Derecho TI e Inteligencia Artificial
Responsabilidad legal de las empresas ante brechas de ciberseguridad en Turquía
Publicado 14 de julio de 2026·7 min de lectura
Abog. Equipo Editorial Mona Hukuk - Antalya · Colegio de Abogados de Antalya
Un ciberataque nunca es solo una crisis técnica: es una fuente de responsabilidad jurídica en varias capas. A menudo las empresas pasan por alto las consecuencias que van más allá de notificar a la Junta de Protección de Datos: reclamaciones de indemnización de los clientes, procesos penales contra el atacante, sanciones administrativas y la responsabilidad del consejo de administración. Esta guía deja atrás el deber de notificación de 72 horas previsto en la Ley de Protección de Datos Personales de Turquía (KVKK) —que tratamos en una guía aparte— para explicar los verdaderos riesgos jurídicos que una brecha de ciberseguridad genera para las empresas, planteados en torno al Código de Obligaciones turco (TBK) y al Código Penal turco (TCK).
La notificación es solo el principio
La notificación de la brecha exigida por el artículo 12 de la KVKK no es la única consecuencia de un incidente. Haber presentado la notificación no libera a la empresa de la indemnización debida a los clientes, del proceso penal contra el responsable ni de una sanción administrativa. Estas consecuencias discurren por vías jurídicas independientes: la notificación es un deber de Derecho administrativo; la indemnización es una obligación de Derecho privado; y la investigación penal la impulsa de oficio el fiscal. Por ello, la estrategia posterior a la brecha debe ser mucho más amplia que rellenar un formulario de notificación.
Responsabilidad indemnizatoria frente a clientes y titulares de los datos
Los clientes cuyos datos han quedado expuestos pueden reclamar indemnización a la empresa por los daños materiales y morales sufridos. Esta pretensión tiene dos posibles fundamentos jurídicos.
Responsabilidad contractual: cuando existe una relación de servicio entre la empresa y el cliente y el contrato contiene un compromiso expreso o tácito sobre la seguridad de los datos, se aplica el artículo 112 del TBK. Según esta disposición, si una obligación no se cumple debidamente, el deudor debe reparar el perjuicio del acreedor salvo que demuestre que no cabe atribuirle culpa alguna. El punto decisivo es la inversión de la carga de la prueba: el cliente no tiene que probar la culpa de la empresa; es la empresa la que debe acreditar que adoptó las medidas de seguridad necesarias y que estuvo exenta de culpa.
Responsabilidad extracontractual: cuando no existe relación contractual, el artículo 49 del TBK dispone que quien causa un daño a otro mediante un acto culposo y antijurídico debe reparar ese daño. Una infraestructura de seguridad insuficiente, sistemas sin actualizar o controles de acceso descuidados pueden acreditar la culpa de la empresa. Además, puede surgir la "responsabilidad del empleador" prevista en el artículo 66 del TBK: el empleador puede responder del daño que su empleado cause a terceros en el ejercicio de su trabajo, y solo se libera si prueba que actuó con la diligencia debida al seleccionar y supervisar al empleado y al organizar el funcionamiento de la empresa.
La dimensión penal: los delitos del TCK
La dimensión penal de una brecha de ciberseguridad apunta principalmente al autor del hecho. En el TCK (Ley n.º 5237) destacan tres disposiciones fundamentales:
- Artículo 243 del TCK — Acceso a un sistema informático: quien accede ilícitamente a la totalidad o a una parte de un sistema informático, o permanece en él, se enfrenta a pena de prisión de hasta un año o a una multa judicial. Si a raíz de ello los datos del sistema se destruyen o alteran, la pena se eleva de seis meses a dos años.
- Artículo 244 del TCK — Obstaculizar o perturbar un sistema, destruir o modificar datos: quien obstaculiza o perturba el funcionamiento de un sistema informático se enfrenta a una pena de uno a cinco años; quien daña, destruye, altera, hace inaccesibles o transfiere a otro lugar los datos se enfrenta a una pena de seis meses a tres años. Si el hecho se comete contra el sistema de un banco, de una entidad de crédito o de un organismo público, la pena se incrementa en la mitad.
- Artículo 136 del TCK — Ceder u obtener datos de forma ilícita: quien cede, difunde u obtiene ilícitamente datos personales se enfrenta a una pena de prisión de dos a cuatro años.
Aunque estos delitos apuntan principalmente al atacante, la empresa no es del todo intocable. Un empleado o directivo que, con dolo o negligencia grave, facilite la brecha puede incurrir en participación en la divulgación ilícita de datos; la transferencia deliberada de datos personales a terceros puede ser objeto de investigación conforme al artículo 136 también respecto de los responsables de la empresa.
Sanciones administrativas y seguro cibernético
La sanción administrativa es una tercera consecuencia, distinta de la indemnización y de la pena. Con arreglo al artículo 18 de la KVKK, el responsable del tratamiento que incumpla sus obligaciones de seguridad de los datos puede afrontar sanciones administrativas que alcanzan los millones, revalorizadas cada año conforme al tipo legal de revalorización. Incumplir el deber de notificación y no adoptar medidas de seguridad de los datos son categorías de infracción distintas y pueden sancionarse por separado.
Frente a este cúmulo de riesgos, el seguro cibernético es una herramienta de gestión de riesgos cada vez más frecuente. Una póliza bien estructurada puede cubrir los costes de respuesta a la brecha, las investigaciones forenses, las reclamaciones de indemnización de terceros y, en algunos casos, los gastos de defensa relativos a sanciones administrativas. Sin embargo, las pólizas contienen exclusiones importantes; el dolo, la negligencia grave o el incumplimiento de los estándares de seguridad declarados pueden quedar fuera de la cobertura.
Gobernanza corporativa: prepararse antes de una brecha
La forma más eficaz de reducir la responsabilidad reside en las medidas adoptadas antes de una brecha. Preparar un plan de respuesta a incidentes, cifrar los datos, restringir los privilegios de acceso y realizar pruebas de intrusión periódicas resulta decisivo tanto para la resiliencia técnica como para la defensa jurídica. La supervisión de la ciberseguridad a nivel del consejo de administración y la documentación de las decisiones y medidas adoptadas son cruciales para probar, cuando sea necesario, que la empresa y sus administradores estuvieron exentos de culpa. El registro escrito de las medidas adoptadas constituye la base de la prueba liberatoria tanto del artículo 112 como del artículo 66 del TBK.
Preguntas frecuentes
Nuestra empresa notificó a la Junta de Protección de Datos; ¿hay algo más que debamos hacer? Sí. La notificación es solo un deber administrativo. El riesgo de indemnización a los clientes, los posibles procesos penales y las sanciones administrativas no terminan con la notificación; requieren una estrategia jurídica aparte.
Si el ataque lo llevó a cabo un hacker externo, ¿sigue siendo responsable la empresa? Puede serlo. La responsabilidad penal del autor no extingue la responsabilidad indemnizatoria de la empresa frente a los clientes. Si la empresa no puede probar que adoptó las medidas de seguridad necesarias y que estuvo exenta de culpa, puede seguir siendo responsable de los daños.
¿Puede responsabilizarse a la empresa de una fuga causada por un empleado? Sí. Conforme al artículo 66 del TBK, el empleador responde del daño que su empleado cause a terceros en el ejercicio de su trabajo; solo puede liberarse si prueba que actuó con la diligencia debida en la selección, la supervisión y la organización del trabajo.
¿Cubre el seguro cibernético todas las pérdidas? No. Las pólizas varían en cuanto a alcance y exclusiones. El dolo, la negligencia grave o el incumplimiento de los estándares de seguridad prometidos pueden quedar fuera de la cobertura; la revisión jurídica antes de contratar la póliza es importante.
Cómo puede ayudar Mona Hukuk
Las brechas de ciberseguridad generan una responsabilidad en varias capas que comienza con la notificación y se extiende al ámbito de la indemnización y del Derecho penal. En Mona Hukuk asistimos a las empresas en la preparación de planes de respuesta a incidentes, la evaluación del riesgo jurídico tras una brecha, la defensa frente a reclamaciones de indemnización de clientes, la representación en procesos penales y la revisión jurídica de las pólizas de seguro cibernético.
Para asesoramiento en Antalya, puede escribir a contact@monahukuk.com o llamar al +90 (242) 606 14 32.
¿Quiere recibir un resumen semanal de las novedades del derecho turco?
Publicaciones del Diario Oficial, resoluciones judiciales y cambios legislativos — cada semana en su correo. Gratuito y con baja en cualquier momento.
Artículos relacionados
Derecho TI e Inteligencia Artificial
Disputas de dominios .tr en Turquía: Guía legal para marcas
2 jul 2026 · 7 min de lectura
Leer artículoDerecho TI e Inteligencia Artificial
Contratos de custodia de software en Turquía: guía 2026
22 jun 2026 · 7 min de lectura
Leer artículoDerecho TI e Inteligencia Artificial
VERBİS: El registro de responsables de datos en Turquía
9 jun 2026 · 5 min de lectura
Leer artículo