La KVKK de Turquía y las enmiendas de 2024: Guía para editores y anunciantes sobre el consentimiento de cookies, las transferencias transfronterizas y el consentimiento explícito en 2026
La Ley de Protección de Datos Personales de Turquía (KVKK, Ley n.º 6698) está vigente desde 2016, pero durante la mayor parte de esa década funcionó como el primo más tranquilo del GDPR: estructuralmente similar, pero notablemente más suave en su aplicación. Esa era ha terminado. Las enmiendas a la KVKK de 2024, publicadas en el Boletín Oficial el 12 de marzo de 2024, reestructuraron el régimen de transferencia transfronteriza de datos para alinearlo con el modelo de adecuación y cláusulas contractuales tipo del GDPR, y el Consejo de la KVKK (Kişisel Verileri Koruma Kurulu) ha intensificado de manera significativa la aplicación a lo largo de 2025 y hasta 2026. Para cualquier editor, anunciante o plataforma que procese datos de usuarios turcos — ya sea con sede en Turquía o sirviendo al mercado turco desde el extranjero — 2026 es el año en que contar con una pila de consentimiento moderna deja de ser opcional y se convierte en el estándar mínimo exigible. Esta guía recorre la ley en su forma enmendada, lo que realmente requiere el consentimiento de cookies, cómo funcionan ahora las transferencias transfronterizas y cómo es la aplicación del Consejo en la práctica.
La estructura de la KVKK tras las enmiendas de 2024
La KVKK es la ley de protección de datos principal de Turquía, y su texto enmendado es ahora el punto de referencia. Los editores que han venido trabajando con la versión anterior a 2024 están operando con un marco desactualizado.
Qué cambiaron las enmiendas de 2024
El cambio principal fue la reescritura del artículo 9, que regula las transferencias internacionales de datos. El régimen anterior a 2024 era notoriamente difícil de cumplir: requería bien consentimiento explícito, bien una autorización caso por caso del Consejo para casi cualquier flujo transfronterizo, lo que era inviable para cualquier pila tecnológica publicitaria moderna. El artículo 9 enmendado introduce tres niveles de mecanismo de transferencia: una decisión de adecuación del Consejo, un conjunto de garantías adecuadas que incluye cláusulas contractuales tipo, y en casos limitados un conjunto de derogaciones. Esto alinea por fin el derecho turco de transferencias con el patrón del GDPR y hace que la publicidad programática sea internacionalmente conforme sin tener que presentar un expediente ante el Consejo por cada proveedor.
Qué no cambió
Las definiciones fundamentales, las bases jurídicas, los derechos de los interesados y el estándar de consentimiento explícito para datos sensibles permanecen inalterados. El umbral de consentimiento explícito turco es, en la práctica, más estricto que el estándar del GDPR, y aquí es donde siguen residiendo la mayoría de las brechas de cumplimiento de los editores.
El registro VERBIS
Los responsables del tratamiento que superan determinados umbrales — incluida la mayoría de los responsables extranjeros que tratan datos personales turcos a gran escala — deben inscribirse en el Registro de Responsables del Tratamiento (VERBIS). La inscripción exige revelar las actividades de tratamiento, las bases jurídicas y los mecanismos de transferencia. Muchos editores extranjeros han omitido históricamente la inscripción en VERBIS; el Consejo ha señalado una postura más activa al respecto durante 2025 y 2026.
Qué se considera dato personal conforme a la KVKK
La definición de dato personal de la KVKK es amplia y se corresponde estrechamente con la del GDPR. Los datos personales son cualquier información relativa a una persona física identificada o identificable, y las orientaciones del Consejo han tratado sistemáticamente las cookies, los identificadores publicitarios, las direcciones IP y las huellas digitales de dispositivos como datos personales cuando pueden vincularse a un usuario de forma directa o mediante medios razonables.
Datos personales sensibles
La lista de categorías sensibles de la KVKK es más amplia que la del GDPR: incluye expresamente la raza, el origen étnico, la opinión política, la creencia filosófica, la religión, la secta, la apariencia, la pertenencia a una asociación o fundación, la salud, la vida sexual, la condena penal, las medidas de seguridad y los datos biométricos y genéticos. El tratamiento de cualquiera de ellos requiere un consentimiento explícito — no el tipo ambiguo o agrupado, sino un consentimiento específico, informado y libremente otorgado, vinculado al tratamiento sensible concreto.
Por qué esto importa para las cookies
Una cookie que solo almacena un identificador de sesión constituye datos personales básicos. Una cookie que alimenta un segmento de audiencia como Votantes liberales o Comunidad religiosa devota es un dato personal sensible según la definición turca — y la configuración de consentimiento requerida es consentimiento explícito o nada. Los editores que segmentan audiencias que rozan la lista sensible de la KVKK no deben ejecutar esos segmentos bajo un consentimiento publicitario general.
El consentimiento de cookies conforme a la KVKK en 2026
La postura del Consejo sobre las cookies se ha endurecido en los últimos dos años. Las orientaciones actuales no dejan margen para la ambigüedad: las cookies y las tecnologías de seguimiento que tratan datos personales requieren consentimiento, salvo que sean estrictamente necesarias para un servicio solicitado por el usuario.
Los cuatro elementos del consentimiento explícito válido
El consentimiento explícito turco debe ser:
- Relativo a un objeto específico — el consentimiento paraguas general que cubre tratamientos futuros no especificados no es válido
- Informado — el usuario comprende qué datos se tratan, con qué finalidad, por quién y durante cuánto tiempo
- Otorgado libremente — el usuario puede negarse sin que se le prive de un servicio al que tiene derecho en otras circunstancias
- Expresado mediante un acto afirmativo inequívoco — las casillas premarcadas, el consentimiento implícito y el desplazamiento como consentimiento son todos inválidos
Cómo es una CMP conforme
Una CMP configurada para el tráfico turco en 2026 debe presentar:
- Un banner visible antes de que se active cualquier cookie no esencial, con el turco (Türkçe) como idioma predeterminado para los usuarios turcos
- Igual prominencia visual para Aceptar, Rechazar y Personalizar — el Consejo ha señalado específicamente diseños de banner en los que Rechazar es menos visible que Aceptar
- Interruptores granulares por finalidad: análisis, publicidad, personalización, transferencia transfronteriza y cualquier tratamiento de categorías sensibles
- Un mecanismo permanente y fácilmente accesible para retirar el consentimiento después de la elección inicial
- Un Aydınlatma Metni (Aviso de privacidad) en turco que revele la identidad del responsable, las finalidades, los destinatarios, la conservación y los derechos
- Un flujo de consentimiento explícito separado y claramente etiquetado (açık rıza) para cualquier tratamiento de categorías sensibles, protegido por su propia acción
Registros de consentimiento
El responsable debe mantener registros del consentimiento: quién consintió, cuándo, a qué, a través de qué interfaz. El Consejo de la KVKK ha citado registros de consentimiento inadecuados en varias acciones de ejecución, y los registros exportables con marca de tiempo son la expectativa mínima.
Transferencias transfronterizas conforme al artículo 9 enmendado de 2024
Las enmiendas de 2024 introdujeron un marco de transferencias de tres niveles que refleja el enfoque del GDPR. Comprender qué nivel aplica a cada flujo es la brecha de cumplimiento más habitual para los editores extranjeros en 2026.
Nivel 1 — Decisión de adecuación
El Consejo puede designar un país, una organización internacional o un sector de un país como proveedor de protección adecuada. Las transferencias a destinos adecuados se permiten sin mecanismo adicional. A comienzos de 2026, el Consejo iba emitiendo gradualmente decisiones de adecuación, pero aún no había designado a Estados Unidos de forma amplia.
Nivel 2 — Garantías adecuadas
En ausencia de adecuación, las transferencias se permiten sobre la base de garantías adecuadas. Las enmiendas contemplan específicamente las cláusulas contractuales tipo aprobadas por el Consejo, las normas corporativas vinculantes para las transferencias intragrupales y los códigos de conducta o mecanismos de certificación aprobados por el Consejo. Las cláusulas contractuales tipo del Consejo se publicaron en 2024 y son el mecanismo operativo principal para la mayoría de los editores.
Nivel 3 — Derogaciones
Existen excepciones limitadas para transferencias ocasionales, transferencias necesarias para la ejecución de un contrato, o transferencias en las que el usuario ha dado su consentimiento explícito. Estas no pueden utilizarse como base jurídica principal para flujos programáticos continuos.
Implicación práctica para los editores
Una pila programática típica envía datos derivados de cookies a decenas de proveedores en el extranjero por cada subasta. Cada uno de esos flujos constituye una transferencia transfronteriza. El enfoque viable en 2026 es ejecutar cláusulas contractuales tipo aprobadas por el Consejo con cada procesador internacional y documentar el mecanismo de transferencia en el Aydınlatma Metni y el registro VERBIS. Los editores que han seguido aplicando la lógica de consentimiento explícito por transferencia anterior a 2024 están simultáneamente sobreexpuestos al riesgo de incumplimiento y desaprovechando oportunidades de monetización.
Derechos de los interesados
Los interesados turcos disponen del conjunto completo de derechos recogidos en el GDPR, aplicados a través del marco de la KVKK:
- Derecho a saber si sus datos están siendo tratados
- Derecho de acceso a los datos tratados
- Derecho a la rectificación de datos inexactos
- Derecho a la supresión o anonimización cuando el tratamiento ya no esté justificado
- Derecho a ser informado de los terceros a quienes se han comunicado los datos
- Derecho a oponerse a decisiones automatizadas que produzcan efectos adversos
- Derecho a indemnización por daños causados por un tratamiento ilícito
Plazos de respuesta
Los responsables deben responder a las solicitudes de los interesados en un plazo de 30 días. El interesado puede elevar la queja al Consejo de la KVKK si la respuesta del responsable es inadecuada, y el Consejo dispone de un plazo de 60 días para resolver. La preparación operativa para la ventana de 30 días — con manuales de procedimientos, herramientas y plantillas de respuesta en turco — es una brecha habitual en los editores extranjeros.
Sanciones y postura de aplicación en 2026
El Consejo de la KVKK fue relativamente discreto durante sus primeros años, pero ha intensificado significativamente la aplicación. El total de multas de 2025 fue el más alto desde que entró en vigor la ley, y 2026 sigue una trayectoria similar.
Multas administrativas
Las multas administrativas se indexan anualmente a la inflación. En 2026, el techo para las infracciones más graves supera los 40 millones de TRY por infracción, y se aplican techos separados para los incumplimientos en materia de seguridad de datos, notificación, inscripción en VERBIS y decisiones del Consejo. Responsables extranjeros han sido multados en el tramo máximo en varias acciones de 2025.
Exposición reputacional
El Consejo publica resúmenes de sus decisiones de ejecución en su sitio web. Las multas a editores extranjeros han aparecido regularmente en la prensa tecnológica turca, y el coste reputacional de una decisión pública de la KVKK suele ser superior a la propia multa.
Temas de aplicación
Las acciones del Consejo en 2025 y principios de 2026 se concentran en torno a un pequeño conjunto de problemas recurrentes: consentimiento de cookies ausente o ambiguo, Aydınlatma Metni inadecuado, responsables extranjeros no registrados en VERBIS y transferencias transfronterizas ilícitas que utilizan el marco anterior a 2024.
Lista de verificación de auditoría para el tráfico turco en 2026
- El banner de la CMP se sirve en turco para los usuarios turcos, con Aceptar, Rechazar y Personalizar en igual prominencia visual
- Las finalidades del consentimiento son granulares y cualquier tratamiento de categorías sensibles queda detrás de su propio flujo de consentimiento explícito
- Los registros de consentimiento llevan marca de tiempo, son exportables y se conservan al menos durante el período de tratamiento más un margen auditable
- El Aydınlatma Metni está disponible en turco con plena divulgación del responsable, los encargados del tratamiento, las finalidades, la conservación y los derechos
- La inscripción en VERBIS está completa y actualizada si el responsable supera el umbral
- Las transferencias transfronterizas se apoyan en las cláusulas contractuales tipo de 2024 u otro mecanismo válido del artículo 9, con el mecanismo documentado en el Aydınlatma Metni
- El flujo de trabajo de solicitudes de interesados puede responder en 30 días de extremo a extremo, en turco
- La lista de proveedores ha sido revisada, eliminando los proveedores no utilizados o redundantes para reducir la exposición
Las perspectivas para 2026
El régimen de protección de datos de Turquía ha alcanzado al marco europeo en la forma y está alcanzándolo rápidamente en la aplicación. Las enmiendas de 2024 eliminaron el mayor obstáculo estructural para la tecnología publicitaria internacional moderna — el antiguo régimen de transferencias — y el Consejo ha empleado los dos años transcurridos desde entonces en centrarse en la aplicación del resto de la ley. Los editores con una pila de consentimiento de nivel GDPR deben realizar ajustes relativamente pequeños para estar preparados para Turquía: CMP y aviso en turco, inscripción en VERBIS si procede, cláusulas de transferencia según el estándar de 2024 y atención a la lista más amplia de datos sensibles. Los editores que han tratado Turquía como un mercado con requisitos más laxos encontrarán 2026 más caro que 2025, y 2027 más caro que 2026. La brecha se puede cerrar en semanas si se prioriza — y debería hacerse.