos más frecuentes. Generalmente se apoyan en un contrato estándar o en normas corporativas vinculantes; es imprescindible actualizar el aviso de privacidad y documentar el mecanismo de transferencia utilizado.

Cómo Puede Ayudarle Mona Hukuk

Nuestro equipo en Antalya asesora a empresas de capital extranjero en materia de cumplimiento de la KVKK; apoya el mapeo y la documentación de los flujos de datos; gestiona la preparación y notificación al Consejo de los contratos estándar; y participa en proyectos de normas corporativas vinculantes para grupos multinacionales. Trabajamos en turco e inglés, lo que permite que su equipo jurídico y el nuestro hablen el mismo idioma.

Para concertar una consulta en Antalya, escríbanos a info@monahukuk.com o llámenos al +90 (242) 606 14 32.