A estrutura do KVKK tras as emendas de 2024

O KVKK é o principal estatuto de protección de datos en Turquía, e o seu texto enmendado é agora o punto de referencia. Os editores que traballaban coa versión anterior a 2024 están a mirar un marco desactualizado.

O que cambiaron as emendas de 2024

O cambio principal foi a reescritura do Artigo 9, que rexe as transferencias internacionais de datos. O réxime anterior a 2024 era notoriamente difícil de satisfacer — requiría consentimento explícito ou unha autorización do Consello caso a caso para case cada fluxo transfronteirizo, o cal era inviable para calquera pila adtech moderna. O Artigo 9 enmendado introduce tres niveis de mecanismo de transferencia: unha decisión de adecuación do Consello, un conxunto de salvagardas apropiadas que inclúen cláusulas contractuais estándar, e en casos estreitos, un conxunto de derrogacións. Isto finalmente aliña o dereito de transferencia turco co patrón RXPD e fai a publicidade programática conforme a nivel internacional sen un arquivo por provedor ante o Consello.

O que non cambiou

As definicións fundamentais, as bases legais, os dereitos dos interesados e o estándar de consentimento explícito para datos sensibles permaneceron como estaban. O limiar de consentimento explícito turco é, se cabe, máis estrito na práctica que o estándar do RXPD, e é aquí onde aínda residen a maioría das lagoas de cumprimento dos editores.

O rexistro VERBIS

Os responsables do tratamento que superan certos limiares — incluíndo a maioría dos responsables estranxeiros que procesan datos persoais turcos a escala — deben rexistrarse no Rexistro de responsables do tratamento (VERBIS). O rexistro require a divulgación das actividades de tratamento, as bases legais e os mecanismos de transferencia. Moitos editores estranxeiros omitiron historicamente o rexistro en VERBIS; o Consello sinalou unha postura máis activa neste asunto ao longo de 2025 e 2026.

O que conta como datos persoais baixo o KVKK

A definición de datos persoais do KVKK é ampla e corresponde estreitamente ao RXPD. Os datos persoais son calquera información relativa a unha persoa física identificada ou identificable, e as orientacións do Consello trataron sistematicamente as cookies, os identificadores publicitarios, os enderezos IP e as pegadas dactilares dos dispositivos como datos persoais cando se poden vincular a un usuario directamente ou por medios razoables.

Datos persoais sensibles

A lista de categorías sensibles do KVKK é máis ampla que a do RXPD: inclúe explicitamente a raza, a orixe étnica, a opinión política, a convicción filosófica, a relixión, a secta, a aparencia, a pertenza a asociacións ou fundacións, a saúde, a vida sexual, a condena penal, as medidas de seguridade e os datos biométricos e xenéticos. O tratamento de calquera destos require un consentimento explícito — non do tipo ambiguo ou agrupado, senón un consentimento específico, informado e libremente outorgado vinculado ao tratamento sensible concreto.

Por que isto importa para as cookies

Unha cookie que só almacena un ID de sesión é un dato persoal básico. Unha cookie que alimenta un segmento de audiencia como Votantes liberais ou Comunidade relixiosa devota é un dato persoal sensible baixo a definición turca — e a configuración de consentimento requirida é consentimento explícito ou nada. Os editores que dirixen segmentos de audiencia que inciden na lista sensible do KVKK non deberían executar eses segmentos baixo un consentimento publicitario xeral.

Consentimento de cookies baixo o KVKK en 2026

A posición do Consello sobre as cookies endureciuse nos últimos dous anos. A orientación actual é inequívoca: as cookies e as tecnoloxías de rastrexo que procesan datos persoais requiren consentimento, agás que sexan estritamente necesarias para un servizo que o usuario solicitou.

Os catro elementos do consentimento explícito válido

O consentimento explícito turco debe ser:

• Relacionado cun asunto específico — o consentimento xeral en forma de paraugas que cobre un tratamento futuro non especificado non é válido
• Informado — o usuario comprende que datos se procesan, con que fin, por quen e durante canto tempo
• Outorgado libremente — o usuario pode rexeitar sen que lle sexa denegado un servizo ao que ten dereito
• Expresado mediante un acto afirmativo claro — as caixas premarcadas, o consentimento implícito e o desprazamento como consentimento son todos inválidos

Como é unha CMP conforme

Unha CMP configurada para o tráfico turco en 2026 debería presentar:

• Un banner visible antes de que se active calquera cookie non esencial, por defecto en turco (Türkçe) para os usuarios turcos
• Igual prominencia visual para Aceptar, Rexeitar e Personalizar — o Consello sinalou especificamente os deseños de banners onde Rexeitar é menos visible que Aceptar
• Controis granulares por finalidade: análise, publicidade, personalización, transferencia transfronteiriza e calquera tratamento de categoría sensible
• Un mecanismo persistente e de fácil acceso para retirar o consentimento despois da elección inicial
• Un Aydınlatma Metni (Aviso de privacidade) en lingua turca que divulga a identidade do responsable do tratamento, as finalidades, os destinatarios, a conservación e os dereitos
• Un fluxo de consentimento explícito (açık rıza) separado e claramente etiquetado para calquera tratamento de categoría sensible, bloqueado tras a súa propia acción

Rexistros de consentimento

O responsable do tratamento debe manter rexistros de consentimento — quen deu o seu consentimento, cando, a que, a través de que interface. O Consello KVKK citou rexistros de consentimento inadecuados en varias accións de aplicación, e os rexistros con marca de tempo exportables son a expectativa de referencia.

Transferencias transfronteirizas baixo o Artigo 9 enmendado de 2024

As emendas de 2024 introduciron un marco de transferencia de tres niveis que reflicte o enfoque do RXPD. Comprender cal nivel se aplica a cal fluxo é a lagoa de cumprimento máis común para os editores estranxeiros en 2026.

Nivel 1 — Decisión de adecuación

O Consello pode designar un país, organización internacional ou sector dun país como que ofrece protección adecuada. As transferencias a destinos adecuados están permitidas sen mecanismo adicional. A principios de 2026, o Consello foi emitindo gradualmente decisións de adecuación pero aínda non designou amplamente os Estados Unidos.

Nivel 2 — Salvagardas apropiadas

En ausencia de adecuación, as transferencias están permitidas con base en salvagardas apropiadas. As emendas contemplan especificamente as cláusulas contractuais estándar aprobadas polo Consello, as normas corporativas vinculantes para as transferencias intragrupais e os códigos de conduta ou mecanismos de certificación aprobados polo Consello. As cláusulas contractuais estándar do Consello publicáronse en 2024 e son o mecanismo de traballo principal para a maioría dos editores.

Nivel 3 — Derrogacións

Existen excepcións limitadas para transferencias ocasionais, transferencias necesarias para o cumprimento dun contrato ou transferencias ás que o usuario consentiu explicitamente. Non se poden usar como base legal principal para fluxos programáticos continuos.

Implicación práctica para os editores

Unha pila programática típica envía datos derivados de cookies a decenas de provedores no estranxeiro por poxas. Cada un deses fluxos é unha transferencia transfronteiriza. O enfoque viable en 2026 é executar cláusulas contractuais estándar aprobadas polo Consello con cada procesador internacional e documentar o mecanismo de transferencia no Aydınlatma Metni e no rexistro VERBIS. Os editores que se mantiveron na lóxica de consentimento explícito por transferencia anterior a 2024 están simultaneamente sobreexpostos ao risco de cumprimento e subutilizan a oportunidade de monetización.

Dereitos dos interesados

Os interesados turcos teñen o conxunto completo de dereitos que se atopan no RXPD, aplicados a través do marco KVKK:

• Dereito a saber se se están procesando os seus datos
• Dereito de acceso aos datos procesados
• Dereito á corrección de datos inexactos
• Dereito á supresión ou anonimización cando o tratamento xa non está xustificado
• Dereito a ser informado dos terceiros aos que se comunicaron os datos
• Dereito a opoñerse a decisións automatizadas que produzan efectos adversos
• Dereito a indemnización polos danos causados por un tratamento ilícito

Prazos de resposta

Os responsables do tratamento deben responder ás solicitudes dos interesados no prazo de 30 días. O interesado pode escalalo ao Consello KVKK se a resposta do responsable do tratamento é inadecuada, e o Consello dispón dunha xanela de 60 días para decidir. A preparación operativa para a xanela de 30 días — con manuais de operacións, ferramentas e modelos de resposta en lingua turca — é unha lagoa común para os editores estranxeiros.

Sancións e postura de aplicación en 2026

O Consello KVKK foi relativamente silencioso nos seus primeiros anos, pero intensificou significativamente a aplicación. O total de multas de 2025 foi o máis alto desde que a lei entrou en vigor, e 2026 está nunha traxectoria similar.

Multas administrativas

As multas administrativas son indexadas anualmente coa inflación. A partir de 2026, o límite para as infraccións máis graves supera TRY 40 millóns por infracción, e aplícanse límites separados para os fallos en materia de seguridade de datos, notificación, rexistro VERBIS e decisións do Consello. Os responsables do tratamento estranxeiros foron multados no extremo superior do intervalo en varias accións de 2025.

Exposición á reputación

O Consello publica resumos das decisións de aplicación no seu sitio web. As multas a editores estranxeiros apareceron regularmente na prensa tecnolóxica turca, e o custo reputacional dunha decisión pública do KVKK é normalmente superior á propia multa.

Temas de aplicación

As accións do Consello de 2025 e principios de 2026 agrúpanse arredor dun pequeno conxunto de problemas recorrentes: consentimento de cookies ausente ou ambiguo, Aydınlatma Metni inadecuado, responsables do tratamento estranxeiros non rexistrados en VERBIS e transferencias transfronteirizas ilícitas usando o marco anterior a 2024.

Lista de verificación de auditoría para o tráfico turco en 2026

• O banner CMP sérvese en turco aos usuarios turcos, con Aceptar, Rexeitar e Personalizar con igual prominencia visual
• As finalidades de consentimento son granulares e calquera tratamento de categoría sensible está illado tras o seu propio fluxo de consentimento explícito
• Os rexistros de consentimento teñen marca de tempo, son exportables e consérvanse durante polo menos a duración do tratamento máis unha marxe auditable
• O Aydınlatma Metni está dispoñible en turco con divulgacións completas do responsable do tratamento, procesadores, finalidades, conservación e dereitos
• O rexistro VERBIS está completo e actualizado se o responsable do tratamento supera o limiar
• As transferencias transfronteirizas baséanse nas cláusulas contractuais estándar de 2024 ou noutro mecanismo válido do Artigo 9, co mecanismo documentado no Aydınlatma Metni
• O fluxo de traballo de solicitude do interesado pode responder en 30 días de punta a punta, en turco
• A lista de provedores revisouse, eliminando os provedores non utilizados ou redundantes para reducir a exposición

As perspectivas de 2026

O réxime de protección de datos de Turquía alcanzou o marco europeo en forma e está a alcanzalo rapidamente en aplicación. As emendas de 2024 eliminaron o maior obstáculo estrutural para a tecnoloxía publicitaria internacional moderna — o antigo réxime de transferencia — e o Consello usou os dous anos desde entón para centrarse na aplicación do resto da lei. Os editores cun pila de consentimento de grao RXPD precisan facer axustes relativamente pequenos para estar preparados para Turquía: CMP e aviso en lingua turca, rexistro VERBIS se é aplicable, cláusulas de transferencia estándar de 2024 e coidado coa lista de datos sensibles máis ampla. Os editores que trataron Turquía como un mercado de toque máis lixeiro atoparán 2026 máis caro que 2025, e 2027 máis caro que 2026. A brecha pode pecharse en semanas se se prioriza — e debería facerse.