Protección de datos personales y privacidad
1. Introducción
En la era de la información, los datos personales se han convertido en una fuente fundamental de poder económico y político. Sin embargo, cuando este poder se utiliza sin límites legales que protejan la privacidad individual, se altera el equilibrio social. En Turquía, la Ley n.º 6698 sobre la Protección de Datos Personales (KVKK) y el artículo 20/3 de la Constitucióngarantizan la privacidad como un derecho fundamental.
Este artículo examinará en detalle la definición de datos personales, sus principios de protección, su base legal y las violaciones que se producen en la práctica.
2. El concepto de datos personales
2.1. Definición
Según el artículo 3 de la KVKK (Ley de Protección de Datos Personales):
"Los datos personales son cualquier información relativa a una persona física identificada o identificable."
Esto incluye nombre, apellido, número de identificación nacional turco, número de teléfono, ubicación, grabaciones de voz, dirección IP, datos biométricos e incluso preferencias de compra.
2.2. Categorías especiales de datos
El artículo 6 de la Ley de Protección de Datos Personales (KVKK) clasifica datos como "raza, salud, vida sexual y opiniones políticas" como información sensible y prevé una protección más estricta.
3. El fundamento constitucional del derecho a la privacidad y la confidencialidad
Artículo 20/3 de la Constitución:
"Toda persona tiene derecho a solicitar la protección de sus datos personales."
Con este artículo, la privacidad se ha convertido no solo en un valor ético, sino también en un derecho constitucional .
La obligación del Estado es doble:
-
Las autoridades públicas tienen responsabilidad negativa en caso de filtraciones de datos
-
Proporcionar una supervisión y protección efectivas frente a las empresas privadas es una obligación positiva.
En su decisión número 2016/13010, el Tribunal Constitucional declaró que "compartir datos personales sin consentimiento vulnera el derecho a la privacidad".
4. Principios fundamentales de la Ley de Protección de Datos Personales (KVKK)
Según el artículo 4 de la KVKK (Ley de Protección de Datos Personales), las actividades de tratamiento de datos deben basarse en los siguientes principios:
-
Cumplimiento de la ley y del principio de honestidad,
-
Ser preciso y estar actualizado,
-
Tratamiento para fines específicos, explícitos y legítimos,
-
Siendo pertinentes al propósito para el cual se comprometen, limitados y proporcionados,
-
Conservación durante el período estipulado en la legislación pertinente o durante el período necesario para la finalidad para la que fueron tratados.
Estos principios deben considerarse como un "código de referencia" en todo proceso de procesamiento de datos.
5. Condiciones para el tratamiento de datos personales
El tratamiento de datos debe basarse en uno de los fundamentos jurídicos especificados en los artículos 5 y 6 de la KVKK (Ley de Protección de Datos Personales):
-
Consentimiento explícito,
-
Específicamente previsto en la ley,
-
Formación o ejecución del contrato,
-
La obligación legal del responsable del tratamiento de datos,
-
El establecimiento, ejercicio o protección de un derecho,
-
Datos que han sido hechos públicos por la persona interesada.
Cualquier acción realizada sin consentimiento explícito ilegal .
6. Obligación de proporcionar iluminación
El responsable del tratamiento de datos está obligado a informar al interesado antes de recopilar sus datos (artículo 10 de la KVKK).
El aviso informativo debe incluir la identidad del responsable del tratamiento, la finalidad del tratamiento de datos, la transferencia de datos y los derechos que se pueden ejercer.
El incumplimiento de esta obligación multas administrativas de hasta 1 millón de liras turcas .
7. Seguridad de los datos y medidas técnicas
Los responsables del tratamiento de datos deben adoptar las siguientes medidas de conformidad con el artículo 12 de la KVKK (Ley de Protección de Datos Personales):
-
Prevenir el acceso no autorizado,
-
Cifrado y registro,
-
Sistema de control de acceso,
-
capacitación del personal,
-
Plan de respuesta ante incidentes cibernéticos.
Si no se adoptan estas medidas y se produce una filtración de datos, el Consejo podrá imponer sanciones y realizar auditorías.
8. Violación de datos y obligación de notificación
En caso de una violación de datos,
-
A la Junta Directiva en un plazo de 72 horas,
-
a la persona correspondiente lo antes posible
(Artículo 12/5).
Las instituciones que no presentaron informes fueron multadas con un promedio de entre 750.000 y 2.500.000 liras turcas entre 2024 y 2025
9. Obligación de anonimizar y eliminar
Cuando finaliza la finalidad del tratamiento de datos, los datos personales deben eliminarse , destruirse o anonimizarse (Artículo 7). Este proceso se rige por la « Política de Almacenamiento y Destrucción de Datos ». En su decisión n.º 2023/310, el Consejo subrayó que «la anonimización debe ser irreversible».
10. Transferencia de datos y acuerdos de privacidad
Cuando se transfieren datos personales a terceros, es obligatorio un acuerdo por escrito.
El acuerdo debe incluir lo siguiente:
-
Finalidad y duración del tratamiento,
-
Las responsabilidades de las partes,
-
medidas de seguridad de datos,
-
Procedimiento de notificación de violaciones de seguridad.
Para las transferencias de datos al extranjero, se requiere la autorización del Consejo o una lista de países que proporcionen una protección adecuada, de conformidad con el artículo 9 de la KVKK (Ley de Protección de Datos Personales).
11. Distinción entre instituciones públicas y sector privado
Las instituciones públicas también están sujetas a la Ley de Protección de Datos Personales (KVKK); sin embargo, las actividades de seguridad y judiciales constituyen una excepción. En el sector privado, las obligaciones son más estrictas, especialmente en banca, seguros, comercio electrónico y salud. Para los bancos, se aplican las directrices de la Agencia de Regulación y Supervisión Bancaria (BDDK) y la KVKK , mientras que para el sector salud se implementa la Guía de Datos de Salud
12. RGPD y comparación internacional
12.1. UE (RGPD)
El Reglamento General de Protección de Datos (RGPD) de la UE ha establecido estándares globales.
Turquía ha preparado un borrador de revisión de su Ley de Protección de Datos Personales (KVKK) para adaptarla a esta estructura para 2025.
12.2. Estados Unidos
En Estados Unidos no existe una ley federal de protección de datos; se aplican las regulaciones estatales (CCPA).
12.3. Ubicación de Turquía
Turquía ha creado una aplicación modelo en su región con la KVKK (Ley de Protección de Datos Personales) y VERBİS (Sistema de Registro e Información de Datos); sin embargo, todavía es necesario actualizarla en lo que respecta a la "transferencia internacional de datos y la creación de perfiles".
13. El enfoque de la equidad y la justicia
El Tribunal Supremo y el Tribunal Constitucional consideran las filtraciones de datos personales como "violaciones de los derechos personales".
-
Cuarta Sala Civil de la Corte Suprema, Caso No. 2020/3106: “El intercambio no autorizado de datos constituye motivo de daños morales”.
-
Sentencia del Tribunal Constitucional n.º 2018/14884: «La supervisión de los correos electrónicos de los empleados por parte de los empleadores se limita a fines legítimos y a la proporcionalidad».
El principio de equidad exige que el responsable del tratamiento de datos encuentre un equilibrio entre las medidas de protección y la privacidad del individuo.
14. Sanciones y penalizaciones administrativas
Las sanciones impuestas en 2025 de conformidad con el artículo 18 de la Ley de Protección de Datos Personales se resumen a continuación:
| Tipo de infracción | Rango de penalización (TL) |
|---|---|
| Violación de la obligación de proporcionar información | 100.000 – 1.000.000 |
| No tomar medidas de seguridad de datos | 200.000 – 2.500.000 |
| No registrarse en VERBİS | 500.000 – 2.000.000 |
| Incumplimiento de la decisión de la junta | 300.000 – 3.000.000 |
Además, la violación de datos puede acarrear responsabilidad penal en virtud de los artículos 136 a 138 del Código Penal turco
15. Conclusión y evaluación
La protección de datos personales es una garantía de libertad y dignidad individual en las democracias modernas. En Turquía, con la Ley de Protección de Datos Personales (KVKK), la privacidad ha dejado de ser un concepto abstracto para convertirse en un derecho legalmente exigible
En conclusión:
Los responsables del tratamiento de datos deben procesar los datos de forma transparente y proporcional.
Los datos personales deben eliminarse cuando haya finalizado la finalidad de su tratamiento.
Las filtraciones de datos deben notificarse en un plazo de 72 horas.
Las políticas de anonimización y consentimiento explícito son obligatorias.
La privacidad no es solo una obligación técnica, sino también ética.