Direito das Tecnologias, Privacidade de Dados (KVKK) e Regulação de Criptomoedas. A Sociedade de Advogados Serka presta aconselhamento a empresas tecnológicas internacionais, fornecedores de SaaS, fintechs, programadores de IA e plataformas de criptomoedas em matéria de proteção de dados, comércio eletrónico, Internet e direito dos mercados de capitais na Turquia. Construímos as estruturas de conformidade que permitem a uma plataforma estrangeira prestar serviços a utilizadores turcos de forma lícita e defendemos essa plataforma quando um regulador atua contra ela.
advogado Serkan Kara, Ordem dos Advogados de Istambul n.º 53770
Última atualização: junho de 2026
O que é o direito das tecnologias e da privacidade de dados para as empresas que operam na Turquia?
O direito das tecnologias e da privacidade de dados na Turquia regula a forma como uma empresa recolhe, armazena, transfere e rentabiliza dados pessoais e serviços digitais. O diploma central é a Lei de Proteção de Dados Pessoais n.º 6698 (KVKK), que reflete o RGPD da UE mas impõe condições mais rigorosas à transferência de dados para fora da Turquia. Uma empresa tecnológica que presta serviços a utilizadores turcos está vinculada a estas regras independentemente do local onde se encontrem os seus servidores. A par da KVKK, a Lei sobre a Regulação do Comércio Eletrónico n.º 6563, a Lei da Internet n.º 5651 e a Lei dos Mercados de Capitais n.º 6362 (para os criptoativos) formam, em conjunto, o perímetro regulatório que qualquer plataforma estrangeira tem de respeitar.
O que deve um projeto tecnológico ou de dados analisar em primeiro lugar?
Um projeto tecnológico deve começar por um mapa de fluxos de dados: quem são os titulares dos dados, que dados pessoais são tratados, com que finalidade, onde são armazenados e que terceiros ou fornecedores lhes acedem. A partir desse mapa, o advogado pode identificar as obrigações legais associadas a cada fluxo, incluindo o consentimento ou outro fundamento de licitude, os controlos de transferência transfronteiriça, os deveres de segurança, as cláusulas contratuais perante o consumidor e qualquer licenciamento setorial. Resolver estas questões durante a conceção do produto, e não após uma averiguação do regulador, é o que evita que uma única decisão comercial se transforme mais tarde num incumprimento em matéria de conformidade.
O que é a KVKK e em que difere do RGPD?
A KVKK (Lei de Proteção de Dados Pessoais n.º 6698) é o diploma geral de proteção de dados da Turquia, estruturalmente próximo do RGPD nos seus princípios, nos direitos dos titulares dos dados e nos deveres de responsabilização. A diferença decisiva reside na transferência transfronteiriça de dados. Ao passo que o RGPD permite transferências ao abrigo de decisões de adequação e de garantias normalizadas, a KVKK exigia, historicamente, ou o consentimento explícito do titular dos dados ou que o país de destino constasse da lista de países com proteção adequada elaborada pelo Conselho de Proteção de Dados Pessoais. Como essa lista de adequação se tem mantido limitada na prática, a maioria das empresas internacionais recorre a compromissos escritos aprovados pelo Conselho ou a garantias contratuais normalizadas, em vez de tratar um destino como automaticamente seguro.
Registo VERBIS para os responsáveis pelo tratamento
As empresas que atinjam determinados limiares, ou cuja atividade principal seja o tratamento de dados pessoais sensíveis, têm de se registar no VERBIS, o Registo público dos Responsáveis pelo Tratamento mantido pela Autoridade de Proteção de Dados Pessoais. O registo documenta o inventário de dados do responsável pelo tratamento, as finalidades do tratamento, os prazos de conservação e as medidas de segurança. Um responsável pelo tratamento estrangeiro sem estabelecimento na Turquia tem de nomear um Representante do Responsável pelo Tratamento na Turquia, função que o nosso escritório desempenha para clientes internacionais. A falta de registo, ou o registo de informação inexata, expõe o responsável pelo tratamento a coimas administrativas.
Transferência transfronteiriça de dados
Ao abrigo da KVKK, os dados pessoais de utilizadores na Turquia não podem ser transferidos para servidores no estrangeiro por mera conveniência. O consentimento explícito é uma via, mas é frágil, pois o utilizador pode retirá-lo a qualquer momento. A via mais sólida é um compromisso escrito ou um mecanismo contratual normalizado aprovado pelo Conselho de Proteção de Dados Pessoais, sustentado por uma genuína equivalência de segurança técnica e organizativa. Preparamos e submetemos estes instrumentos para que uma empresa global possa manter os dados na sua infraestrutura de nuvem existente, permanecendo em conformidade com o direito turco.
Como regula a Turquia as criptomoedas e as plataformas de criptoativos?
Os prestadores de serviços de criptomoedas e de criptoativos na Turquia são regulados pela Lei dos Mercados de Capitais n.º 6362, conforme alterada para incluir os criptoativos na supervisão do Conselho dos Mercados de Capitais (SPK). Os prestadores de serviços de criptoativos, incluindo as bolsas e as plataformas de custódia, têm de obter uma autorização de funcionamento junto da SPK e de cumprir obrigações em matéria de capital, governação, custódia e prevenção do branqueamento de capitais. Operar uma bolsa dirigida a utilizadores na Turquia sem essa autorização é tratado como uma atividade não autorizada nos mercados de capitais e pode dar origem a responsabilidade criminal dos quadros responsáveis e ao bloqueio do acesso à plataforma.
Licenciamento de uma bolsa de criptomoedas
Uma bolsa estrangeira que angarie utilizadores turcos, faça publicidade em turco ou ofereça pares de negociação em liras turcas necessita, em regra, de constituir uma sociedade anónima turca e de obter a autorização da SPK. O licenciamento envolve o cumprimento de requisitos de capital mínimo, a implementação de controlos de prevenção do branqueamento de capitais e de identificação de clientes alinhados com o MASAK (o Conselho de Investigação de Crimes Financeiros) e a adoção de mecanismos de custódia conformes. Tratamos do pedido de autorização de ponta a ponta e estruturamos o veículo societário que detém a licença.
Emissão de tokens e estruturação Web3
A emissão de tokens comporta risco em matéria de valores mobiliários. Um token que se comporte como um instrumento de partilha de lucros ou de dividendos pode ser tratado como um valor mobiliário, o que desencadeia obrigações de prospeto e de divulgação. Emitimos pareceres jurídicos que distinguem os tokens de utilidade dos tokens de valores mobiliários, estruturamos a entidade emitente e aplicamos restrições geográficas às ofertas a retalho, de modo que os fundadores não fiquem expostos a acusações de oferta pública não autorizada na Turquia.
Que regras de comércio eletrónico se aplicam às plataformas estrangeiras em linha?
As plataformas estrangeiras em linha que vendem a consumidores na Turquia têm de cumprir a Lei sobre a Regulação do Comércio Eletrónico n.º 6563 e o regulamento dos Contratos de Venda à Distância. Duas obrigações são as mais importantes. Primeiro, qualquer venda de empresa a consumidor tem de conferir ao consumidor um direito de retratação de catorze dias sem penalização, acompanhado de um formulário de informação preliminar detalhado antes da compra. Segundo, as mensagens eletrónicas comerciais, como SMS de marketing, e-mail ou chamadas automatizadas, exigem aprovação prévia registada no Sistema Central de Gestão de Mensagens (IYS); a recusa de receção por parte de um consumidor tem de ser respeitada automaticamente. O envio de marketing não solicitado sem aprovação no IYS, ou a recusa de um reembolso lícito, dá origem a coimas administrativas e a reclamações de consumidores que podem perturbar o processamento de pagamentos local.
Podem as autoridades turcas bloquear ou limitar uma plataforma estrangeira?
Sim. Ao abrigo da Lei da Internet n.º 5651, um fornecedor estrangeiro de redes sociais com uma vasta base diária de utilizadores turcos tem de nomear um representante local para receber e responder a notificações legais. Quando um tribunal ordena a remoção de conteúdos com fundamento em direitos de personalidade ou noutros fundamentos legais, o fornecedor tem de atuar dentro do prazo legal. A recusa pode levar a Autoridade das Tecnologias de Informação e Comunicação (BTK) a impor proibições de publicidade, coimas e uma limitação progressiva da largura de banda que degrada o serviço. Atuamos como representante nomeado, avaliamos a validade de cada ordem, apresentamos oposições quando uma ordem é defeituosa e executamos um cumprimento estreitamente direcionado, para que um único litígio não comprometa a disponibilidade global da plataforma.
Quais são os principais riscos jurídicos para as empresas tecnológicas e quais as exceções?
Os riscos recorrentes são a transferência transfronteiriça de dados ilícita, a falta de registo VERBIS, a operação de um serviço de criptoativos sem autorização da SPK, o marketing não solicitado sem aprovação no IYS e a inobservância das obrigações de remoção de conteúdos ou de representante ao abrigo da Lei da Internet. Cada um acarreta coimas administrativas e vários acarretam exposição criminal ou bloqueio de acesso. As principais exceções e defesas incluem fundamentos de licitude distintos do consentimento ao abrigo da KVKK, a anonimização genuína que retira os dados do âmbito dos dados pessoais, os instrumentos de transferência aprovados pelo Conselho e a estruturação da atividade de criptoativos ou de tokens de modo que não seja dirigida a utilizadores turcos de retalho. A aplicabilidade de uma exceção depende dos factos concretos e deve ser avaliada antes, e não depois, de o regulador atuar.
Preciso de um advogado para questões de tecnologia e privacidade de dados?
Um advogado é necessário sempre que um produto tecnológico atinge utilizadores turcos em escala, trata dados sensíveis ou biométricos, transfere dados para o estrangeiro, oferece serviços de criptoativos ou de tokens, ou recebeu uma notificação de um regulador. Estas matérias combinam proteção de dados, mercados de capitais, direito do consumidor e direito da Internet, e um passo em falso numa área pode bloquear os gateways de pagamento ou inviabilizar todo o serviço. Contratar aconselhamento jurídico durante a conceção do produto é muito menos dispendioso do que defender uma ação de execução após o lançamento.
Perguntas frequentes
A KVKK aplica-se a uma empresa sem escritório na Turquia?
Sim. A KVKK aplica-se com base no tratamento de dados pessoais de indivíduos na Turquia, e não no local onde a empresa está constituída ou onde se encontram os seus servidores. Um responsável pelo tratamento estrangeiro que trate os dados de utilizadores turcos é, em regra, obrigado a registar-se no VERBIS e a nomear um Representante do Responsável pelo Tratamento na Turquia.
Podemos manter os dados dos clientes na AWS ou no Google Cloud fora da Turquia?
Muitas vezes sim, mas não automaticamente. O armazenamento de dados pessoais de utilizadores turcos em infraestrutura de nuvem estrangeira constitui uma transferência transfronteiriça ao abrigo da KVKK. Tem de ser sustentado por um consentimento explícito válido ou, de forma mais sólida, por um compromisso escrito ou mecanismo contratual normalizado aprovado pelo Conselho, a par de medidas de segurança adequadas. Preparamos e submetemos os instrumentos que autorizam a transferência.
É legal operar a partir do estrangeiro uma bolsa de criptomoedas para utilizadores turcos?
Dirigir-se a utilizadores turcos a partir de uma bolsa offshore não licenciada é tratado como uma atividade não autorizada nos mercados de capitais ao abrigo da Lei n.º 6362 e pode dar origem a responsabilidade criminal e ao bloqueio de acesso. Uma plataforma que pretenda ter utilizadores turcos tem normalmente de constituir uma sociedade turca e de obter a autorização da SPK, incluindo controlos de prevenção do branqueamento de capitais conformes com o MASAK.
O que acontece se enviarmos mensagens de marketing sem aprovação no IYS?
Cada mensagem eletrónica comercial não aprovada pode desencadear uma coima administrativa, e as violações repetidas atraem reclamações de reguladores e de consumidores. As SMS de marketing, o e-mail e as chamadas automatizadas para consumidores turcos têm de ser registadas no sistema IYS, e as recusas de receção têm de ser aplicadas automaticamente.
Um tribunal turco ordenou-nos a remoção de conteúdos. Qual é o prazo?
Ao abrigo da Lei da Internet n.º 5651, os fornecedores têm de dar cumprimento a uma ordem válida de remoção de conteúdos dentro do prazo legal aplicável ao tipo de ordem. O incumprimento do prazo pode levar a BTK a impor proibições de publicidade, coimas e limitação da largura de banda. Avaliamos a validade da ordem, cumprimos quando exigido e impugnamos as ordens defeituosas.
Com que rapidez devemos envolver aconselhamento jurídico após uma averiguação do regulador?
De imediato. Um aconselhamento jurídico atempado pode suspender um fluxo de dados não conforme, preservar defesas como a anonimização ou um fundamento de licitude alternativo e abrir um diálogo estruturado com o regulador antes de as coimas e as ordens de destruição serem definitivas. O atraso reduz as defesas disponíveis.
Serviços jurídicos relacionados
As questões tecnológicas ligam-se frequentemente a outras áreas de prática. Coordenamos o trabalho de tecnologia e dados com a constituição de sociedades na Turquia para o veículo societário que detém uma licença da SPK, com o direito societário e comercial para os contratos de SaaS e de plataforma, com a estruturação de investimento direto estrangeiro para o capital tecnológico entrante, com o direito fiscal e a regulamentação aduaneira para a tributação de serviços digitais, e com a defesa criminal e competência jurisdicional sempre que surja responsabilidade em matéria de mercados de capitais ou de cibercrime.
Solicite uma avaliação confidencial do caso
Se a sua plataforma trata dados de utilizadores turcos, oferece serviços de criptoativos ou de tokens a utilizadores turcos, ou recebeu uma notificação de um regulador, solicite uma avaliação confidencial do caso. Descreva o produto, os fluxos de dados e qualquer ordem pendente, e identificaremos as obrigações aplicáveis e a estrutura que o mantém em conformidade e em funcionamento.
Aviso legal
Esta página fornece informação geral sobre o direito das tecnologias, da proteção de dados e dos mercados de capitais na Turquia e não constitui aconselhamento jurídico. A sua leitura não cria uma relação advogado-cliente. Uma relação advogado-cliente forma-se apenas mediante um contrato de prestação de serviços assinado. Para aconselhamento sobre uma situação específica, consulte um advogado qualificado.