Derecho TI e Inteligencia Artificial
Responsable y encargado del tratamiento en Turquía: obligaciones contractuales
Publicado 14 de julio de 2026·7 min de lectura
Abog. Equipo Editorial Mona Hukuk - Antalya · Colegio de Abogados de Antalya
Cuando una empresa aloja los datos de sus clientes en un proveedor de nube, externaliza la nómina o trabaja con un proveedor de software, surge enseguida una pregunta jurídica: ¿quién es el «responsable del tratamiento» y quién el «encargado del tratamiento»? No se trata de una mera etiqueta académica. La respuesta determina directamente las obligaciones de registro, la responsabilidad de seguridad y el contrato que debe firmarse entre las partes. Este artículo examina la distinción entre ambos roles conforme a la Ley n.º 6698 de Protección de Datos Personales (KVKK), cómo se reparten las obligaciones de seguridad y por qué el contrato de tratamiento de datos resulta indispensable en la práctica comercial.
Definición de los dos roles en el artículo 3 de la KVKK
El artículo 3 de la KVKK define ambos roles con claridad. El responsable del tratamiento es «la persona física o jurídica que determina los fines y los medios del tratamiento de datos personales y es responsable de establecer y gestionar el sistema de registro de datos». El encargado del tratamiento es «la persona física o jurídica que trata datos personales por cuenta del responsable, sobre la base de la autoridad concedida por este».
El núcleo de la distinción reside en la potestad de decisión. La parte que decide con qué fin y por qué medios se tratarán los datos es el responsable. La parte que lleva a cabo el tratamiento únicamente según esas instrucciones y por cuenta del responsable es el encargado. Por ejemplo, un hotel recoge los datos de reserva de los huéspedes para sus propios fines; la empresa de nube que aloja esos datos, o la que suministra el software de reservas, actúa como encargada bajo las instrucciones del hotel. Para calificar como encargada, una parte debe tratar los datos dentro del marco fijado por el responsable y no para sus propios fines; en el momento en que empieza a determinar sus propios fines, se convierte ella misma en responsable.
Por qué importa la distinción: VERBİS y el registro
Separar los roles importa, en primer lugar, para la obligación de inscripción en el Registro de Responsables del Tratamiento (VERBİS). Según el artículo 16 de la KVKK, la obligación de registro recae, por regla general, sobre los responsables del tratamiento; el Consejo puede establecer excepciones conforme a criterios objetivos, como la naturaleza y el número de los datos tratados, si el tratamiento deriva de la ley o si se transfieren a terceros. En consecuencia, no toda empresa, sino solo el responsable que entre en el ámbito de aplicación, debe registrarse. Una firma que actúe puramente como encargada no se registra por esa sola condición; pero si es responsable respecto de sus propias actividades, queda obligada en esa capacidad. El alcance, las excepciones y el procedimiento del registro VERBİS se tratan en detalle en una guía aparte; aquí basta subrayar que los roles determinan la obligación de registro.
Las obligaciones de seguridad recaen sobre ambas partes (artículo 12)
El artículo 12 de la KVKK regula las obligaciones de seguridad de los datos y deja claro que la responsabilidad no recae en un solo lado. El responsable debe adoptar todas las medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado, a fin de impedir el tratamiento ilícito de los datos personales y el acceso ilícito a ellos y de asegurar su conservación (art. 12/1).
El punto crítico está en el segundo apartado: cuando los datos son tratados por otra persona por cuenta del responsable, este es solidariamente responsable con el encargado de la adopción de esas medidas (art. 12/2). El responsable no puede eludir sus obligaciones externalizando el tratamiento. Además, el art. 12/4 dispone que tanto responsables como encargados no pueden divulgar los datos personales que conozcan de forma contraria a la Ley ni usarlos más allá del fin del tratamiento, y que este deber persiste incluso tras dejar su cargo. El deber de notificar al Consejo y al interesado en caso de violación se encuentra en el art. 12/5. En resumen, la carga de la confidencialidad y la seguridad se distribuye por cada eslabón de la cadena.
Por qué el contrato de tratamiento de datos es esencial
Aquí destaca una particularidad del Derecho turco: a diferencia del artículo 28 del Reglamento General de Protección de Datos de la UE (RGPD), la KVKK no contiene una disposición que imponga de forma expresa y en todo caso un contrato de contenido determinado entre responsable y encargado. Esta es una diferencia genuina respecto de la práctica de la UE y merece una atención cuidadosa. No obstante, no debe interpretarse en el sentido de que el contrato sea innecesario. Dada la responsabilidad solidaria del art. 12/2 y la obligación de auditoría del art. 12/3, documentar la supervisión del responsable sobre el encargado, los límites de sus instrucciones y los estándares de seguridad mediante un contrato escrito de tratamiento de datos se vuelve, en la práctica, efectivamente obligatorio. El contrato regula tanto la relación interna entre las partes en la responsabilidad solidaria como sirve de prueba de cumplimiento en cualquier inspección del Consejo.
Qué debe regular el contrato y el uso transfronterizo
Un contrato de tratamiento de datos bien redactado suele regular lo siguiente:
- Alcance y finalidad del tratamiento — que el encargado solo puede actuar por instrucciones del responsable y para el fin definido,
- Medidas de seguridad — el estándar mínimo de medidas técnicas y organizativas conforme al artículo 12,
- Consentimiento de subencargados — el consentimiento previo del responsable antes de que el encargado recurra a otro proveedor,
- Devolución o supresión de los datos al finalizar el contrato — devolución, borrado o destrucción de los datos al terminar la relación,
- Derechos de auditoría — la facultad del responsable de auditar al encargado o de hacer que se le audite,
- Cadena de notificación de violaciones — cómo y en qué plazo debe el encargado comunicar una violación al responsable.
Para las empresas extranjeras que externalizan el tratamiento a proveedores turcos existe una capa adicional: la transferencia transfronteriza de datos está sujeta al régimen del artículo 9 de la KVKK, y el contrato debe cubrir también esas condiciones de transferencia. Del mismo modo, las empresas turcas que externalizan el tratamiento a un proveedor en el extranjero deben evaluar tanto las reglas de transferencia como el Derecho de la contraparte. Por ello, en los acuerdos transfronterizos el contrato debe indicar no solo los roles, sino también la base jurídica de la transferencia.
Preguntas frecuentes
¿Puede una empresa ser responsable y encargada del tratamiento al mismo tiempo? Sí. Por ejemplo, una asesoría contable es responsable respecto de los datos de sus propios empleados y encargada cuando gestiona la nómina por cuenta de un cliente. El rol se evalúa por separado para cada actividad de tratamiento.
¿Deben los encargados del tratamiento inscribirse en VERBİS? La obligación de registro se aplica por regla general a los responsables. Una firma que actúe únicamente como encargada no se registra por esa condición; pero si es responsable respecto de sus propias actividades, puede quedar obligada en esa capacidad.
¿Obliga la KVKK a celebrar un contrato de tratamiento de datos? La KVKK no impone de forma expresa, como sí hace el art. 28 del RGPD, una forma contractual concreta en todo caso. Sin embargo, por la responsabilidad solidaria y la obligación de auditoría del artículo 12, un contrato escrito resulta efectivamente ineludible en la práctica comercial.
¿Puede sancionarse al responsable por la culpa del encargado? Sí. Conforme al art. 12/2, responsable y encargado responden solidariamente de la adopción de medidas de seguridad; el responsable no puede eludir sus obligaciones externalizando el tratamiento.
Cómo puede ayudar Mona Hukuk
En Mona Hukuk asistimos a las empresas en la determinación de roles (distinción responsable/encargado), la redacción y negociación de contratos de tratamiento de datos, la gestión del proceso de registro VERBİS y la estructuración contractual de las transferencias transfronterizas de datos. Ofrecemos asesoramiento integral tanto a empresas extranjeras que trabajan con proveedores turcos como a empresas turcas que utilizan proveedores en el extranjero.
Para asesoramiento en Antalya, puede escribir a contact@monahukuk.com o llamar al +90 (242) 606 14 32.
¿Quiere recibir un resumen semanal de las novedades del derecho turco?
Publicaciones del Diario Oficial, resoluciones judiciales y cambios legislativos — cada semana en su correo. Gratuito y con baja en cualquier momento.
Artículos relacionados
Derecho TI e Inteligencia Artificial
Disputas de dominios .tr en Turquía: Guía legal para marcas
2 jul 2026 · 7 min de lectura
Leer artículoDerecho TI e Inteligencia Artificial
Contratos de custodia de software en Turquía: guía 2026
22 jun 2026 · 7 min de lectura
Leer artículoDerecho TI e Inteligencia Artificial
VERBİS: El registro de responsables de datos en Turquía
9 jun 2026 · 5 min de lectura
Leer artículo