Derecho TI e Inteligencia Artificial
Supresión, Destrucción y Anonimización de Datos Personales en Turquía
Publicado 14 de julio de 2026·6 min de lectura
Abog. Equipo Editorial Mona Hukuk - Antalya · Colegio de Abogados de Antalya
¿Qué ocurre con los datos personales que conserva su empresa cuando finaliza el contrato de un cliente, cuando un empleado se marcha o cuando se retira un consentimiento de marketing? La Ley de Protección de Datos Personales de Turquía (KVKK, Ley n.º 6698) no admite la conservación indefinida de los datos personales. Una vez que desaparecen los motivos que exigían su tratamiento, el responsable del tratamiento debe suprimir, destruir o anonimizar esos datos. Esta obligación deriva del artículo 7 de la KVKK y del "Reglamento sobre la Supresión, Destrucción o Anonimización de Datos Personales" (Boletín Oficial, 28/10/2017). Esta guía explica la diferencia entre los tres métodos de eliminación, el requisito de contar con una política de conservación y destrucción, y los plazos que las empresas deben respetar.
¿Cuándo Nace la Obligación de Eliminación?
El artículo 7(1) de la KVKK es claro: aunque los datos se hayan tratado de forma lícita, en cuanto dejan de existir los motivos que exigían su tratamiento, el responsable debe suprimirlos, destruirlos o anonimizarlos, ya sea de oficio (por iniciativa propia) o a solicitud del interesado. El Reglamento lo concreta como la desaparición de todas las condiciones de tratamiento previstas en los artículos 5 y 6 de la Ley. Dichas condiciones suelen desaparecer cuando:
- se ha cumplido o se ha extinguido la finalidad para la que se trataron los datos,
- se retira el consentimiento explícito en el que se basaba el tratamiento,
- vence el plazo máximo de conservación previsto en la legislación aplicable,
- los datos dejan de ser necesarios porque el contrato subyacente ha terminado.
Quedan a salvo las obligaciones de conservación derivadas de otras leyes (por ejemplo, los plazos mínimos de conservación de registros en la legislación fiscal o mercantil); los datos no pueden eliminarse antes de que venzan esos plazos.
Los Tres Métodos y Sus Diferencias
El Reglamento emplea "eliminación" (imha) como término genérico que engloba tres operaciones distintas, cada una definida por separado:
- Supresión (art. 8): hacer que los datos personales resulten inaccesibles e inutilizables para los usuarios pertinentes por cualquier medio. Los datos pueden seguir existiendo técnicamente en el sistema durante un tiempo; lo determinante es que los usuarios autorizados a tratarlos ya no puedan acceder a ellos.
- Destrucción (art. 9): hacer que los datos personales resulten inaccesibles, irrecuperables e inutilizables por cualquier persona y por cualquier medio. La trituración de documentos físicos o la degradación irreversible de soportes magnéticos se enmarcan en este método.
- Anonimización (art. 10): hacer que los datos personales no puedan asociarse en modo alguno con una persona física identificada o identificable ni siquiera al cruzarlos con otros datos. Los datos correctamente anonimizados dejan de ser datos personales, motivo por el cual es el método preferido para fines estadísticos y de análisis.
La Política de Conservación y Destrucción de Datos Personales
El artículo 5 del Reglamento obliga a los responsables del tratamiento sujetos a inscripción en el Registro de Responsables del Tratamiento (VERBİS) a elaborar una Política de Conservación y Destrucción de Datos Personales. Como mínimo, esta política debe recoger (art. 6):
- los soportes de registro y las razones jurídicas o técnicas que exigen la conservación,
- las medidas técnicas y administrativas adoptadas,
- los cargos y funciones del personal implicado en la conservación y la destrucción,
- una tabla que indique los plazos de conservación y destrucción,
- los intervalos de destrucción periódica.
Conviene subrayar un punto: disponer de una política no significa por sí solo que los datos se hayan eliminado efectivamente conforme a la ley (art. 5(2)). Además, el responsable que no esté obligado a elaborar una política sigue teniendo íntegramente la obligación de suprimir, destruir y anonimizar (art. 5(3)).
Destrucción Periódica y Plazos
Los plazos varían según el responsable disponga o no de una política:
- Un responsable con política elimina los datos en el primer ciclo de destrucción periódica posterior a la fecha en que nació la obligación. El intervalo se fija en la política, pero nunca puede superar los seis meses (art. 11(2)), es decir, la destrucción periódica debe realizarse al menos cada seis meses.
- Un responsable sin obligación de política lleva a cabo la eliminación en el plazo de tres meses desde la fecha en que nació la obligación (art. 11(3)).
- Cuando la eliminación responde a una solicitud del interesado y han cesado todas las condiciones de tratamiento, la solicitud debe resolverse en un plazo máximo de treinta días (art. 12).
El Consejo puede acortar estos plazos cuando esté en juego un daño irreparable o de difícil reparación o una ilegalidad manifiesta (art. 11(4)).
Documentar el Cumplimiento
El Reglamento exige a los responsables no solo eliminar los datos, sino documentar que lo han hecho. Todas las operaciones de supresión, destrucción y anonimización deben registrarse, y esos registros conservarse durante al menos tres años, sin perjuicio de otras obligaciones legales (art. 7(3)). Los responsables también deben explicar los métodos que emplean en sus políticas y procedimientos. En la práctica, se recomienda a las empresas:
- Elaborar un inventario de tratamiento de datos personales y fijar un plazo máximo de conservación para cada categoría de datos.
- Preparar la política de conservación y destrucción y establecer el intervalo de destrucción periódica (que no supere los seis meses).
- Documentar cada operación de eliminación mediante un acta y conservarla durante al menos tres años.
- Gestionar las solicitudes de los interesados dentro del plazo de treinta días.
- Revisar y actualizar la política y el inventario con regularidad.
Preguntas Frecuentes
¿Cuál es la diferencia entre supresión y destrucción? En la supresión, los datos se hacen inaccesibles para los usuarios pertinentes autorizados a tratarlos, aunque pueden permanecer técnicamente en el sistema durante un tiempo. En la destrucción, los datos se eliminan de modo que nadie pueda recuperarlos por ningún medio.
¿Toda empresa está obligada a elaborar una política de conservación y destrucción? No. La obligación recae sobre los responsables sujetos a inscripción en VERBİS. No obstante, las empresas que no están obligadas a elaborar una política siguen teniendo que eliminar los datos una vez vencido su plazo de conservación.
¿Cuándo, a más tardar, debe realizarse la destrucción periódica? El intervalo se fija libremente en la política, pero nunca puede superar los seis meses. Por tanto, un responsable con política debe efectuar la destrucción periódica al menos cada seis meses.
¿Los datos anonimizados están dentro del ámbito de la KVKK? Los datos correctamente anonimizados ya no pueden vincularse a una persona concreta y, por ello, pierden su condición de datos personales, quedando fuera del ámbito de la KVKK. Sin embargo, si la identidad todavía puede alcanzarse mediante cruce de datos, la anonimización no es válida.
Cómo Puede Ayudar Mona Hukuk
En Mona Hukuk apoyamos a las empresas en la elaboración de inventarios de datos personales, la preparación de políticas de conservación y destrucción, la implantación de flujos de destrucción periódica y la documentación de las operaciones de eliminación de forma jurídicamente conforme. Con nuestra experiencia en derecho de las tecnologías de la información y la inteligencia artificial, ayudamos a su empresa a alcanzar el pleno cumplimiento de las obligaciones de eliminación de la KVKK.
Para asesoramiento en Antalya, puede escribir a contact@monahukuk.com o llamar al +90 (242) 606 14 32.
¿Quiere recibir un resumen semanal de las novedades del derecho turco?
Publicaciones del Diario Oficial, resoluciones judiciales y cambios legislativos — cada semana en su correo. Gratuito y con baja en cualquier momento.
Artículos relacionados
Derecho TI e Inteligencia Artificial
Disputas de dominios .tr en Turquía: Guía legal para marcas
2 jul 2026 · 7 min de lectura
Leer artículoDerecho TI e Inteligencia Artificial
Contratos de custodia de software en Turquía: guía 2026
22 jun 2026 · 7 min de lectura
Leer artículoDerecho TI e Inteligencia Artificial
VERBİS: El registro de responsables de datos en Turquía
9 jun 2026 · 5 min de lectura
Leer artículo