Turquia KVKK: Conformidade com proteção de dados pessoais

A Kişisel Verilerin Korunması Kanunu da Turquia (KVKK – Lei de Proteção de Dados Pessoais nº 6698) entrou em vigor em 7 de abril de 2016, tornando a Turquia um dos primeiros países fora da UE a promulgar legislação abrangente de proteção de dados alinhada ao GDPR. Com a crescente economia digital da Turquia, a população significativa (85 milhões) e o seu papel como um centro para empresas que servem os mercados europeu e do Médio Oriente, a conformidade com a KVKK tornou-se uma consideração cada vez mais importante para as organizações internacionais.

O KVKK é administrado pela Autoridade de Proteção de Dados Pessoais (Kişisel Verileri Koruma Kurumu — Autoridade KVKK ou KVK Kurumu) e aplicado pelo Conselho de Proteção de Dados Pessoais (Kişisel Verileri Koruma Kurulu). O Conselho emitiu ativamente orientações, investigou reclamações e impôs multas significativas – com penalidades que chegam a ₺19,8 milhões (US$ 620.000) por violação em 2025.

Principais conclusões

• KVKK aplica-se a pessoas singulares e colectivas que processam dados pessoais de indivíduos turcos, independentemente do local onde o responsável pelo tratamento está estabelecido
• Existem sete condições de tratamento de dados pessoais gerais; oito para dados pessoais sensíveis
• Dados pessoais sensíveis incluem raça, origem étnica, opinião política, crença filosófica, religião, seita, filiação sindical, saúde, vida sexual, condenações criminais, dados biométricos e genéticos
• Os titulares dos dados têm oito direitos, incluindo acesso, correção, apagamento e oposição a decisões automatizadas
• As transferências transfronteiriças de dados exigem determinação de adequação pelo Conselho ou consentimento explícito
• O registro VERBİS (Registro de Controladores de Dados) é obrigatório para controladores que atendem a determinados limites
• Notificação de violação de dados exigida sem demora injustificada ao Conselho e dentro de 72 horas para violações graves
• Multas administrativas até ₺19,8 milhões; responsabilidade criminal ao abrigo do Código Penal Turco

---

Estrutura KVKK e escopo territorial

Aplicabilidade

KVKK se aplica a:

• Pessoas singulares e coletivas que processam dados pessoais total ou parcialmente por meios automatizados
• Pessoas singulares e colectivas que tratem dados pessoais por meios não automatizados se os dados fizerem parte de um sistema de arquivo

Alcance extraterritorial: KVKK não declara explicitamente a aplicação extraterritorial nos mesmos termos claros do Artigo 3 do GDPR. No entanto, o Conselho assumiu a posição de que KVKK se aplica a controladores de dados estrangeiros que processam dados pessoais de indivíduos na Turquia – refletido em ações de aplicação contra o Facebook/Meta e outras empresas internacionais. Os responsáveis ​​pelo tratamento fora da Turquia que oferecem bens/serviços a indivíduos turcos ou que processam dados de indivíduos turcos devem avaliar as obrigações da KVKK.

Isenções: KVKK não se aplica a:

• Tratamento de dados pessoais por pessoas singulares para atividades puramente pessoais
• Tratamento de dados pessoais para efeitos de investigação e ação penal
• Tratamento de dados pessoais anonimizados para fins estatísticos
• Processamento para artes e literatura
• Tratamento para fins jornalísticos, académicos, artísticos ou literários (com limitações)
• Tratamento no âmbito da defesa nacional, segurança e proteção pública

---

Condições de processamento

O artigo 5.º estabelece as condições sob as quais os dados pessoais podem ser tratados. Pelo menos uma condição deve ser atendida:

1. Consentimento explícito do titular dos dados
2. Previsto explicitamente por lei — processamento expressamente exigido ou permitido por lei
3. Proteção da vida ou da integridade física — quando o titular dos dados ou terceiros não puderem fornecer consentimento
4. Necessidade contratual — processamento necessário para a celebração ou execução de um contrato
5. Obrigação legal — cumprimento de uma obrigação legal do responsável pelo tratamento dos dados
6. O titular dos dados tornou os dados públicos — a pessoa divulgou os dados
7. Estabelecimento, exercício ou proteção de um direito — necessário para processos judiciais

Condições de Dados Pessoais Sensíveis (Artigo 6): Os dados pessoais sensíveis só podem ser processados:

1. Com o consentimento explícito do titular dos dados
2. Sem consentimento, para apenas categorias específicas:

• Dados sobre saúde e vida sexual: apenas para proteção da saúde pública, medicina preventiva, diagnóstico médico, serviços de cuidados/tratamento e planeamento e gestão de serviços de saúde, por ou sob obrigação de sigilo de pessoas no setor da saúde
• Outros dados sensíveis (raça, origem étnica, religião, filiação sindical, etc.): processamento permitido quando explicitamente previsto em lei

Os dados pessoais sensíveis incluem: raça, origem étnica, opinião política, crença filosófica, religião, seita ou outras crenças, vestuário, filiação sindical, saúde, vida sexual, condenações criminais e medidas de segurança, e dados biométricos e genéticos.

---

Direitos do titular dos dados

O Artigo 11 concede aos titulares dos dados os seguintes direitos – as solicitações devem ser respondidas no prazo de 30 dias gratuitamente:

Exercício de direitos: Os titulares dos dados enviam solicitações por escrito (ou através do método especificado pelo controlador). Os controladores devem responder dentro de 30 dias. Caso o pedido seja recusado, o titular dos dados pode reclamar junto da Direção no prazo de 30 dias.

---

Registro VERBİS

O Artigo 16 exige que os controladores de dados se registrem no Registro de Controladores de Dados (VERBİS — Veri Sorumluları Sicili) antes de iniciar o processamento de dados pessoais. O registro requer:

• Identidade do controlador e informações de contato
• Finalidades de processamento
• Grupos e destinatários de dados transferidos
• Finalidades de transferência
• Categorias de dados processados
• Medidas de segurança tomadas
• Períodos de retenção

Isenções de registro VERBİS (determinado por decisões do Conselho):

• Número anual de funcionários inferior a 50 E demonstração financeira anual não superior a 25 milhões de liras turcas
• Tratamento apenas em benefício próprio do titular dos dados
• Processamento para uma finalidade limitada, onde dados sensíveis não são processados

Importante: Mesmo isento do registro VERBİS, todas as outras obrigações KVKK se aplicam. A isenção VERBİS apenas remove a exigência de registro.

Controladores de dados estrangeiros: O Conselho determinou que os controladores de dados estrangeiros sujeitos ao KVKK também devem se registrar no VERBİS se não estiverem dentro de uma categoria de isenção.

---

Obrigações dos Controladores de Dados

Aviso de privacidade

Os controladores de dados devem informar os titulares dos dados durante ou antes da coleta:

• Identidade do controlador e representante (se aplicável)
• Finalidades de processamento
• Destinatários dos dados pessoais e finalidades de transferência
• Método de recolha de dados e base legal
• Direitos do titular dos dados nos termos do artigo 11.º

Idioma: deve ser em turco para operações que atendem indivíduos turcos.

Representante do Controlador de Dados

Embora a KVKK não exija explicitamente um representante turco para os controladores estrangeiros, da mesma forma que o artigo 27 do GDPR, a prática de aplicação do Conselho indicou que os controladores estrangeiros devem designar um ponto de contato na Turquia. Espera-se que um regulamento do Conselho de 2024 sobre transferências transfronteiriças formalize este requisito.

Minimização de dados e limitação de finalidade

O artigo 4.º estabelece os princípios fundamentais do tratamento de dados:

• Cumprimento da lei e boa fé
• Precisão e atualização
• Processamento para fins específicos, claros e legítimos
• Relevância, restrição e proporcionalidade à finalidade
• Retenção pelo período estipulado por lei ou exigido pela finalidade

Medidas de Segurança (Artigo 12)

Os responsáveis ​​pelo tratamento dos dados devem tomar todas as medidas técnicas e administrativas necessárias para evitar:

• Tratamento ilícito de dados pessoais
• Acesso ilegal a dados pessoais
• Perda, destruição ou alteração de dados pessoais

O Conselho emitiu diretrizes técnicas específicas. Os principais requisitos incluem:

• Criptografia de dados pessoais sensíveis no armazenamento e transmissão
• Controle de acesso e gerenciamento de autenticação
• Registro de auditoria
• Teste de penetração (pelo menos anualmente)
• Treinamento para pessoal

---

Transferência de dados transfronteiriça

Os artigos 9.º e 9.º/A regem as transferências internacionais de dados. Principais restrições:

Proibição geral: Os dados pessoais não podem ser transferidos para o estrangeiro sem o consentimento explícito do titular dos dados, a menos que se verifique uma das seguintes condições:

1. Proteção adequada: O país de destino foi determinado pelo Conselho para fornecer proteção adequada; e uma das condições de processamento for atendida

2. Compromisso: O destinatário estrangeiro assume um compromisso por escrito de que a proteção adequada será fornecida; e o Conselho aprovou a transferência

3. Cláusulas Contratuais Padrão: As alterações KVKK de 2024 introduzem SCCs modeladas na abordagem do GDPR – as transferências para países não adequados podem usar cláusulas contratuais padrão aprovadas pelo Conselho

4. Regras Corporativas Vinculativas: BCRs aprovadas para transferências intragrupo

5. Transferências excepcionais: Quando o consentimento explícito não puder ser obtido e a transferência for necessária para: processos judiciais, interesses vitais, exercício de direitos, desempenho de funções oficiais

Países com determinação de adequação: O Conselho mantém uma lista; no início de 2026, aprovou um número limitado de países. A UE não tem um acordo de adequação recíproca com a Turquia (apesar do alinhamento da KVKK com o GDPR), o que significa que as transferências UE→Turquia e Turquia→UE exigem SCCs ou consentimento explícito.

Realidade prática para serviços em nuvem: muitas empresas que operam na Turquia usam serviços em nuvem hospedados fora da Turquia. De acordo com os requisitos atuais da KVKK, eles devem obter consentimento explícito para os dados de cada indivíduo transferidos para o exterior ou implementar SCCs/BCRs para o acordo de transferência.

---

Notificação de violação

O KVKK não especifica um cronograma explícito de notificação de violação na lei original. No entanto, as decisões do Conselho e as orientações de implementação estabelecem:

• Notificação ao Conselho: sem demora injustificada e no máximo dentro de 72 horas após tomar conhecimento de uma violação de dados pessoais
• Notificação aos titulares dos dados: se a violação for suscetível de afetar os direitos dos titulares dos dados — sem demora injustificada
• Use o formulário de notificação do Conselho disponível no portal kvkk.gov.tr

Conteúdo da notificação:

• Natureza da violação e categorias/número aproximado de indivíduos afetados
• Categorias e número aproximado de registros afetados
• Dados de contato da pessoa de contato para proteção de dados
• Prováveis consequências da violação
• Medidas tomadas ou propostas

---

Execução e penalidades do conselho

O Conselho de Proteção de Dados Pessoais (Kişisel Verileri Koruma Kurulu) tem sete membros nomeados pelo Presidente da Turquia. Tem autoridade para:

• Investigar reclamações
• Conduzir investigações ex officio
• Emitir decisões vinculativas
• Impor multas administrativas
• Emitir ordens de conformidade

Multas administrativas (atualizadas anualmente):

Penalidades criminais: De acordo com o artigo 135–140 do Código Penal turco, o registo ilegal, o fornecimento a terceiros, a destruição ou a utilização de dados pessoais podem resultar em pena de prisão de 1 a 4 anos. O uso indevido de dados confidenciais aumenta as penalidades.

Ações de execução notáveis: O Conselho emitiu decisões significativas, incluindo multas contra: WhatsApp (₺1,95 milhão por transferência internacional ilegal por meio de alterações na política de privacidade), Trendyol (múltiplas ações por deficiências de segurança de dados), Meta/Facebook (₺3 milhões por compartilhamento de dados do WhatsApp) e vários bancos e operadoras de telecomunicações turcas.

---

Lista de verificação de conformidade KVKK

• Aplicabilidade KVKK determinada (operações na Turquia ou dados de indivíduos turcos processados)
• [] Registro VERBİS concluído ou isenção confirmada
• [] Inventário de dados pessoais concluído, incluindo identificação de dados confidenciais
• [] Condições de processamento documentadas para cada atividade
• Condições de tratamento de dados sensíveis documentadas (consentimento explícito ou isenção específica)
• [] Aviso de privacidade preparado em turco com todos os elementos obrigatórios
• [] Procedimentos de direitos do titular dos dados documentados (resposta em 30 dias)
• Avaliação de transferência transfronteiriça concluída — mecanismo em vigor (SCCs, consentimento ou adequação)
• [] Medidas de segurança implementadas: criptografia, controle de acesso, registro de auditoria
• [] Teste de penetração realizado e resultados documentados
• [] Procedimento de notificação de violação documentado (notificação da Diretoria em 72 horas)
• [] Cronogramas de retenção documentados e exclusão automatizada configurada
• [] Treinamento de pessoal sobre obrigações KVKK concluído
• [] entradas VERBİS mantidas atualizadas e atualizadas

---

Perguntas frequentes

O que é VERBİS e o registro é obrigatório para meu negócio?

VERBİS (Veri Sorumluları Sicili) é o Registro de Controladores de Dados da Turquia — um registro público de organizações que processam dados pessoais. O registro é obrigatório para controladores de dados que não se qualificam para uma isenção determinada pelo Conselho. As categorias isentas incluem pequenas organizações (menos de 50 funcionários E menos de 25 milhões de TL de faturamento anual) que não processam dados confidenciais. Todas as outras organizações que processam dados pessoais para fins comerciais devem registar-se antes de iniciar o processamento. O não registro está sujeito a multas administrativas de até ₺ 1,96 milhão.

Como o KVKK se compara ao GDPR?

KVKK e GDPR são semelhantes em estrutura e princípios – ambos estabelecem bases legais, direitos do titular dos dados, estruturas de controlador/processador e obrigações de segurança de dados. Principais diferenças: (1) KVKK tem menos condições de processamento (7 vs 6 do GDPR, mas as condições de KVKK diferem em substância); (2) As transferências transfronteiriças KVKK são mais restritivas — a Turquia não é um país adequado à UE, pelo que as transferências UE→Turquia e Turquia→UE requerem SCCs ou consentimento; (3) O registro VERBİS não tem equivalente direto ao GDPR; (4) As penalidades criminais da KVKK são mais extensas; (5) A abordagem de aplicação da KVKK tem sido mais restritiva nos fluxos internacionais de dados.

Minha empresa precisa de um representante local na Turquia?

KVKK não possui um requisito explícito análogo ao Artigo 27 do GDPR para um representante turco. No entanto, o Conselho tomou medidas coercivas contra empresas estrangeiras, e a conformidade prática – incluindo o registo da VERBİS e a resposta às investigações do Conselho – exige comunicação em língua turca e a capacidade de responder dentro dos processos legais turcos. Muitas empresas estrangeiras nomeiam um escritório de advocacia ou parceiro de compliance turco como seu representante de facto. Espera-se que as alterações KVKK de 2024 esclareçam os requisitos representativos para controladores estrangeiros.

Quais são as opções de transferência internacional para empresas turcas que usam AWS ou Azure?

AWS e Azure têm data centers na Turquia (AWS e Azure têm regiões de Istambul). A utilização dos serviços da região da Turquia evita problemas de transferência transfronteiriça. Se você usar regiões de nuvem não turcas, precisará de um mecanismo de transferência transfronteiriça. Atualmente, as principais opções são: (1) consentimento individual explícito (operacionalmente desafiador para o uso da nuvem em larga escala); (2) compromisso – o destinatário estrangeiro apresenta um compromisso por escrito para proteger os dados, aprovado pelo Conselho (o processo de aprovação do Conselho é longo); (3) SCCs aprovadas pelo Conselho introduzidas nas alterações de 2024. Muitas empresas estão aguardando orientação do Conselho sobre os modelos de SCC antes de migrarem de abordagens baseadas em consentimento.

Que tipos de violações atraem as multas KVKK mais altas?

As multas administrativas mais elevadas (até ₺19,6 milhões) são para violações de transferências transfronteiriças. As violações das obrigações de segurança de dados atraem multas de até ₺9,8 milhões. O não cumprimento das decisões do Conselho também gera multas elevadas (até ₺9,8 milhões). Na prática, o Conselho emitiu as maiores multas para: transferências transfronteiriças ilegais (especialmente para plataformas de redes sociais), violações da segurança de dados resultantes de medidas técnicas inadequadas e incumprimento sistemático das obrigações de notificação. As sanções penais (prisão ao abrigo do Código Penal turco) são reservadas para o registo ou fornecimento ilícito deliberado de dados pessoais.

---

Próximas etapas

O KVKK da Turquia é um quadro de conformidade exigente com aplicação ativa, normas técnicas específicas e regras complexas de transferência transfronteiriça. À medida que a legislação turca continua a evoluir através de decisões do Conselho e de alterações regulamentares, a manutenção da conformidade requer monitorização contínua.

A ECOSIRE auxilia empresas que operam na Turquia com avaliações de conformidade KVKK, suporte de registro VERBİS, implementação técnica de controles de proteção de dados e seleção de mecanismos de transferência transfronteiriça.

Começar: Serviços ECOSIRE

Isenção de responsabilidade: este guia é apenas para fins informativos e não constitui aconselhamento jurídico. A lei turca de proteção de dados está sujeita a alterações contínuas através de decisões do Conselho e de alterações legislativas. Consulte um consultor jurídico turco qualificado para obter aconselhamento específico para a sua organização.