Notificación de Brechas de Datos bajo el KVKK Turco: Obligaciones para Empresas

Un ataque de ransomware que compromete un servidor en Turquía, el envío accidental de registros de clientes a una dirección incorrecta o una brecha en un proveedor externo que expone datos personales turcos — cualquiera de estos escenarios puede activar obligaciones de notificación obligatoria bajo la Ley turca de Protección de Datos Personales (KVKK, Ley n.º 6698). Quienes conocen el RGPD europeo reconocerán el paralelismo con los artículos 33 y 34, aunque la normativa turca tiene sus propias particularidades que conviene conocer.

Base Legal: Artículo 12 del KVKK

El artículo 12 del KVKK establece las obligaciones centrales del responsable del tratamiento en materia de seguridad: prevenir el tratamiento ilícito de datos personales, prevenir el acceso ilícito a los mismos y garantizar su salvaguarda, adoptando todas las medidas técnicas y organizativas necesarias para el nivel de seguridad adecuado.

El apartado 5 del mismo artículo regula la notificación de brechas: cuando datos personales tratados son obtenidos por terceros por medios ilegales, el responsable debe notificarlo sin demora tanto a los interesados como al Consejo de Protección de Datos Personales (Consejo KVK).

El Plazo de 72 Horas

La Resolución n.º 2019/10 del Consejo KVK concretó la expresión "sin demora": el responsable debe notificar al Consejo en un plazo de 72 horas desde que tenga conocimiento de la brecha. Este plazo coincide con el del artículo 33.1 del RGPD, lo que facilita su comprensión para empresas con presencia en la UE. Si no es posible cumplirlo, debe incluirse la justificación del retraso en la notificación. La notificación a los interesados debe realizarse sin dilación indebida según el nivel de riesgo.

Contenido de la Notificación al Consejo

La notificación se presenta a través del sistema electrónico en el sitio web del Consejo KVK e incluye:

• Fecha y hora de la brecha (si se conoce)
• Número de afectados y categorías de datos implicados
• Posibles consecuencias de la brecha
• Medidas adoptadas o previstas para remediarla
• Datos de contacto del Delegado de Protección de Datos (si existe)
• Justificación en caso de retraso

Deben adjuntarse registros de actividad, informes del incidente y análisis forenses disponibles.

Notificación a los Interesados

La notificación a los interesados es obligatoria cuando la brecha presenta un alto riesgo para sus derechos y libertades — en paralelo al artículo 34 del RGPD. El aviso debe explicar qué ocurrió, qué datos se vieron afectados, qué medidas se han tomado y cómo contactar al responsable del tratamiento. Si la notificación individual no es factible, se admite una comunicación pública.

Plan de Respuesta Ante Incidentes: Paso a Paso

1. Contención. Aislar los sistemas afectados, revocar credenciales comprometidas, detener cualquier fuga adicional.
2. Documentación. Registrar qué datos se vieron afectados, cuántas personas y cómo ocurrió la brecha.
3. Evaluación del riesgo. Determinar el nivel de riesgo para los interesados — esto condiciona el alcance y la urgencia de la notificación.
4. Activar el plazo de 72 horas. El reloj empieza en el momento en que se tiene conocimiento. Contactar inmediatamente con asesoría legal.
5. Notificar al Consejo KVK. Enviar el formulario con la información disponible, indicando qué se completará posteriormente.
6. Notificar a los interesados. Adecuar el mensaje al nivel de riesgo y los canales disponibles.
7. Mantener registros. Documentar todo el proceso — el Consejo conserva el derecho de auditoría.

Sanciones Administrativas

El artículo 18 del KVKK prevé sanciones de hasta dos millones de liras turcas por incumplimiento de las obligaciones de seguridad de datos, actualizadas anualmente por el coeficiente de revalorización. La infracción de la obligación de notificación constituye un ilícito autónomo sancionable de forma independiente.

A modo comparativo: las multas del RGPD pueden alcanzar los 10 millones de euros o el 2 % del volumen de negocio anual mundial (art. 83.4); las multas turcas son actualmente menores en términos absolutos, pero se aplican con rigor.

Preguntas Frecuentes

¿Debe notificarse al Consejo toda brecha de datos? No. La notificación solo es obligatoria cuando la brecha implica riesgos para los interesados. Los incidentes de bajo riesgo deben documentarse internamente — y esa valoración debe quedar por escrito.

¿Se aplica el KVKK a empresas extranjeras? Sí, si se tratan datos personales de personas ubicadas en Turquía en el marco de la oferta de bienes o servicios, independientemente de la sede de la empresa.

¿Puede presentarse una notificación inicial incompleta? Sí. El Consejo acepta notificaciones escalonadas — primero la información disponible y luego los complementos.

¿Puede una brecha acarrear responsabilidad penal? Sí. La divulgación o el acceso no autorizado a datos personales puede perseguirse también bajo el artículo 136 del Código Penal turco.

¿Se requiere también notificar a la autoridad española de protección de datos? Si el RGPD es de aplicación simultánea, sí: la Agencia Española de Protección de Datos (AEPD) también debe ser informada.

Cómo puede ayudarle Mona Hukuk

En una crisis de datos, cada hora cuenta. Mona Hukuk apoya a las empresas en la elaboración preventiva de protocolos de respuesta y, cuando ocurren incidentes, gestiona la notificación al Consejo KVK, redacta las comunicaciones a los afectados y representa al cliente en investigaciones administrativas.

Contáctenos en contact@monahukuk.com o llámenos al +90 (242) 606 14 32.