Imagen de Arzu Geybullayeva para Global Voices, creada con Canva Pro.

La nueva ley de ciberseguridad de Turquía, promulgada el 13 de marzo de 2025, ha suscitado un acalorado debate sobre su impacto en los derechos digitales, la libertad de expresión, la libertad de los medios y el acceso a la información desde el momento que el proyecto de ley se presentó en el Parlamento el 10 de enero de 2025. Muchos expertos turcos, grupos de la sociedad civil y observadores internacionales vieron en la ley una herramienta potencial para restringir el periodismo independiente y reprimir la disidencia. El país ya tiene una lista de leyes restrictivas, incluida la ley de desinformación aprobada en 2022. Por ello, la nueva ley se considera una herramienta más en manos de las autoridades para censurar voces y contenidos.

¿Qué contiene la ley?

En esencia, la ley introduce medidas estrictas, y penaliza dar información sobre filtraciones de datos, y concede facultades extraordinarias al jefe de la Dirección de Ciberseguridad, institución de reciente creación. Los críticos argumentan que el lenguaje impreciso y de gran alcance de la ley enfatiza desproporcionadamente el control de las narrativas en línea en lugar de asegurar la infraestructura digital.

El partido del gobernante Justicia y Desarrollo (AKP) presentó el proyecto de ley de 21 artículos el 10 de enero de 2025. Los autores del proyecto —legisladores de AKP— argumentaron que la ley pretendía mejorar las defensas del país contra las ciberamenazas, reforzar la seguridad nacional y salvaguardar a las instituciones públicas y a las entidades del sector privado. Los legisladores del AKP creen que la actual ley de desinformación, promulgada en 2022, no trata adecuadamente las amenazas a la ciberseguridad. Afirman que la nueva ley aumentará la eficacia de las iniciativas para combatir los ciberdelitos.

Dos de los 21 artículos de la ley fueron objeto de especial escrutinio: los artículos 8 y 16. En la versión original del proyecto de ley, el articulo 8 otorgaba amplios poderes y autoridad al jefe de la Dirección de Ciberseguridad, incluida la capacidad de realizar registros, incautar materiales y copiar contenidos digitales sin necesidad de aprobación judicial previa. En su versión final, tras las reacciones durante los debates del proyecto de ley, se eliminó del texto la facultad de registrar, copiar e incautar datos, facultad que otorgó al fiscal.

El artículo 16 de la versión original contenía dos términos específicos que también provocaron desacuerdos sobre el proyecto de ley. Los términos “fuga de datos” y “quienes difundan contenido” se sustituyeron en su versión final por “fuga de datos relacionados con la ciberseguridad”, y “quienes creen contenido”. La pena de prisión de cinco años por violar este artículo y sus disposiciones quedó sin cambios. Así, según el apartado 5 del artículo 16,

Those who create false content about data leak related to cybersecurity, even though they know that there is no data leak in cyberspace, or those who spread this content for this purpose, shall be sentenced to two to five years in prison.

Quienes creen contenido falso sobre fugas de datos relacionadas con la ciberseguridad, aún sabiendo que no existe ninguna filtración de datos en el ciberespacio, o quienes difundan este contenido con este fin, serán condenados de dos a cinco años de prisión.

En su análisis jurídico de la ley, la Asociación de Estudios sobre Medios y Derechos destacó varios matices problemáticos, como castigar a los periodistas que trabajan en seguridad de datos con las mismas penas que a los autores de las filtraciones. La Asociación concluyó que la ley es una nueva herramienta de censura en manos de las autoridades.

El jefe de la Dirección de Ciberseguridad (que será designado por el presidente Recep Tayyip Erdoğan según la ley recién aprobada), tiene autoridad para solicitar información y documentos a todas las instituciones y organizaciones, y para auditar los sistemas informáticos de estas organizaciones. En este contexto, explicó la Asociación, el jefe de Dirección de Ciberseguridad podrá acceder a los datos de cualquier institución y organización, y conservarlos. Quienes se nieguen a cumplir las peticiones serán encarcelados hasta tres años.

Estos amplios poderes y castigos son preocupantes en el contexto de los grupos de la sociedad civil y el trabajo que realizan, ya que dan una vía fácil para abusar del poder con la dirección, pues exigen acceso a las comunicaciones y datos sensibles de la organización, y seguimiento de sus actividades. La ley podría tener un efecto amedrentador sobre la libertad de expresión: los grupos de la sociedad civil podrían dudar al expresar sus opiniones ante la amenaza de ser encarcelados. La autoridad para acceder y almacenar datos puede poner en grave peligro el derecho a la intimidad de organizaciones y personas, y en el caso de periodistas, la confidencialidad de sus fuentes. La ley podría conducir a atacar a grupos específicos, algunos de los cuales son críticos con las autoridades y pueden enfrentar una respuesta desproporcionada con la nueva ley, suprimir y socavar los mecanismos para que se asuman responsabilidades en los procesos democráticos. Eso podría permitir interpretaciones y ejecuciones arbitrarias, lo que haría más vulnerables a los grupos de la sociedad civil, ya que la ley no define claramente los parámetros de cumplimiento ni los criterios de acción de la dirección.

Hay más sanciones en la ley, que resume el sitio independiente de noticias Bianet:

8 to 12 years in prison for carrying out cyber attacks targeting elements of Turkey's national power in the cyberspace;

2 to 4 years in prison and fines for operating without the required licenses and permits;

4 to 8 years in prison for failing to comply with confidentiality obligations;

3 to 5 years in prison for sharing or selling personal or sensitive government data obtained through a cybersecurity breach;

2 to 5 years in prison for falsely claiming that a cybersecurity-related data leak has occurred to cause public panic or defame institutions or individuals.

De ocho a doces años de prisión por realizar ciberataques dirigidos contra elementos del sistema nacional turco en el ciberespacio;

De dos a cuatro años de prisión y multas por operar sin las licencias y permisos necesarios;

De cuatro a ocho años de prisión por incumplir las obligaciones de confidencialidad;

De tres a cinco años de prisión por difundir y vender datos personales o sensibles del Gobierno obtenidos a través de una violación de ciberseguridad;

De dos a cinco años de cárcel por afirmar falsamente que ha habido una filtración de datos relacionados con la ciberseguridad para causar pánico público o difamar a instituciones o personas.

Además de la jefatura, se creará un Consejo de Ciberseguridad, encabezado por el presidente del país, e incluirá como miembros al jefe de la Dirección de Ciberseguridad, al vicepresidente, al jefe de inteligencia y a varios ministros, según informa Bianet.

Antecedentes de filtraciones de datos en Turquía

Los ciudadanos turcos llevan mucho tiempo expuestos a filtraciones de datos personales. Algunos de los casos documentados hasta la fecha incluyen la filtración de 2016, cuando se filtraron los datos personales de unos 50 millones de ciudadanos turcos (nombres, direcciones, nombres de los padres, ciudades de nacimiento, fechas de nacimiento y números de documento nacional de identidad).

En 2017, se violaron los datos personales de unos 60 millones de abonados de Turkcell, principal operador GSM de Turquía. En 2021, un ciberataque contra Yemeksepeti, la mayor aplicación de reparto de comida a domicilio del país, tuvo como resultado la filtración de los datos de 19 millones de clientes, incluidos datos de usuarios, números de teléfono, correo electrónicos y direcciones.

En 2023, tras un ataque cibernético al principal portal de la administración pública del país e-Devlet (e-Estado), se filtraron los datos personales de 85 millones de ciudadanos turcos y millones de residentes en el país.

En 2024, un ciberataque al sistema de gestión de la información de un hospital local de Estambul filtró los historiales médicos de millones de pacientes. Ese mismo año, las autoridades turcas  revelaron que una filtración de datos durante la pandemia provocó el robo de los datos de más de cien millones de ciudadanos, incluidos quienes vivían en el extranjero, refugiados y otras personas que estaban registradas en instituciones oficiales. En enero de 2025 se produjo una filtración de datos satelitales.

Estos ejemplos no son en absoluto exhaustivos. Y la denuncia de estas infracciones ha sido una forma de mantener informada a la opinión pública, aunque los ciudadanos turcos no esperan privacidad alguna en línea ni mejor protección de sus datos personales.

Es a la luz de estos ejemplos, y de la calificación general del país en materia de libertades, en particular con respecto a la libertad de medios y de expresión, que deben evaluarse las consecuencias de la nueva ley de ciberseguridad. En una entrevista concedida a Turkey ReCap, Özgür Ceylan, portavoz de la comisión del principal partido opositor, el Partido Republicano del Pueblo (CHP), dijo:

In a situation where critical views and the right to inform the public are already faced with the risk of arbitrary punishment, this regulation will pave the way for them [the ruling government] to go one step further. In this context, posts claiming data leaks or breaches of cybersecurity that closely concern the public could be targeted. Individuals’ ability to express themselves freely may be restricted, and people who report data breach claims may be tried under this crime — foreseeing heavy penalties.

En una situación en que las opiniones críticas y el derecho a informar al público ya enfrentan el riesgo de sufrir castigos arbitrarios, esta normativa les allanará el camino [al Gobierno] para ir a un paso más allá. En este contexto, las publicaciones en las que se denuncien filtraciones de datos o violaciones de la ciberseguridad que preocupen de cerca al público podrían recibir ataques. La capacidad de las personas para expresarse libremente podría verse restringida, y quienes denuncien violaciones de datos podrían ser juzgadas por este delito, lo que hace prever duras penas.

En el ámbito de la ley de desinformación de 2022, hay al menos 66 investigaciones a periodistas y más de 4500 pesquisas a personas acusadas de “difundir información engañosa”, iniciadas desde 2022.