La KVKK de Turquia i les esmenes del 2024: Guia per a editors i anunciants sobre el consentiment de galetes, les transferències transfrontereres i el consentiment explícit el 2026
La Llei de protecció de dades personals de Turquia (KVKK, Llei núm. 6698) és vigent des del 2016, però durant la major part d'aquella dècada va funcionar com el cosí més tranquil del GDPR: estructuralment similar però notablement més suau en l'aplicació. Aquella era ha acabat. Les esmenes a la KVKK del 2024, publicades al Diari Oficial el 12 de març de 2024, van reestructurar el règim de transferència de dades transfronterera per alinear-lo amb el model d'adequació i de clàusules contractuals tipus del GDPR, i el Consell de la KVKK (Kişisel Verileri Koruma Kurulu) ha intensificat significativament l'aplicació durant el 2025 i el 2026. Per a qualsevol editor, anunciant o plataforma que processa dades d'usuaris turcs — tant si és establert a Turquia com si serveix el mercat turc des de l'estranger — el 2026 és l'any en què disposar d'un sistema de consentiment modern deixa de ser un avantatge opcional i es converteix en l'estàndard mínim. Aquesta guia analitza la llei en la seva forma esmenada, els requisits reals del consentiment de galetes, el funcionament actual de les transferències transfrontereres i l'aplicació del Consell a la pràctica.
L'estructura de la KVKK després de les esmenes del 2024
La KVKK és l'estatut principal de protecció de dades a Turquia, i el seu text esmenat és ara el punt de referència. Els editors que han estat treballant amb la versió anterior al 2024 estan operant amb un marc obsolet.
Què van canviar les esmenes del 2024
El canvi principal va ser la reescriptura de l'article 9, que regeix les transferències internacionals de dades. El règim anterior al 2024 era notablement difícil de complir: requeria o bé consentiment explícit o bé una autorització cas per cas del Consell per a gairebé qualsevol flux transfronterer, cosa que resultava impracticable per a qualsevol sistema modern de tecnologia publicitària. L'article 9 esmenat introdueix tres nivells de mecanisme de transferència: una decisió d'adequació del Consell, un conjunt de garanties adequades que inclouen clàusules contractuals tipus, i en casos molt limitats, un conjunt de derogacions. Això finalment alinea la llei de transferències turca amb el patró del GDPR i permet la publicitat programàtica conforme internacionalment sense haver de presentar sol·licituds al Consell per a cada proveïdor.
Què no va canviar
Les definicions bàsiques, les bases jurídiques, els drets dels interessats i l'estàndard de consentiment explícit per a dades sensibles es mantenen com estaven. El llindar de consentiment explícit turc és, en la pràctica, més estricte que l'estàndard del GDPR, i aquí és on continuen residint la majoria de les mancances de compliment dels editors.
El registre VERBIS
Els responsables del tractament que superen determinats llindars — inclosos la majoria de responsables estrangers que processen dades personals turques a escala — han d'inscriure's al Registre de responsables del tractament (VERBIS). La inscripció requereix la divulgació de les activitats de tractament, les bases jurídiques i els mecanismes de transferència. Molts editors estrangers han evitat histèricament la inscripció al VERBIS; el Consell ha indicat una postura més activa en aquesta qüestió durant el 2025 i el 2026.
Què compta com a dades personals en virtut de la KVKK
La definició de dades personals de la KVKK és àmplia i s'assembla molt a la del GDPR. Les dades personals són qualsevol informació relativa a una persona física identificada o identificable, i les orientacions del Consell han tractat de manera sistemàtica les galetes, els identificadors publicitaris, les adreces IP i les empremtes digitals de dispositius com a dades personals quan es poden vincular a un usuari directament o per mitjans raonables.
Dades personals sensibles
La llista de categories sensibles de la KVKK és més àmplia que la del GDPR: inclou explícitament la raça, l'origen ètnic, l'opinió política, la creença filosòfica, la religió, la secta, l'aspecte, la pertinença a una associació o fundació, la salut, la vida sexual, la condemna penal, les mesures de seguretat i les dades biomètriques i genètiques. El tractament de qualsevol d'aquestes dades requereix un consentiment explícit — no el tipus ambigu o agrupat, sinó un consentiment específic, informat i donat lliurement, vinculat al tractament sensible concret.
Per què és important per a les galetes
Una galeta que només emmagatzema un identificador de sessió constitueix dades personals bàsiques. Una galeta que alimenta un segment d'audiència com Votants liberals o Comunitat religiosa devota és dades personals sensibles en la definició turca — i la configuració de consentiment requerida és consentiment explícit o res. Els editors que orienten segments d'audiència que afecten la llista sensible de la KVKK no haurien d'executar aquests segments sota un consentiment publicitari general.
El consentiment de galetes en virtut de la KVKK el 2026
La postura del Consell sobre les galetes s'ha endurit durant els darrers dos anys. Les orientacions actuals no presenten ambigüitat: les galetes i les tecnologies de seguiment que processen dades personals requereixen consentiment, tret que siguin estrictament necessàries per a un servei que l'usuari ha sol·licitat.
Els quatre elements del consentiment explícit vàlid
El consentiment explícit turc ha de ser:
- Relacionat amb un tema específic — el consentiment paraigua general que cobreix un tractament futur no especificat no és vàlid
- Informat — l'usuari comprèn quines dades es processen, amb quina finalitat, per qui i durant quant de temps
- Donat lliurement — l'usuari pot refusar sense ser privat d'un servei al qual té dret en altres circumstàncies
- Expressat per un acte afirmatiu clar — les caselles premarcades, el consentiment implícit i el desplaçament com a consentiment no són vàlids
Com és un CMP conforme
Un CMP configurat per al tràfic turc el 2026 ha de presentar:
- Un bàner visible abans que s'activi qualsevol galeta no essencial, amb el turc (Türkçe) com a idioma predeterminat per als usuaris turcs
- Igual prominència visual per a Acceptar, Rebutjar i Personalitzar — el Consell ha criticat específicament els dissenys de bàners on Rebutjar és menys visible que Acceptar
- Commutadors granulars per finalitat: anàlisi, publicitat, personalització, transferència transfronterera i qualsevol tractament de categories sensibles
- Un mecanisme persistent i fàcilment accessible per retirar el consentiment després de l'elecció inicial
- Un Aydınlatma Metni (Avís de privadesa) en turc que divulgui la identitat del responsable, les finalitats, els destinataris, la conservació i els drets
- Un flux de consentiment explícit separat i clarament etiquetat (açık rıza) per a qualsevol tractament de categories sensibles, protegit per la seva pròpia acció
Registres de consentiment
El responsable ha de mantenir registres del consentiment: qui va consentir, quan, a què, a través de quina interfície. El Consell de la KVKK ha citat registres de consentiment inadequats en diverses accions executores, i els registres exportables amb marca de temps constitueixen l'expectativa mínima.
Transferències transfrontereres en virtut de l'article 9 del 2024
Les esmenes del 2024 van introduir un marc de transferència de tres nivells que reflecteix l'enfocament del GDPR. Comprendre quin nivell s'aplica a quin flux és la mancança de compliment més habitual per als editors estrangers el 2026.
Nivell 1 — Decisió d'adequació
El Consell pot designar un país, una organització internacional o un sector d'un país com a proveïdor de protecció adequada. Les transferències a destinacions adequades es permeten sense cap mecanisme addicional. A principis del 2026, el Consell estava emetent progressivament decisions d'adequació però encara no havia designat els Estats Units àmpliament.
Nivell 2 — Garanties adequades
En absència d'adequació, les transferències es permeten sobre la base de garanties adequades. Les esmenes contemplen específicament les clàusules contractuals tipus aprovades pel Consell, les normes corporatives vinculants per a transferències intragrupals i els codis de conducta o mecanismes de certificació aprovats pel Consell. Les clàusules contractuals tipus del Consell es van publicar el 2024 i constitueixen el mecanisme operatiu principal per a la majoria d'editors.
Nivell 3 — Derogacions
Existeixen excepcions limitades per a transferències ocasionals, transferències necessàries per a l'execució d'un contracte o transferències a les quals l'usuari ha consentit explícitament. No es poden utilitzar com a base jurídica principal per a fluxos programàtics continus.
Implicació pràctica per als editors
Una pila programàtica típica envia dades derivades de galetes a dotzenes de proveïdors estrangers per cada oferta. Cadascun d'aquests fluxos constitueix una transferència transfronterera. L'enfocament viable el 2026 és executar les clàusules contractuals tipus aprovades pel Consell amb cada processador internacional i documentar el mecanisme de transferència a l'Aydınlatma Metni i al registre VERBIS. Els editors que s'han mantingut amb la lògica de consentiment explícit per transferència anterior al 2024 estan simultàniament massa exposats al risc de compliment i aprofiten insuficientment les oportunitats de monetització.
Drets dels interessats
Els interessats turcs disposen del conjunt complet de drets que es troben al GDPR, aplicats a través del marc de la KVKK:
- Dret a saber si les seves dades es processen
- Dret d'accés a les dades processades
- Dret a la correcció de dades inexactes
- Dret a l'eliminació o anonimització quan el tractament ja no és justificat
- Dret a ser informat dels tercers als quals s'han divulgat les dades
- Dret a oposar-se a decisions automatitzades que produeixen efectes adversos
- Dret a indemnització per danys causats per un tractament il·lícit
Terminis de resposta
Els responsables han de respondre a les sol·licituds dels interessats en un termini de 30 dies. L'interessat pot escalar al Consell de la KVKK si la resposta del responsable és inadequada, i el Consell disposa d'un termini de 60 dies per decidir. La preparació operativa per a la finestra de 30 dies — amb runbooks, eines i plantilles de resposta en turc — és una mancança habitual per als editors estrangers.
Sancions i postura executora el 2026
El Consell de la KVKK va ser relativament tranquil durant els seus primers anys però ha intensificat significativament l'aplicació. El total de multes del 2025 va ser el més alt des que la llei va entrar en vigor, i el 2026 segueix una trajectòria similar.
Multes administratives
Les multes administratives s'indexen anualment a la inflació. El 2026, el límit per a les infraccions més greus supera els 40 milions de TRY per infracció, i s'apliquen límits separats per a les deficiències en matèria de seguretat de dades, notificació, inscripció al VERBIS i decisions del Consell. Responsables estrangers han estat multats al màxim del rang en diverses accions del 2025.
Exposició reputacional
El Consell publica resums de les decisions executores al seu lloc web. Les multes a editors estrangers han aparegut regularment a la premsa tecnològica turca, i el cost reputacional d'una decisió pública de la KVKK sol ser superior a la mateixa multa.
Temes d'aplicació
Les accions del Consell del 2025 i principis del 2026 s'agrupen al voltant d'un conjunt reduït de problemes recurrents: consentiment de galetes absent o ambigu, Aydınlatma Metni inadequat, responsables estrangers no registrats al VERBIS i transferències transfrontereres il·lícites que utilitzen el marc anterior al 2024.
Llista de verificació d'auditoria per al tràfic turc el 2026
- El bàner del CMP es serveix en turc per als usuaris turcs, amb Acceptar, Rebutjar i Personalitzar amb igual prominència visual
- Les finalitats del consentiment són granulars i qualsevol tractament de categories sensibles es troba darrere del seu propi flux de consentiment explícit
- Els registres de consentiment estan marcats amb data i hora, es poden exportar i es conserven almenys durant el període de tractament més un marge auditable
- L'Aydınlatma Metni és accessible en turc amb divulgació completa del responsable, processadors, finalitats, conservació i drets
- La inscripció al VERBIS és completa i actualitzada si el responsable supera el llindar
- Les transferències transfrontereres es basen en les clàusules contractuals tipus del 2024 o en un altre mecanisme vàlid de l'article 9, amb el mecanisme documentat a l'Aydınlatma Metni
- El flux de treball de sol·licituds dels interessats pot respondre dins de 30 dies d'extrem a extrem, en turc
- La llista de proveïdors ha estat revisada, amb proveïdors no utilitzats o redundants eliminats per reduir l'exposició
Les perspectives del 2026
El règim de protecció de dades de Turquia ha igualat el marc europeu en forma i l'està igualar ràpidament en aplicació. Les esmenes del 2024 van eliminar el major obstacle estructural per a la tecnologia publicitària internacional moderna — l'antic règim de transferència — i el Consell ha aprofitat els dos anys transcorreguts per concentrar-se en l'aplicació de la resta de la llei. Els editors amb un sistema de consentiment de grau GDPR han de fer ajustos relativament petits per estar preparats per a Turquia: CMP i avís en turc, inscripció al VERBIS si escau, clàusules de transferència de l'estàndard del 2024 i atenció a la llista més àmplia de dades sensibles. Els editors que han tractat Turquia com un mercat amb menys requisits descobriran que el 2026 és més costós que el 2025, i el 2027 més costós que el 2026. La bretxa es pot tancar en setmanes si es prioritza — i s'hauria de fer.