KVKK en Turquía: Aviso de Privacidad y Consentimiento Explícito Son Obligaciones Distintas

Las empresas que operan en Turquía caen con frecuencia en el mismo error al gestionar sus obligaciones bajo la KVKK (Ley n.º 6698 de Protección de Datos Personales): combinan el aviso de privacidad y el formulario de consentimiento explícito en un único documento. Sin embargo, la ley y la circular que la desarrolla exigen de forma inequívoca que ambos elementos se mantengan completamente separados. Las empresas que ignoran esta regla se exponen a sanciones administrativas y a un proceso de investigación ante la Junta de Protección de Datos Personales (Kurul).

Aviso de Privacidad y Consentimiento Explícito: Por Qué Son Obligaciones Distintas

La ley los regula en artículos separados y no son intercambiables entre sí.

El deber de información (aydınlatma yükümlülüğü) deriva del artículo 10 de la KVKK. El responsable del tratamiento debe proporcionar al interesado, en el momento en que obtiene sus datos personales, la siguiente información: su identidad, la finalidad del tratamiento, las personas o categorías de personas a quienes pueden comunicarse los datos y el propósito de esa comunicación, el método de recopilación de datos y la base jurídica del tratamiento. Esta obligación es incondicional: se aplica con independencia de la base jurídica utilizada. Tanto si se trata de consentimiento explícito, como de ejecución de un contrato o de cumplimiento de una obligación legal, el deber de información debe cumplirse siempre.

El consentimiento explícito es únicamente una de las seis bases legales para el tratamiento enumeradas en el artículo 5 de la KVKK. Las otras incluyen la previsión expresa en la ley, la necesidad para la ejecución de un contrato y el interés legítimo. Cuando existe otra base aplicable, no es necesario recabar el consentimiento explícito. Ahora bien, cuando sí se utiliza el consentimiento como base, este debe ser libre, específico e informado.

De Dónde Procede la Obligación de Separación

El artículo 5, letra f), de la Circular sobre los Procedimientos y Principios para el Cumplimiento del Deber de Información, publicada en el Diario Oficial n.º 30356 de 10 de marzo de 2018, contiene una disposición expresa: cuando el tratamiento de datos personales se fundamenta en el consentimiento explícito, el cumplimiento del deber de información y la obtención del consentimiento deben realizarse por separado. No se acepta que un único documento satisfaga ambas obligaciones simultáneamente.

En la práctica, esto significa lo siguiente:

• El aviso de privacidad es un documento independiente cuya finalidad es informar, no un paso previo para obtener el consentimiento.
• La solicitud de consentimiento debe presentarse a través de un formulario separado o de un mecanismo claramente diferenciado, después de haber proporcionado la información.
• Debe obtenerse un consentimiento separado para cada finalidad de tratamiento que lo requiera; una casilla de verificación genérica del tipo «acepto el tratamiento de mis datos» no es válida.
• También es problemático condicionar la prestación del servicio al consentimiento: la fórmula «no puede continuar sin marcar esta casilla», cuando no existe otra base jurídica alternativa, indica que el consentimiento no es libremente otorgado.

El artículo 5, letra e), de la misma Circular atribuye al responsable del tratamiento la carga de probar que ha cumplido el deber de información. Si no se llevan registros adecuados, la defensa ante una reclamación se complica enormemente. Por eso documentar cuándo, cómo y a quién se facilitó la información es la base de su garantía jurídica.

Qué Debe Contener un Aviso de Privacidad Válido

El artículo 10 de la KVKK establece el contenido mínimo. Un aviso de privacidad conforme a la ley debe indicar expresamente:

• La identidad del responsable del tratamiento y, en su caso, de su representante;
• Las finalidades para las que se tratan los datos personales;
• Las personas o categorías de personas a quienes pueden cederse los datos y con qué propósito;
• El método de recopilación de datos y la base jurídica del tratamiento;
• Los derechos del interesado reconocidos en el artículo 11 de la KVKK.

La Circular añade el requisito del lenguaje claro y comprensible. Expresiones vagas como «actividades comerciales» no cumplen la exigencia legal; las finalidades deben ser específicas, precisas y legítimas.

Infracciones Más Frecuentes

Desde hoteles de Antalya hasta plataformas de comercio electrónico, pasando por despachos de contabilidad y empresas de servicios digitales, se observan de forma recurrente los mismos problemas:

• El aviso de privacidad y la casilla de consentimiento se integran en un único formulario o en el mismo documento PDF.
• La casilla de consentimiento aparece premarcada, lo que impide hablar de una voluntad libremente expresada.
• Las finalidades del tratamiento se describen en términos ambiguos, sin referencia a finalidades específicas.
• Se usa una única casilla para agrupar todas las finalidades de tratamiento.
• No existe ningún registro que acredite que se facilitó la información.

Este último punto es especialmente crítico. Ante una reclamación, la carga de la prueba recae sobre usted; sin registros, su defensa queda muy debilitada.

Para conocer las obligaciones generales de cumplimiento de la KVKK, consulte esta guía de cumplimiento de la KVKK; para los requisitos en materia de cookies y tratamiento de datos en actividades en línea, puede leer nuestra guía de cumplimiento KVKK para el comercio electrónico.

Sanciones Administrativas

Con arreglo al artículo 18 de la KVKK, el incumplimiento del deber de información del artículo 10 puede acarrear multas de entre 5.000 TL y 100.000 TL. El incumplimiento de las resoluciones del Consejo puede sancionarse con multas de entre 25.000 TL y 1.000.000 TL, y la falta de inscripción en el Registro de Responsables del Tratamiento (VERBİS) con multas de entre 20.000 TL y 1.000.000 TL. Este marco fue actualizado mediante la Ley n.º 7499, que entró en vigor el 2 de marzo de 2024; desde entonces, las multas impuestas por el Consejo pueden impugnarse ante los tribunales administrativos.

Las empresas extranjeras que traten datos de personas ubicadas en Turquía no quedan al margen de este régimen. Toda empresa que llegue a usuarios turcos a través de una sucursal, un sitio web en turco o una aplicación móvil debe cumplir con la KVKK.

Preguntas Frecuentes

P: Tenemos una política de privacidad publicada en nuestro sitio web. ¿Es suficiente?

Por sí sola, puede no serlo. Una política de privacidad publicada en el sitio web apoya parcialmente el cumplimiento del deber de información, pero el artículo 10 de la KVKK exige que la información se facilite en el momento en que se recogen los datos. Si los datos se recaban mediante un formulario de registro, el aviso de privacidad debe presentarse junto con ese formulario.

P: ¿Podemos usar una sola casilla de verificación para múltiples finalidades de tratamiento?

No. Es obligatorio obtener un consentimiento separado y específico para cada finalidad de tratamiento basada en el consentimiento explícito. Una aceptación genérica que cubra todas las finalidades no es válida bajo la KVKK.

P: Nuestro tratamiento se basa en la ejecución de un contrato, no en el consentimiento. ¿Seguimos obligados a informar?

Sí. El deber de información se aplica con independencia de la base jurídica utilizada. Si los datos se tratan por ser necesarios para la ejecución del contrato, basta con indicarlo claramente en el aviso, pero el aviso en sí es inexcusable.

P: Hemos recibido una sanción de la KVKK. ¿Podemos recurrir?

Sí. La modificación de 2024 del artículo 18 de la KVKK permite impugnar las resoluciones del Consejo ante los tribunales administrativos. Los plazos son breves, por lo que recomendamos actuar sin demora y consultar a un abogado.

Cómo Puede Ayudarle Mona Hukuk

Prestamos asesoramiento a empresas en Antalya y en toda Turquía en la redacción de avisos de privacidad, el establecimiento de mecanismos de consentimiento diferenciados y la gestión de los procedimientos de investigación del Consejo de Protección de Datos. Toda empresa que opera en Turquía o que presta servicios a usuarios turcos debe interiorizar desde el principio que el aviso de privacidad y el consentimiento son obligaciones separadas.

Para concertar una consulta en Antalya, escríbanos a info@monahukuk.com o llámenos al +90 (242) 606 14 32.