2026'da LGPD'nin Yapısı

LGPD, Brezilya'da birincil veri koruma yasasıdır ve temel metni yürürlüğe girdiğinden bu yana kayda değer biçimde stabil kaldı. Değişen şey, etrafındaki düzenleyici altyapıdır.

Olgun Bir Düzenleyici Olarak ANPD

ANPD 2021'de tam operasyonel hale geldi ve ilk üç yılını prosedürel kapasite oluşturmaya, rehberlik yayınlamaya ve istişareler yürütmeye ayırdı. 2024'e gelindiğinde aktif uygulamaya geçmişti ve 2025'e kadar yabancı platformlara karşı olanlar dahil ilk önemli idari para cezalarından bazılarını verdi. Kurumun 2026'daki tutumu, önceki yumuşak dönemine kıyasla Avrupa muhataplarına daha yakın.

2026 Sınır Ötesi Transfer Düzenlemesi

Yabancı yayıncılar için en önemli düzenleyici gelişme, ANPD'nin 2025 sonunda tamamlanan ve 2026'da yürürlüğe giren uluslararası transfer düzenlemesiydi. Düzenleme, ANPD tarafından onaylanan bir yeterlilik çerçevesi, model sözleşme hükümleri, bağlayıcı şirket kuralları ve sertifikalar getiriyor; bunların tümü GDPR'ın Bölüm V mekanizmalarına benzer biçimde işliyor. Bu düzenlemeden önce sınır ötesi transferler, yayıncıların ve reklam teknolojisi satıcılarının genellikle ikili ticari düzenlemelerle yöneldiği çok daha muğlak bir kural seti altında yürütülüyordu. 2026 rejimi, önceki rejime kıyasla anlamlı ölçüde daha uygulanabilir olmakla birlikte belgeleme açısından anlamlı ölçüde daha talepkâr.

Kim Düzenleme Kapsamında

LGPD, ülke sınırları dışına uzanan bir biçimde uygulanır. Toplama anında Brezilya'da bulunan bireylerin kişisel verilerini işleyen veya işlemenin nerede gerçekleştiğinden bağımsız olarak Brezilya'dan toplanan verileri işleyen herhangi bir veri sorumlusu kapsam dahilindedir. Yerelleştirilmiş siteler veya Brezilya IP'lerine karşı satın alınan programatik envanter aracılığıyla Brezilya kullanıcılarına hizmet eden yabancı yayıncılar açıkça kapsam dahindedir ve ANPD, 2025'teki birkaç davada ülke dışı uygulamaya ilişkin hükmü işletti.

LGPD Kapsamında Kişisel Veri Sayılan Nedir

LGPD'nin kişisel veri tanımı geniş ve GDPR'ı yakından takip ediyor. Kişisel veri, tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin bilgilerdir ve ANPD, çerezleri, reklam tanımlayıcılarını, IP adreslerini, cihaz parmak izlerini ve davranış profillerini, doğrudan ya da makul yollarla bir bireye bağlanabildiğinde tutarlı biçimde kişisel veri olarak değerlendirdi.

Hassas Kişisel Veriler

LGPD, geniş bir hassas kategori listesi belirliyor: ırk veya etnik köken, dini inanç, siyasi görüş, sendika veya siyasi örgüt üyeliği, felsefi veya dini inançlar, sağlık, cinsel yaşam, genetik veri ve benzersiz tanımlama amacıyla kullanılan biyometrik veri. Hassas kişisel verilerin işlenmesi, daha katı onay gereksinimlerini ve ek veri sorumlusu yükümlülüklerini tetikler.

Bu Çerezler Açısından Neden Önemli

Rutin bir oturum tanımlayıcısı depolayan çerez, olağan kişisel veridir. LGPD'nin hassas listesine dokunan bir kitle segmentini besleyen çerez — sağlık ilgileri, dini bağlılıklar, siyasi eğilimler — hassas kişisel verilerin işlenmesidir ve genel reklam onayı değil, yükseltilmiş onay akışını gerektirir. Hassas listeyle örtüşen kitle segmentleri yürüten yayıncılar, onay akışlarını özellikle bu sınıra karşı denetlemelidir.

2026'da LGPD Kapsamında Çerez Onayı

LGPD, işleme için birden fazla hukuki dayanağa izin verir; ancak hizmet sunumu için kesinlikle gerekli olmayan çerezler ve benzeri teknolojiler için ANPD'nin rehberliği ve uygulaması, pratik taban çizgisi olarak onayda birleşti.

Geçerli Onayın Beş Unsuru

LGPD kapsamında onay şunlar olmalıdır:

• Özgür — baskı olmaksızın verilen ve kullanıcının zaten hak ettiği bir hizmetin sunumuyla paketlenmeyen
• Bilgili — veri öznesinin hangi verilerin, kim tarafından, hangi amaçla ve ne gibi sonuçlarla işlendiğini anladığı
• Açık — net bir olumlu eylem yoluyla ifade edilen, sessizlikten, önceden işaretlenmiş kutulardan veya kaydırma yoluyla onaydan çıkarılan değil
• Belirli — genel bir şemsiye onay yerine açıkça tanımlanmış amaçlara bağlı
• Vurgulanan hassas veri içeren durumlarda, belirli hassas işleme için açık ve ayrı onay

Uyumlu Bir CMP Nasıl Görünür

2026'da Brezilya trafiği için yapılandırılmış bir CMP şunları sunmalıdır:

• Zorunlu olmayan herhangi bir çerez veya izleyici tetiklenmeden önce görünür bir banner; Brezilya kullanıcıları için varsayılan olarak Portuguese (Português) dilinde
• Aceitar (Kabul Et), Recusar (Reddet) ve Personalizar (Özelleştir) için eşit görsel belirginlik — ANPD özellikle Recusar eyleminin daha az görünür olduğu banner tasarımlarını eleştirdi
• Her amaç için ayrıntılı geçiş düğmeleri: analitik, reklam, kişiselleştirme, sınır ötesi transfer ve hassas kategori işleme
• Kendi eylemine bağlı olan hassas kişisel veri işleme için ayrı, açıkça etiketlenmiş bir akış
• İlk seçimden sonra onayı geri çekmek için kalıcı, kolayca bulunan bir mekanizma
• Veri sorumlusu, işleyenler, amaçlar, alıcılar, saklama ve haklar hakkında tam açıklamalar içeren Portugizce dilinde Aviso de Privacidade

Onay Kayıtları

Veri sorumluları, onay kanıtlarını saklamak zorundadır — kimin, ne zaman, hangi amaçla ve hangi arayüz üzerinden onay verdiği. ANPD, çeşitli uygulama eylemlerinde yetersiz onay kayıtlarını gerekçe gösterdi ve dışa aktarılabilir zaman damgalı günlükler temel beklentidir.

2026 Sınır Ötesi Transfer Rejimi

Bu, 2026'nın 2024'ten anlamlı ölçüde farklı göründüğü alandır. ANPD'nin uluslararası transfer düzenlemesi yılın başında yürürlüğe girdi ve pratik sonuçları yabancı yayıncılar tarafından hâlâ özümsenmekte.

Yeni Transfer Mekanizmaları

Düzenleme, meşru sınır ötesi transfer için dört temel yol sunuyor:

• Hedef yargı yetkisi alanlarını veya sektörleri yeterli koruma sağlıyor olarak tanıyan ANPD tarafından verilen yeterlilik kararları
• GDPR SCC'lerine benzer biçimde işleyen, ANPD tarafından onaylanan standart sözleşme maddeleri
• Çok uluslu kuruluşlar içindeki grup içi transferler için bağlayıcı şirket kuralları
• Standart yollara uymayan transferler için, duruma göre özel yetkilendirme

2026'nın Pratik Yaklaşımı

Yabancı yayıncıların büyük çoğunluğu için 2026'daki çalışma yaklaşımı, uluslararası işleyenlerle ANPD onaylı standart sözleşme maddelerini uygulamak, transfer mekanizmasını gizlilik bildiriminde belgelemek ve standart mekanizmanın uymadığı yalnızca durumlarda onaya dayalı yetkilendirmeyle tamamlamaktır. Bu, çoğunlukla hantal CMP'ler üreten transfer başına onay mantığına dayanan 2026 öncesi rejiminden anlamlı ölçüde daha basit.

Bugüne Kadar Yeterlilik Kararları

ANPD, 2026 başına kadar bir avuç yargı yetkisi alanı için yeterlilik kararları verdi ve listeyi kademeli olarak genişletmesi bekleniyor. ABD, 2026 başı itibarıyla yeterlilik listesinde yer almıyor; bu, ABD merkezli reklam teknolojisi ve analitik satıcılarına yapılan transferlerin sözleşme maddeleri veya başka geçerli bir mekanizma gerektirdiği anlamına geliyor.

Veri Öznesinin Hakları

LGPD, Brezilya çerçevesi aracılığıyla uygulanan güçlü bir haklar seti tanır:

• İşlemenin onaylanma hakkı
• İşlenen verilere erişim hakkı
• Eksik, yanlış veya güncel olmayan verilerin düzeltilmesi hakkı
• Gereksiz, aşırı veya hukuka aykırı biçimde işlenen verilerin anonimleştirilmesi, engellenmesi veya silinmesi hakkı
• Verilerin başka bir hizmet sağlayıcıya taşınabilirliği hakkı
• Onay temelinde işlenen verilerin silinmesi hakkı
• Verilerin paylaşıldığı kamu ve özel kuruluşlar hakkında bilgi edinme hakkı
• Onayı reddetme olasılığı ve reddin sonuçları hakkında bilgi edinme hakkı
• Onayı geri çekme hakkı
• Uyumsuzluk durumunda meşru çıkar temellerinden birine dayanılarak yürütülen işlemeye itiraz hakkı
• Yalnızca otomatik işlemeye dayalı kararları inceleme hakkı

Yanıt Süreleri

Veri sorumluları, veri öznesinin taleplerine düzenleme kapsamında 15 gün içinde yanıt vermek zorundadır; haklı gerekçelerde uzatma imkânı vardır. Bu, GDPR'ın 30 günlük penceresinden daha sıkı olup Avrupa takvimine ayarlı yabancı yayıncılar için tekrar eden bir operasyonel boşluk oldu.

2026'da Cezalar ve Uygulama Tutumu

ANPD'nin uygulama faaliyeti, 2024 ve 2025 boyunca anlamlı ölçüde tırmandı ve 2026 da benzer bir seyirde.

İdari Para Cezaları

LGPD, veri sorumlusunun bir önceki mali yılda Brezilya'daki faaliyetinden elde ettiği gelirin yüzde 2'sine kadar idari para cezasına, ihlal başına BRL 50 milyon üst sınıra tabi olarak izin veriyor. ANPD, yabancı platformlara karşı olanlar dahil 2025'teki birkaç davada aralığın ortasını kullandı; kurumun ceza metodolojisi 2024'te yayımlandı ve artık tutarlı biçimde uygulanıyor.

Diğer Yaptırımlar

Para cezalarının ötesinde ANPD, uyarı verebilir, düzeltici tedbirler talep edebilir, işleme faaliyetlerini kısmen veya tamamen askıya alabilir ve belirli işleme operasyonlarını yasaklayabilir. İhlalın yayımlanması rutin eşlik eden bir yaptırımdır ve Brezilya pazarında itibar ağırlığı taşır.

Uygulama Temaları

ANPD'nin 2025 ve 2026 başındaki eylemleri, yinelenen sorunlar etrafında kümeleniyor: belirsiz veya eksik onay bannerları, Portekizce gizlilik bildirimi yokluğu, yeni düzenleme kapsamında geçerli mekanizma olmaksızın sınır ötesi transferler ve 15 günlük pencere içinde veri öznesinin taleplerine yanıt vermede başarısızlık. Yabancı yayıncılar her dört kategoride de gerekçe gösterildi.

DPO Gerekliliği

LGPD, veri sorumlularından bir Veri Koruma Görevlisi (Encarregado de Tratamento de Dados Pessoais) atamasını ve DPO'nun iletişim bilgilerini yayımlamasını istiyor. Brezilya verilerini ölçekli biçimde işleyen yabancı veri sorumluları, belirlenmiş bir DPO'ya ihtiyaç duyuyor ve iletişim bilgileri gizlilik bildiriminde kolayca erişilebilir olmalıdır. ANPD, çeşitli uygulama mektuplarında eksik veya erişilemeyen DPO iletişim bilgilerini gerekçe gösterdi.

2026'da Brezilya Trafiği için Denetim Kontrol Listesi

• CMP bannerı, Aceitar, Recusar ve Personalizar eşit görsel belirginlikle Portekizce olarak sunuluyor
• Onay amaçları ayrıntılı olup hassas kategori işlemesini kendi onay akışının ardına ayırıyor
• Gizlilik bildirimi (Aviso de Privacidade), veri sorumlusu, işleyenler, amaçlar, saklama, haklar ve DPO iletişim bilgilerinin tam açıklamalarıyla Portekizce olarak mevcut
• Sınır ötesi transferler, ANPD onaylı standart sözleşme maddelerine, yeterlilik kararına, BCR'lere veya özel yetkilendirmeye dayanıyor — eski transfer başına onay mantığına değil
• Onay günlükleri zaman damgalı, dışa aktarılabilir ve işleme süresi artı denetlenebilir bir marj boyunca saklanıyor
• Veri öznesinin talep iş akışı, Portekizce olarak uçtan uca 15 gün içinde yanıt verebiliyor
• DPO atandı ve iletişim bilgileri gizlilik bildiriminde yayımlandı
• Satıcı listesi gereklilik açısından incelendi; sınır ötesi transfer yüzeyini azaltmak için kullanılmayan veya yedek satıcılar kaldırıldı
• Hassas kategori kitle segmentleri, ayrıca toplanan açık onayın arkasına alındı

2026 Görünümü

Brezilya'nın gizlilik rejimi, sınırlı uygulamaya sahip iyi hazırlanmış bir yasadan Amerika kıtasının en talepkâr rejimlerinden birine olgunlaştı. 2026 sınır ötesi transfer düzenlemesi en sonuç doğuran yapısal boşluğu kapattı ve ANPD'nin uygulama tutumu yasanın hedeflerine yetişti. Halihazırda GDPR kalitesinde bir onay yığını işleten yayıncılar için LGPD uyumluluğuna giden boşluk, mimari değil operasyonel: Portekizce CMP ve bildirim, ANPD onaylı transfer mekanizmaları, 15 günlük yanıt takvimi, DPO ataması ve daha geniş hassas veri listesine dikkat. Önceliklendirilirse boşluk haftalar içinde kapatılabilir — ve Brezilya, Latin Amerika'nın tek başına en büyük pazarı olduğundan önceliklendirme genellikle hızlı karşılık veriyor. Brezilya'ya 2024 boyunca daha hafif bir pazar gözüyle bakan yayıncılar 2026'nın anlamlı ölçüde daha pahalı olduğunu buluyor ve daha da geciktirenler 2027'nin daha da kötü olduğunu görecek.