A Estrutura da KVKK após as Emendas de 2024

A KVKK é o principal estatuto de proteção de dados na Turquia, e seu texto emendado é agora o ponto de referência. Editores que trabalhavam com a versão anterior a 2024 estão operando com um enquadramento desatualizado.

O que as Emendas de 2024 Mudaram

A principal mudança foi uma reescrita do Artigo 9, que governa as transferências internacionais de dados. O regime anterior a 2024 era notoriamente difícil de cumprir — exigia ou consentimento explícito ou uma autorização do Conselho caso a caso para quase todo fluxo transfronteiriço, o que era inviável para qualquer stack moderna de adtech. O Artigo 9 emendado introduz três níveis de mecanismos de transferência: uma decisão de adequação do Conselho, um conjunto de salvaguardas adequadas incluindo cláusulas contratuais padrão, e em casos restritos, um conjunto de derrogações. Isso finalmente alinha a lei de transferência turca com o padrão do GDPR e torna a publicidade programática internacionalmente compatível sem um processo por fornecedor junto ao Conselho.

O que não Mudou

As definições centrais, bases legais, direitos dos titulares de dados e o padrão de consentimento explícito para dados sensíveis permanecem como estavam. O patamar de consentimento explícito turco é, se algo, mais rígido na prática do que o padrão do GDPR, e é aqui que a maioria das lacunas de conformidade dos editores ainda se encontra.

O Registro VERBIS

Controladores de dados acima de determinados limites — incluindo a maioria dos controladores estrangeiros que processam dados pessoais turcos em escala — devem se registrar no Registro de Controladores de Dados (VERBIS). O registro exige a divulgação de atividades de processamento, bases legais e mecanismos de transferência. Muitos editores estrangeiros historicamente ignoraram o registro VERBIS; o Conselho sinalizou uma postura mais ativa sobre isso ao longo de 2025 e 2026.

O que Conta como Dados Pessoais sob a KVKK

A definição de dados pessoais da KVKK é ampla e se aproxima muito do GDPR. Dados pessoais são quaisquer informações relacionadas a uma pessoa natural identificada ou identificável, e a orientação do Conselho tem tratado consistentemente cookies, identificadores de publicidade, endereços IP e impressões digitais de dispositivos como dados pessoais quando podem ser vinculados a um usuário diretamente ou por meios razoáveis.

Dados Pessoais Sensíveis

A lista de categorias sensíveis da KVKK é mais ampla do que a do GDPR: inclui explicitamente raça, origem étnica, opinião política, crença filosófica, religião, seita, aparência, filiação a associação ou fundação, saúde, vida sexual, condenação criminal, medidas de segurança e dados biométricos e genéticos. O processamento de qualquer um deles exige consentimento explícito — não do tipo ambíguo ou agrupado, mas um consentimento específico, informado, livremente concedido, vinculado ao processamento sensível específico.

Por que isso Importa para os Cookies

Um cookie que armazena apenas um ID de sessão constitui dados pessoais básicos. Um cookie que alimenta um segmento de audiência como Eleitores Liberais ou Comunidade Religiosa Devota constitui dados pessoais sensíveis sob a definição turca — e a configuração de consentimento necessária é consentimento explícito ou nada. Editores que segmentam audiências que tocam na lista sensível da KVKK não deveriam executar esses segmentos sob consentimento geral de publicidade.

Consentimento de Cookies sob a KVKK em 2026

A posição do Conselho sobre cookies enrijeceu nos últimos dois anos. A orientação atual é inequívoca: cookies e tecnologias de rastreamento que processam dados pessoais exigem consentimento, a menos que sejam estritamente necessários para um serviço que o usuário solicitou.

Os Quatro Elementos do Consentimento Explícito Válido

O consentimento explícito turco deve ser:

• Relacionado a um assunto específico — o consentimento genérico em guarda-chuva cobrindo processamento futuro não especificado não é válido
• Informado — o usuário entende quais dados são processados, para qual finalidade, por quem e por quanto tempo
• Dado livremente — o usuário pode recusar sem ser privado de um serviço ao qual de outra forma teria direito
• Expresso por um ato afirmativo claro — caixas pré-marcadas, consentimento implícito e rolagem como consentimento são todos inválidos

Como um CMP em Conformidade se Parece

Um CMP configurado para tráfego turco em 2026 deve apresentar:

• Um banner visível antes de qualquer cookie não essencial ser acionado, com padrão em turco (Türkçe) para usuários turcos
• Igual destaque visual para Aceitar, Rejeitar e Personalizar — o Conselho apontou especificamente designs de banner onde Rejeitar é menos visível que Aceitar
• Alternâncias granulares por finalidade: análise, publicidade, personalização, transferência transfronteiriça e qualquer processamento de categoria sensível
• Um mecanismo persistente e facilmente acessível para retirar o consentimento após a escolha inicial
• Um Aydınlatma Metni (Aviso de Privacidade) em turco divulgando a identidade do controlador, finalidades, destinatários, retenção e direitos
• Um fluxo de consentimento explícito (açık rıza) separado e claramente rotulado para qualquer processamento de categoria sensível, protegido por sua própria ação

Registros de Consentimento

O controlador deve manter registros de consentimento — quem consentiu, quando, para quê, por qual interface. O Conselho KVKK citou registros de consentimento inadequados em várias ações de aplicação, e logs exportáveis com carimbo de data e hora são a expectativa básica.

Transferências Transfronteiriças sob o Artigo 9 de 2024

As emendas de 2024 introduziram um framework de transferência em três níveis que espelha a abordagem do GDPR. Entender qual nível se aplica a qual fluxo é a lacuna de conformidade mais comum para editores estrangeiros em 2026.

Nível 1 — Decisão de Adequação

O Conselho pode designar um país, organização internacional ou setor de um país como oferecendo proteção adequada. Transferências para destinos adequados são permitidas sem mecanismo adicional. No início de 2026, o Conselho vinha emitindo gradualmente decisões de adequação, mas ainda não havia designado os Estados Unidos de forma ampla.

Nível 2 — Salvaguardas Adequadas

Na ausência de adequação, as transferências são permitidas com base em salvaguardas adequadas. As emendas contemplam especificamente cláusulas contratuais padrão aprovadas pelo Conselho, regras corporativas vinculantes para transferências intragrupo e códigos de conduta ou mecanismos de certificação aprovados pelo Conselho. As cláusulas contratuais padrão do Conselho foram publicadas em 2024 e são o principal mecanismo de trabalho para a maioria dos editores.

Nível 3 — Derrogações

Exceções restritas existem para transferências ocasionais, transferências necessárias para cumprimento de contrato ou transferências para as quais o usuário deu consentimento explícito. Não são utilizáveis como base legal primária para fluxos programáticos contínuos.

Implicação Prática para Editores

Uma stack programática típica envia dados derivados de cookies para dezenas de fornecedores externos por lance. Cada um desses fluxos é uma transferência transfronteiriça. A abordagem viável para 2026 é executar cláusulas contratuais padrão aprovadas pelo Conselho com cada processador internacional e documentar o mecanismo de transferência no Aydınlatma Metni e no registro VERBIS. Editores que mantinham a lógica de consentimento-explícito-por-transferência anterior a 2024 estão simultaneamente superexpostos ao risco de conformidade e subutilizados na oportunidade de monetização.

Direitos dos Titulares de Dados

Os titulares de dados turcos têm o conjunto completo de direitos encontrados no GDPR, aplicados pelo framework da KVKK:

• Direito de saber se seus dados estão sendo processados
• Direito de acesso aos dados processados
• Direito de correção de dados imprecisos
• Direito ao apagamento ou anonimização quando o processamento não é mais justificado
• Direito de ser informado sobre terceiros aos quais os dados foram divulgados
• Direito de se opor a decisões automatizadas que produzam efeitos adversos
• Direito à indenização por danos causados por processamento ilícito

Prazos de Resposta

Os controladores devem responder a solicitações de titulares de dados em 30 dias. O titular dos dados pode escalar para o Conselho KVKK se a resposta do controlador for inadequada, e o Conselho tem uma janela de 60 dias para decidir. A prontidão operacional para a janela de 30 dias — com manuais, ferramentas e modelos de resposta em turco — é uma lacuna comum para editores estrangeiros.

Penalidades e Postura de Aplicação em 2026

O Conselho KVKK foi relativamente silencioso durante seus primeiros anos, mas intensificou significativamente a aplicação. O total de multas de 2025 foi o mais alto desde que a lei entrou em vigor, e 2026 está em uma trajetória semelhante.

Multas Administrativas

As multas administrativas são anualmente indexadas à inflação. Em 2026, o teto para as violações mais graves ultrapassa TRY 40 milhões por violação, e limites separados se aplicam a falhas em segurança de dados, notificação, registro VERBIS e decisões do Conselho. Controladores estrangeiros foram multados no topo da faixa em várias ações de 2025.

Exposição Reputacional

O Conselho publica resumos de decisões de aplicação em seu site. As multas de editores estrangeiros regularmente chegam à imprensa tecnológica turca, e o custo reputacional de uma decisão pública da KVKK é tipicamente maior do que a própria multa.

Temas de Aplicação

As ações do Conselho de 2025 e início de 2026 se concentram em torno de um pequeno conjunto de problemas recorrentes: consentimento de cookies ausente ou ambíguo, Aydınlatma Metni inadequado, controladores estrangeiros não registrados no VERBIS e transferências transfronteiriças ilícitas usando o framework anterior a 2024.

Lista de Verificação de Auditoria para Tráfego Turco em 2026

• O banner do CMP é exibido em turco para usuários turcos, com Aceitar, Rejeitar e Personalizar com igual destaque visual
• As finalidades de consentimento são granulares e separam qualquer processamento de categoria sensível por trás de seu próprio fluxo de consentimento explícito
• Os logs de consentimento têm carimbo de data e hora, são exportáveis e mantidos por pelo menos a duração do processamento mais uma margem auditável
• O Aydınlatma Metni está disponível em turco com divulgação completa do controlador, processadores, finalidades, retenção e direitos
• O registro VERBIS está completo e atualizado se o controlador cruzar o limite
• As transferências transfronteiriças se baseiam nas cláusulas contratuais padrão de 2024 ou outro mecanismo válido do Artigo 9, com o mecanismo documentado no Aydınlatma Metni
• O fluxo de trabalho de solicitação de titular de dados pode responder em 30 dias de ponta a ponta, em turco
• A lista de fornecedores foi revisada, com fornecedores não utilizados ou redundantes removidos para reduzir a exposição

A Perspectiva para 2026

O regime de proteção de dados da Turquia alcançou o framework europeu em forma e está rapidamente alcançando-o em aplicação. As emendas de 2024 removeram o maior bloqueador estrutural para a tecnologia publicitária internacional moderna — o antigo regime de transferência — e o Conselho usou os dois anos desde então para focar na aplicação do restante da lei. Editores com uma stack de consentimento de nível GDPR precisam fazer ajustes relativamente pequenos para estar prontos para a Turquia: CMP e aviso em turco, registro VERBIS se aplicável, cláusulas de transferência padrão de 2024, e cuidado com a lista mais ampla de dados sensíveis. Editores que trataram a Turquia como um mercado mais leve descobrirão que 2026 é mais caro que 2025, e 2027 mais caro que 2026. A lacuna pode ser fechada em semanas se for priorizada — e deve ser.