Imagem de Arzu Geybullayeva para Global Voices, criada com Canva Pro.
A nova lei de segurança cibernética da Turquia, promulgada em 13 de março de 2025, provocou um debate acalorado sobre seu impacto nos direitos digitais, na liberdade de expressão, na liberdade de imprensa e no acesso à informação desde o momento em que o projeto de lei foi apresentado ao parlamento em 10 de janeiro de 2025. Muitos especialistas turcos, grupos da sociedade civil e observadores internacionais viram a lei como uma ferramenta em potencial para restringir reportagens independentes e reprimir a dissidência. O país já tem uma lista de leis restritivas, incluindo a lei de desinformação adotada em 2022. Dessa forma, a nova lei é vista como mais uma ferramenta nas mãos das autoridades para censurar vozes e conteúdo.
O que consta na lei?
Em sua essência, a lei introduz medidas rigorosas, como a criminalização da denúncia de vazamentos de dados e a concessão de poderes extraordinários ao chefe da Diretoria de Segurança Cibernética, uma instituição recém-criada. Os críticos argumentam que a linguagem vaga e abrangente da lei coloca uma ênfase desproporcional no controle das narrativas on-line em vez de proteger a infraestrutura digital.
O Partido da Justiça e Desenvolvimento (AKP), em exercício, apresentou o projeto de lei com 21 artigos pela primeira vez em 10 de janeiro de 2025. Os autores do projeto de lei — legisladores do AKP — argumentaram que a lei visava melhorar as defesas do país contra ameaças cibernéticas, fortalecer a segurança nacional e proteger tanto as instituições públicas quanto as entidades do setor privado. Os legisladores do AKP acreditam que a atual lei de desinformação, promulgada em 2022, não aborda adequadamente as ameaças à segurança cibernética. Eles afirmam que a nova lei aumentará a eficácia dos esforços para combater os crimes cibernéticos.
Dois dos 21 artigos da lei foram especialmente examinados: os artigos 8º e 16. Na versão original do projeto de lei, o artigo 8º reivindicava amplos poderes e competência ao chefe da Diretoria de Segurança Cibernética, incluindo a capacidade de realizar buscas, apreender materiais e copiar conteúdo digital sem a necessidade de aprovação prévia do tribunal. Em sua versão final, após a reação negativa durante as discussões do projeto de lei, a competência para pesquisar, copiar e apreender dados foi removida do texto da lei e essa competência foi concedida ao promotor.
O artigo 16 da versão original continha dois termos específicos que também geraram divergências sobre o projeto de lei. Os termos “vazamento de dados” e “aqueles que disseminam conteúdo” foram substituídos na versão final por “vazamento de dados relacionados à segurança cibernética” e “aqueles que criam conteúdo”. A pena de prisão de cinco anos por violar esse artigo e suas disposições permaneceu inalterada. Dessa forma, de acordo com o parágrafo 5º do artigo 16,
Those who create false content about data leak related to cybersecurity, even though they know that there is no data leak in cyberspace, or those who spread this content for this purpose, shall be sentenced to two to five years in prison.
Aqueles que criarem conteúdo falso sobre vazamento de dados relacionados à segurança cibernética, mesmo sabendo que não existe, ou aqueles que divulgarem esse conteúdo para esse fim, serão condenados a dois a cinco anos de prisão.
Na sua análise jurídica da lei, a Associação de Estudos de Mídia e Direito (MLSA) destacou várias nuances problemáticas, como a punição de jornalistas que trabalham com segurança de dados com as mesmas penalidades que os autores dos vazamentos. A MLSA concluiu que a lei é uma nova ferramenta de censura nas mãos das autoridades.
O chefe da Diretoria de Segurança Cibernética (que será nomeado pelo presidente Recep Tayyip Erdoğan, conforme a lei recém-adotada) possui competência para solicitar informações e documentos de todas as instituições e organizações e também para auditar os sistemas informáticos dessas organizações. Nesse contexto, explicou o MLSA, o chefe da Diretoria de Segurança Cibernética poderá acessar e armazenar os dados de qualquer instituição e organização. Aqueles que se recusarem a atender às solicitações serão presos por até três anos.
Esses amplos poderes e punições são preocupantes no contexto dos grupos da sociedade civil e do trabalho que realizam, ao oferecerem um caminho fácil para o abuso de poder, com a diretoria exigindo acesso às comunicações da organização, dados confidenciais e monitoramento de suas atividades. A lei pode ter um efeito inibidor sobre a liberdade de expressão — os grupos da sociedade civil podem hesitar em expressar seus pontos de vista diante da ameaça de prisão. A autoridade para acessar e armazenar dados pode comprometer seriamente o direito à privacidade de organizações e indivíduos e, no caso de jornalistas, a privacidade de suas fontes. A lei poderia levar à segmentação de grupos específicos, alguns dos quais criticam frequentemente as autoridades e podem enfrentar uma resposta desproporcional com a nova lei, suprimindo e minando os mecanismos de responsabilidade nos processos democráticos. Isso poderia permitir interpretação e aplicação arbitrárias, tornando os grupos da sociedade civil mais vulneráveis, uma vez que a lei não define claramente os parâmetros de conformidade e os critérios de ação da diretoria.
Há mais penalidades introduzidas como parte da lei, resumidas pelo site de notícias independente Bianet:
8 to 12 years in prison for carrying out cyber attacks targeting elements of Turkey’s national power in the cyberspace;
2 to 4 years in prison and fines for operating without the required licenses and permits;
4 to 8 years in prison for failing to comply with confidentiality obligations;
3 to 5 years in prison for sharing or selling personal or sensitive government data obtained through a cybersecurity breach;
2 to 5 years in prison for falsely claiming that a cybersecurity-related data leak has occurred to cause public panic or defame institutions or individuals.
8 a 12 anos de prisão por realizar ataques cibernéticos visando elementos do poder nacional da Turquia no espaço cibernético;
2 a 4 anos de prisão e multas por operar sem as licenças e autorizações necessárias;
4 a 8 anos de prisão por não cumprir com as obrigações de confidencialidade;
3 a 5 anos de prisão por compartilhar ou vender dados pessoais, ou confidenciais do governo obtidos por meio de uma violação de segurança cibernética;
2 a 5 anos de prisão por alegar falsamente que ocorreu um vazamento de dados relacionado à segurança cibernética para causar pânico público ou difamar instituições, ou indivíduos.
Além da diretoria, será criado um Conselho de Segurança Cibernética, chefiado pelo presidente do país, e que incluirá como membros o chefe da Diretoria de Segurança Cibernética, o vice-presidente, o chefe de inteligência e vários ministros, de acordo com a reportagem do Bianet.
O longo histórico de vazamentos de dados da Turquia
Os cidadãos turcos estão expostos há muito tempo a violações de dados pessoais. Alguns dos casos documentados até agora incluem a violação de 2016, quando os dados pessoais de cerca de 50 milhões de cidadãos turcos (nomes, endereços, nomes dos pais, cidades de nascimento, datas de nascimento e números de identidade nacional) vazaram.
Em 2017, cerca de 60 milhões de assinantes da principal operadora de GSM da Turquia, a Turkcell, tiveram seus dados pessoais violados. Em 2021, um ataque cibernético ao maior aplicativo de entrega de alimentos do país, o Yemeksepeti, resultou em um vazamento dos dados de 19 milhões de clientes, incluindo login, números de telefone, e-mails e informações de endereço.
Em 2023, após uma invasão no principal portal de administração pública do país, o e-Devlet (e-State), os dados pessoais de 85 milhões de cidadãos turcos e milhões de residentes foram vazados.
Em 2024, um ataque cibernético ao sistema de gerenciamento de informações de um hospital local em Istambul vazou os registros médicos de milhões de pacientes. No mesmo ano, as autoridades turcas revelaram que uma violação de dados durante a pandemia levou ao roubo de dados de mais de 100 milhões de cidadãos, incluindo aqueles que vivem no exterior, refugiados e outros indivíduos registrados em instituições oficiais. Em janeiro de 2025, houve uma violação de dados de satélite.
Esses exemplos não são de forma alguma exaustivos. E denunciar essas violações tem sido uma maneira de manter o público informado, mesmo que os cidadãos turcos não esperem privacidade on-line ou uma melhora na proteção de seus dados pessoais.
As implicações da nova lei de segurança cibernética devem ser avaliadas, em face desses exemplos e da pontuação geral do país em termos de liberdades, em especial a de imprensa e de expressão. Em uma entrevista ao Turkey ReCap, Özgür Ceylan, porta-voz da comissão do Partido Republicano do Povo (CHP), principal partido de oposição, disse:
In a situation where critical views and the right to inform the public are already faced with the risk of arbitrary punishment, this regulation will pave the way for them [the ruling government] to go one step further. In this context, posts claiming data leaks or breaches of cybersecurity that closely concern the public could be targeted. Individuals’ ability to express themselves freely may be restricted, and people who report data breach claims may be tried under this crime — foreseeing heavy penalties.
Em uma situação em que as opiniões críticas e o direito de informar o público já enfrentam o risco de punição arbitrária, essa regulamentação abrirá caminho para que eles [o governo no poder] deem um passo adiante. Nesse contexto, as postagens que aleguem vazamentos de dados ou violações de segurança cibernética que preocupem o público podem ser alvos. A capacidade dos indivíduos de se expressarem livremente pode ser restringida, e as pessoas que denunciarem reclamações de violação de dados podem ser julgadas por esse crime — prevendo penalidades pesadas.
No âmbito da lei de desinformação de 2022, já existem pelo menos 66 investigações de jornalistas e mais de 4.500 inquéritos sobre indivíduos acusados de “divulgar informações enganosas”, iniciados desde 2022.
