COMPLIANCE DIGITAL E2

Prévia do material em texto

AULA 2 
COMPLIANCE DIGITAL E 
GOVERNANÇA CORPORATIVA 
Profª Daiane Medino da Silva 
 
 
2 
TEMA 1 – COMPLIANCE DIGITAL – DIREITO DIGITAL 
Com o impulsionamento digital, a globalização e a velocidade de 
informações, o mundo inteiro está passando por uma transformação para a 
chamada era digital. No Brasil não é diferente, e o país vem contando com uma 
série de leis que, de algum modo, têm fundo digital. 
Dentre as leis, o ponto de partida é o Marco Civil da Internet, ou Lei 
n. 12.965, de 23 de abril de 2014. Há, igualmente, leis gerais que contêm pontos 
afeitos à matéria digital; como exemplo mais recente temos a regulamentação do 
home office, ou teletrabalho, feita pela reforma trabalhista. Nessa seara, há 
inúmeros setores do compliance digital, como segurança da informação, 
teletrabalho, investigações internas e provas eletrônicas e leis específicas, a 
exemplo do Marco Civil da Internet, da Lei Geral de Proteção de Dados (LGPD), 
entre tantos outros. 
De acordo com Carvalho et al. (2020), essas são algumas razões para a 
implantação do compliance digital: 
(i) há urgência em adotar programas de compliance, a partir da sanção 
da nossa Lei Geral de Proteção de Dados (LGPD), a qual passa a vigorar 
em 16 de agosto de 2020; 
(ii) independentemente da LGPD, o tema envolve riscos reputacionais 
importantes, na medida em que o tratamento de dados pessoais 
potencialmente afeta diretamente a vida de clientes e, indiretamente, os 
negócios de parceiros; 
(iii) os riscos regulatórios atuais, inclusive de multas, são significativos, 
e o serão ainda mais no futuro; 
(iv) a matéria é crucial para o desenvolvimento de negócios baseados 
no processamento e fluxo de dados pessoais (economia baseada em 
dados); e 
(v) o conteúdo comportamental ético do tema é relevantíssimo e, por isso 
mesmo, a implantação completa de programa efetivo leva tempo. 
Para se viver em sociedade em um mundo globalizado, sabemos que 
existem milhares de regras que foram a nós impostas para que nosso convívio 
funcione de maneira harmônica e não haja grandes crises sociais. O mesmo 
acontece em uma empresa; há diversas normas e regras que regem seu bom 
funcionamento. Como vimos, o compliance exprime o conjunto de regras e 
normas internas que regulam o bom funcionamento da empresa, sendo que 
essas normativas se tornam aplicáveis de acordo com as atividades 
desenvolvidas internamente. 
Dessa forma, a palavra compliance deriva da expressão inglesa to comply, 
que significa agir de acordo com uma regra. Ou seja, a expressão estar em 
https://amblegis.com.br/requisitos-legais/o-que-e-ter-sua-empresa-em-compliance/
 
 
3 
compliance significa estar de acordo com as regras. Assim, o compliance digital 
nada mais é que o conjunto de regras tecnológicas, as quais uma empresa 
deve aderir para adequar suas atividades aos avanços tecnológicos atuais 
e às regras aplicáveis à tecnologia da informação. 
Se há uma série de leis e normas que constituem matéria de estudo do 
Direito Digital, nada mais natural do que as isolar e estudar formas e métodos de 
conformidade necessárias. Essa conduta toma especial relevo nos casos em que 
os aspectos éticos e comportamentais associados às leis de fundo digital sejam 
acentuados. Trata-se de um conjunto de protocolos e práticas de segurança digital 
com as quais a empresa busca proteger seus dados e informações sigilosas de 
ataques criminosos e fraudulentos. A este conjunto de protocolos e práticas dá-se 
o nome de Política de Compliance. 
A Lei de Crimes Cibernéticos, ou Lei Carolina Dieckmann (Lei n. 
12.737/2012), a Regulamentação do E-commerce (Decreto 7.962/2013), o Marco 
Civil da Internet (Lei n. 12.965/2014), a Lei Geral de Proteção de Dados (Lei n. 
13.709/2018) e o Cadastro Base do Cidadão (Decreto n. 10.046/2019) estão 
diretamente relacionadas ao compliance digital. Embora a LGDP não o contemple 
como um todo, enseja a chamada de atenção à área e suscitam outras questões 
ligadas à conformidade no domínio virtual. 
Portanto, o compliance digital é a união entre a conformidade à lei e a 
tecnologia da informação para a gestão de riscos. E por riscos, incluímos aqui uso 
indevido e vazamento de dados, invasão por malwares, phishings, propriedade de 
softwares, algoritmos dentre outros. Dentro de um programa de compliance, 
portanto, a vertente de compliance digital se estrutura num programa de 
protocolos, procedimentos e regulamentos que visam adequar as práticas a 
normas de conduta e segurança internas e externas. 
Dessa forma, é preciso dar especial atenção aos princípios elencados na 
Lei Geral de Proteção de Dados, Lei n. 13.709/2018, que encontramos em seu 
artigo 6º, especialmente nos incisos VII, VIII e X, que são: 
1. a segurança; 
2. a prevenção; e 
3. a responsabilização e prestação de contas (accountability) 
São esses os pilares do que chamamos de compliance digital. Em linhas 
práticas, a empresa deverá: 
https://www.jusbrasil.com.br/legislacao/612902269/lei-13709-18
https://www.jusbrasil.com.br/topicos/200399469/artigo-6-da-lei-n-13709-de-14-de-agosto-de-2018
 
 
4 
• estar num compromisso de alta administração; 
• ter due diligence voltado à proteção de dados, pois é imprescindível a todos 
os relacionamentos comerciais e trabalhistas da empresa; 
• elaborar (e colocar em prática) um plano de treinamento e conscientização 
para funcionários e colaboradores; 
• adotar mecanismos de segurança voltados à prevenção de incidentes; 
• adotar mecanismos que possibilitem as denúncias (os chamados canais de 
denúncia), para que a empresa conheça seus pontos críticos e possa ser 
alertada sobre possíveis riscos; 
• criar ou revisar seu código de conduta de forma que qualquer pessoa 
consiga entender, ou seja, de forma simples. 
De acordo com Franco (2020), é fundamental que as instituições 
estabeleçam as regras e fomente a cultura de gestão de redes sociais de forma 
ampla, a fim de garantir à gestão de riscos inerente a atividade empresarial: 
Neste mundo digital cada vez mais conectado, cada colaborador passa 
a ser, mesmo não intencionalmente, um agente de divulgação. A 
principal característica das redes sociais é o compartilhamento 
descentralizado e abrangente de uma infinidade de conteúdos para um 
número sempre crescente de pessoas. É fundamental que as 
instituições estabeleçam as regras e fomentem a cultura de gestão das 
redes sociais de forma ampla. Assim, uma “política de redes sociais” 
deve definir, de forma simples e objetiva, as recomendações de boas 
práticas a seus colaboradores nesse ambiente, bem como as diretrizes 
institucionais para melhor proteção de todos os envolvidos. Tal política 
deve iniciar considerando que o colaborador possui pleno direito à 
liberdade de expressão, lembrando-o de que “grandes poderes trazem 
grandes responsabilidades”, como disse Stan Lee. 
Uma das formas de compliance digital é o monitoramento das redes 
sociais, uma importante medida mitigadora, pois abrange o cumprimento das 
políticas internas. Da mesma forma, o monitoramento de contas corporativas de 
redes sociais, processo comum a departamentos de marketing ou áreas 
responsáveis por canais de comunicação acompanhar o desempenho de 
postagens publicitárias ou de posicionamento da marca a partir de redes sociais. 
Com a velocidade da multiplicação da informação por compartilhamentos 
de postagens, estar atento a posts com relatos de experiências negativas, 
reclamações ou comentários genéricos, permite respostas de acordo com a 
estratégia de comunicação e posicionamento da organização. 
 
 
 
 
5 
TEMA 2 – COMPLIANCE DIGITAL – LINHAS GERAIS 
No âmbito do compliance digital, estar de acordo com a legislação e as 
normas internas inclui a observância de leis de proteção em ambiente virtual, 
inclusive do ponto de vista penal. 
Contudo, é muito difícil legislar sobre a matéria de direito eletrônico, pois é 
necessário além do conhecimentojurídico, o técnico. Pois, em regra o computador 
seria como uma testemunha, entretanto, o computador não consegue, diferenciar 
uma conduta dolosa (com intenção) de uma culposa (sem intenção), o que faz 
com que haja possibilidade de criminalizar condutas que em tese seriam de um 
inocente, por exemplo, mandar um vírus de computador para outra pessoa sem 
querer (Pinheiro, 2016). De acordo com a autora, a blindagem legal para as 
empresas deve nascer junto com o negócio, para evitar riscos desnecessários. 
Atualmente, muito se discute sobre o e-commerce e suas políticas de 
privacidade e possibilidades de cancelamentos de assinaturas ou compras no 
ambiente virtual. Uma simples política de privacidade e termos de uso do serviço são 
condições de conformidade, segundo a Lei do Marco Civil da Internet. Igualmente, a 
previsão para cancelamento no mesmo meio/ambiente de contratação consta no 
Decreto n. 7.962/2013, que passou a exigir vários requisitos para empresas de 
comércio eletrônico, entre eles a apresentação do sumário da contratação1. 
Dessa forma, legislar sobre a matéria de crimes na era digital é 
extremamente difícil e delicado, pois sem a devida redação do novo tipo penal 
corre-se o risco de se acabar punindo inocentes. Até porque, um computador não 
traz informações de contexto da situação, tampouco consegue dizer se foi sem 
querer, sem intenção, ou seja, não conseguem diferenciar culpa de dolo. Um 
exemplo disso é a tentativa de se tipificar o crime de envio de arquivo malicioso 
em e-mail. Além disso, o computador pode estar sendo usado remotamente por 
terceiros para gerar este tipo de ação. 
Desse modo, precisamos, para a matéria de crimes eletrônicos, de uma 
boa atualização do Código Penal brasileiro, do Código de Processo Penal 
brasileiro e da Lei de Execuções Penais. Mas nada disso será útil sem um modelo 
forte de prova de autoria, de uma identidade digital obrigatória. 
 
1 O caso do NuBank é um bom exemplo de atendimento aos requisitos do Decreto n. 7.962/2013, 
pois apresenta o resumo do contrato de forma simplificada, indicando claramente todas as tarifas 
para o consumidor, além dos seus dados para contato, conforme pode ser observado em seu 
website (NuBank. Home. Finalidade comercial, 2015) 
 
 
6 
TEMA 3 – LEGISLAÇÃO – LEI DE CRIMES CIBERNÉTICOS 
O Projeto de Lei de Crimes Eletrônicos, Lei n. 12.734 (Lei Azeredo), e a Lei 
n. 12.737 (Lei Carolina Dieckman), publicados em 30 de novembro de 2012.era 
discutido no Brasil desde 1999, contudo, nem os ataques das quadrilhas fizeram 
o projeto andar, como fez o chamado efeito Carolina Dickmann. Na época, o 
vazamento de fotos íntimas de uma celebridade trouxe à tona novamente a 
importância de se discutir sobre os crimes eletrônicos. 
A Lei n. 12.737/2012, tipifica condutas realizadas mediante uso de sistema 
eletrônico, digital ou similares, que sejam praticadas contra sistemas 
informatizados e similares, também chamada de Lei Azeredo; dispõe sobre a 
tipificação criminal de delitos informáticos (Lei Carolina Dieckmann). 
Também, conforme redação dada pela Lei n. 14.155, de 2021: 
Invasão de dispositivo informático 
Art. 154-A. Invadir dispositivo informático de uso alheio, conectado ou 
não à rede de computadores, com o fim de obter, adulterar ou destruir 
dados ou informações sem autorização expressa ou tácita do usuário do 
dispositivo ou de instalar vulnerabilidades para obter vantagem 
ilícita: 
Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa. 
§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou 
difunde dispositivo ou programa de computador com o intuito de permitir 
a prática da conduta definida no caput. 
§ 2º Aumenta-se a pena de 1/3 (um terço) a 2/3 (dois terços) se da 
invasão resulta prejuízo econômico. 
§ 3o Se da invasão resultar a obtenção de conteúdo de comunicações 
eletrônicas privadas, segredos comerciais ou industriais, informações 
sigilosas, assim definidas em lei, ou o controle remoto não autorizado do 
dispositivo invadido: Pena – reclusão, de 2 (dois) a 5 (cinco) anos, 
e multa. 
§ 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se 
houver divulgação, comercialização ou transmissão a terceiro, a 
qualquer título, dos dados ou informações obtidos. 
§ 5o Aumenta-se a pena de um terço à metade se o crime for praticado 
contra: 
I - Presidente da República, governadores e prefeitos; 
II - Presidente do Supremo Tribunal Federal; 
III - Presidente da Câmara dos Deputados, do Senado Federal, de 
Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito 
Federal ou de Câmara Municipal; ou 
IV - dirigente máximo da administração direta e indireta federal, estadual, 
municipal ou do Distrito Federal. 
Ação penal 
Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede 
mediante representação, salvo se o crime é cometido contra a 
administração pública direta ou indireta de qualquer dos Poderes da 
União, Estados, Distrito Federal ou Municípios ou contra empresas 
concessionárias de serviços públicos. 
 Interrupção ou perturbação de serviço telegráfico, telefônico, 
informático, telemático ou de informação de utilidade pública 
Art. 266 - Interromper ou perturbar serviço telegráfico, radiotelegráfico 
ou telefônico, impedir ou dificultar-lhe o restabelecimento: 
 
 
7 
Pena - detenção, de um a três anos, e multa. 
§ 1o Incorre na mesma pena quem interrompe serviço telemático ou de 
informação de utilidade pública, ou impede ou dificulta-lhe o 
restabelecimento. 
§ 2o Aplicam-se as penas em dobro se o crime é cometido por ocasião 
de calamidade pública. 
Interessante pontuar que, com o avanço tecnológico e o impulsionamento 
de crimes no ambiente virtual em razão da pandemia, a Lei n. 14.155/2021 
promoveu alterações nos crimes de violação de dispositivo informático, furto e 
estelionato. 
Como acabamos de ver, no art. 154-A, a Lei n. 14.155/2021 modificou o 
caput ampliando a incidência penal, majorando as penas do crime em sua forma 
básica (caput) e também os limites da causa de aumento de pena (parágrafo 2º) 
e da qualificadora (parágrafo 3º), ou seja, tais crimes passaram a ser punidos com 
penas mais duras. 
A Lei n. 14.155/2021 também promoveu alterações no crime de furto (art. 
1551), inserindo a qualificadora de furto mediante fraude cometido por meio de 
dispositivo eletrônico ou informático (parágrafo 4º-B), bem como acrescentando 
causa de aumento quando o crime é praticado mediante utilização de servidor 
mantido fora do território nacional. 
A mesma lei ainda realizou três alterações no crime de estelionato do art. 
1712, sendo duas delas relacionadas aos crimes eletrônicos, quais sejam, a 
chamada fraude eletrônica (parágrafo 2º-A) e causa de aumento se o crime é 
praticado utilizando-se de servidor mantido fora do território nacional (parágrafo 
2º-B). 
Em princípio, o crime eletrônico é um crime de meio3, ou seja, utilizado 
apenas como um meio para obter o resultado naturalístico, utiliza-se de um meio 
 
1 Furto: “Art. 155 - Subtrair, para si ou para outrem, coisa alheia móvel: [...] 
§ 4º-B. A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se o furto mediante fraude é 
cometido por meio de dispositivo eletrônico ou informático, conectado ou não à rede de 
computadores, com ou sem a violação de mecanismo de segurança ou a utilização de programa 
malicioso, ou por qualquer outro meio fraudulento análogo. 
§ 4º-C. A pena prevista no § 4º-B deste artigo, considerada a relevância do resultado gravoso: 
I – aumenta-se de 1/3 (um terço) a 2/3 (dois terços), se o crime é praticado mediante a utilização 
de servidor mantido fora do território nacional”. 
2 Fraude eletrônica: “§ 2º-A. A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se a 
fraude é cometidacom a utilização de informações fornecidas pela vítima ou por terceiro induzido 
a erro por meio de redes sociais, contatos telefônicos ou envio de correio eletrônico fraudulento, 
ou por qualquer outro meio fraudulento análogo. 
§ 2º-B. A pena prevista no § 2º-A deste artigo, considerada a relevância do resultado gravoso, 
aumenta-se de 1/3 (um terço) a 2/3 (dois terços), se o crime é praticado mediante a utilização de 
servidor mantido fora do território nacional”. 
3 Pinheiro, P. P (2016). Segundo Robson Ferreira em sua tese de crimes eletrônicos, podemos 
estudar uma classificação dos crimes por computador levando em conta o papel do computador 
 
 
8 
virtual. Ou seja, de algum modo podem ser enquadrados na categoria de 
estelionato, extorsão, falsidade ideológica, fraude, entre outros. Isso quer dizer 
que o meio de materialização da conduta criminosa pode ser virtual; contudo, em 
certos casos, o crime não. 
Vejam que a maioria dos crimes cometidos na rede ocorre também no 
mundo real; a internet surge apenas como um facilitador, principalmente pelo 
anonimato que proporciona. Portanto, as questões quanto ao conceito de crime, 
delito, ato e efeito são as mesmas, quer sejam aplicadas para o Direito Penal ou 
para o Direito Penal Digital. As principais inovações jurídicas trazidas no âmbito 
digital se referem à territorialidade e à investigação probatória, bem como à 
necessidade de tipificação penal de algumas modalidades que, em razão de suas 
peculiaridades, merecem ter um tipo penal próprio. 
De acordo com Pinheiro, os crimes eletrônicos ou cibernéticos têm 
modalidades distintas, dependendo do bem jurídico tutelado. Nesse sentido, o 
crime de interceptação telefônica e de dados, por exemplo, que têm como bem 
jurídico tutelado os dados, ou seja, o que se quer é proteger a transmissão de 
dados e coibir o uso dessas informações para fins delituosos, como captura de 
informações para envio de e-mail bombing4, e-mail com vírus5 spam. Esse tipo 
penal protege também a inviolabilidade das correspondências eletrônicas. 
Com o fim de investigação e identificação dos responsáveis, para o Direito 
Digital, IP constitui uma forma de identificação virtual. Isso significa que o 
anonimato na rede é relativo, assim como muitas identidades virtuais podem não 
ter um correspondente de identidade real. O maior problema jurídico dos crimes 
virtuais é a raridade de denúncias e o despreparo da polícia investigativa, assim 
 
no ilícito: 1) quando o computador é alvo, por exemplo, de: crime de invasão, contaminação por 
vírus, sabotagem do sistema, destruição ou modificação do conteúdo do banco de dados, furto 
de informação, furto de propriedade intelectual, vandalismo cibernético, acesso abusivo por 
funcionário, acesso abusivo por terceirizados, acesso abusivo de fora da empresa; 2) quando o 
computador é o instrumento para o crime — p. ex.: crime de fraude em conta corrente e/ou 
cartões de crédito, transferência de valores ou alterações de saldos e fraudes de 
telecomunicações, divulgação ou exploração de pornografia; 3) quando o computador é 
incidental para outro crime, por exemplo, crimes contra a honra, jogo ilegal, lavagem de dinheiro, 
fraudes contábeis, registro de atividades do crime organizado; 4) quando o crime está associado 
com o computador, por exemplo, em: pirataria de software, falsificações de programas, 
divulgação, utilização ou reprodução ilícita de dados e programas, comércio ilegal de 
equipamentos e programas. 
4 E-mail bombing: envio de e-mails imensos ou vários e-mails. Causa atraso na recepção e gasto 
adicional com conta telefônica. Aplicável o artigo 163 do Código Penal (crime de dano). 
5 E-mail com vírus: envio de vírus anexado ao e-mail. São aplicáveis os artigos 151, parágrafo 1º, 
II e III, 154 A, parágrafo 1o (conforme a funcionalidade do vírus) e 163 do Código Penal, com 
aplicação do artigo 65 da LCP, com pena de prisão simples de quinze dias a dois meses, ou 
multa por perturbação da tranquilidade. 
 
 
9 
como de perícia para apurá-las. O combate a esses crimes torna-se 
extremamente difícil por dois motivos: a) a falta de conhecimento do usuário, que, 
dessa forma, não passa às autoridades informações relevantes e precisas; e b) a 
falta de recursos em geral das autoridades policiais. 
A maioria das investigações sobre crimes digitais exige ordem judicial para 
quebra de sigilo6, contudo, as provas eletrônicas já são amplamente aceitas pelo 
Judiciário Brasileiro, visto que podem não apenas atestar fatos, como também 
permitem perícia e são auditáveis. No âmbito de crimes cibernéticos, temos ainda 
o artigo 241-A, parágrafo 1º, I e II, e parágrafo 2º do Estatuto da Criança e 
Adolescente (ECA)7, segundo o qual, se a empresa ou órgão público disponibiliza 
acesso à internet ou dispositivos móveis de armazenamento para seus 
colaboradores/funcionários e, por conta disso, é encontrado material relacionado 
a pornografia infantil em seus computadores e a instituição se omite perante tal 
situação, ela poderá ser responsabilizada criminalmente, na pessoa do 
responsável legal pela prestação do serviço. 
Ou seja, se o departamento de TI é responsável pela liberação de acessos 
e monitoramento de conteúdo na rede da empresa ou órgão público, está ciente 
dessa ocorrência e não comunica o departamento responsável (jurídico, comitê 
de segurança da informação), consequentemente o gerente de TI (ou outro 
superior da área) poderá ser responsabilizado criminalmente por tais condutas 
(artigo 241-A, parágrafp 2o). 
Desse modo, se a empresa ou instituição pública, ao tomar ciência da 
existência desse tipo de material em seus computadores, comunicar às 
autoridades competentes condutas relacionadas à pornografia infantil e outras 
 
6 De acordo com a Lei n. 12.965/2014, o Marco Civil da Internet, a disponibilização dos registros e 
demais informações somente poderá ser disponibilizada mediante ordem judicial: “Art. 10. A 
guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que 
trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem 
atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou 
indiretamente envolvidas. §1º O provedor responsável pela guarda somente será obrigado a 
disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados 
pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do 
terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o 
disposto no art. 7º §2º O conteúdo das comunicações privadas somente poderá ser disponibilizado 
mediante ordem judicial, nas hipóteses e na forma que a lei estabelecer, respeitado o disposto nos 
incisos II e III do art. 7º §3 O disposto no caput não impede o acesso aos dados cadastrais que 
informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades 
administrativas que detenham competência legal para a sua requisição.” 
7 Artigo 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou divulgar por 
qualquer meio, inclusive por meio de sistema de informática ou telemático, fotografia, vídeo ou 
outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou 
adolescente: (Incluído pela Lei n. 11.829, de 2008). 
 
 
10 
condutas relacionadas à pedofilia, não será responsabilizada pela armazenagem 
do material (exclusão de ilicitude), conforme dispõe o artigo 241-B, parágrafo 2º. 
TEMA 4 – MARCO CIVIL DA INTERNET 
Antes da Lei n. 12.965/2014, e diante das diversificadas relações virtuais 
sem uma regulamentação específica, havia muitas decisões judiciais conflitantese contraditórias, sendo que muitas vezes em demandas simples sobre 
responsabilidade civil se obtêm tutelas judiciais divergentes que podem colocar 
em risco garantias constitucionais. 
A opção legislativa adotada na citada lei privilegia a responsabilidade 
subjetiva, como forma de preservar as conquistas de liberdade de expressão na 
internet, que se caracteriza pela ampla liberdade de produção de conteúdo pelos 
próprios usuários, sem a necessidade de aprovação prévia pelos intermediários 
(provedores). 
Com o conhecido Marco Civil da Internet, Lei n. 12.965/2014, o Brasil passa 
a ter uma posição mais clara a respeito da proteção jurídica da liberdade de 
expressão e da privacidade diante da internet. Em 2016, alguns pontos do Marco 
Civil foram regulamentados pelo Decreto n. 8.771. Essa lei ainda estabelece 
parâmetros gerais acerca de princípios, garantias, direitos e deveres para o uso 
da internet no Brasil, além de determinar diretrizes a serem seguidas pelo Poder 
Público sobre o assunto (Lei n. 12.965/2014, artigo. 1º), ou seja, trata-se de uma 
lei eminentemente principiológica. Em seu texto também há regras específicas a 
serem cumpridas por agentes que operam na internet, especialmente as dirigidas 
aos provedores de conexão e de aplicações de internet. 
Para os efeitos da Lei n. 12.965/2014, o artigo 5º, inciso I, define internet 
como “o sistema constituído do conjunto de protocolos lógicos, estruturado em 
escala mundial para uso público e irrestrito, com a finalidade de possibilitar a 
comunicação de dados entre terminais por meio de diferentes redes”. Veremos 
que na Lei n. 12.965/2014 os três grandes pilares: 
1- a garantia à liberdade de expressão, 
2- a inviolabilidade da privacidade; e 
3- a neutralidade no uso da internet. 
Contudo, a referida norma não trata de comércio eletrônico (no sentido da 
circulação de bens e de serviços, pelo menos não diretamente), de crimes de 
 
 
11 
informática, de propriedade intelectual (marcas, patentes e direitos autorais e 
conexos), de aspectos tributários etc. 
Em relação à liberdade de expressão (cujo direito está assegurado na 
Constituição Federal, artigo 5º, inciso IX, consistindo na liberdade de manifestação 
intelectual, artística, científica e de comunicação, sem censura ou necessidade de 
licença), o usuário da internet pode se expressar escrevendo e postando o que 
bem entender, sendo que o conteúdo somente pode ser removido pelo provedor 
mediante ordem judicial, com exceção aos casos de imagens de conteúdo 
pornográfico, em que os interessados – envolvidos nas cenas podem exigir a 
retirada do provedor mediante notificação. 
Conforme artigo 2º do Marco Civil, o uso da internet no Brasil tem como 
fundamento o princípio constitucional da liberdade de expressão, devendo também 
assegurar o reconhecimento da escala mundial da rede; os direitos humanos, o 
desenvolvimento da personalidade e o exercício da cidadania em meios digitais; a 
pluralidade e a diversidade; a abertura e a colaboração; a livre iniciativa, a livre 
concorrência e a defesa do consumidor; e a finalidade social da rede. 
Quanto à proteção da privacidade (direito inerente à inviolabilidade da 
intimidade, da vida privada, da honra e da imagem da pessoa, nos termos da 
Constituição Federal, artigo 5º, inciso X, como estudado em outro ponto), a lei garante 
o sigilo dos dados pessoais do usuário, do que ele acessa na rede e do conteúdo de 
suas comunicações. Ou seja, não é permitido monitorar ou fiscalizar os pacotes de 
dados (conteúdos) transmitidos pelos usuários na internet, sendo que o acesso a 
esses dados necessita de ordem judicial. 
Já a neutralidade (ou princípio da neutralidade) no uso da internet consiste no 
fato de que o acesso à internet pelo usuário pode dar-se de forma livre para quaisquer 
fins: realizar pesquisas ou compras, estabelecer comunicações, como por e-mail, 
utilizar redes sociais em geral, jogar games, visualizar e postar textos, fotos e vídeos 
etc. De acordo com o artigo 9º do Marco Civil da Internet, o princípio da neutralidade 
de rede foi inserido uma vez que o responsável pela transmissão, comutação 
(interligação) ou roteamento (encaminhamento) tem o dever de tratar de forma 
isonômica quaisquer pacotes de dados, sem distinção por conteúdo, origem e destino, 
serviço, terminal ou aplicação. 
Nos termos do parágrafo 3º do artigo 9º, no serviço de conexão, 
transmissão, comutação ou roteamento é vedado (proibido) monitorar, filtrar, 
analisar ou bloquear o conteúdo dos pacotes de dados, mandamento destinado 
 
 
12 
aos provedores backbone e de conexão no que tange ao monitoramento de 
conteúdo. Tal regra alinha-se aos princípios da neutralidade e da igualdade 
previstos no caput do artigo 9º. 
Quanto à atividade dos provedores, via de regra, o Marco Civil não impõe 
responsabilidade objetiva aos provedores de conexão (acesso) ou de 
aplicações de internet (conteúdo). Assim, pelas disposições da Lei n. 12.965/2014 
a responsabilidade dos provedores de conexão e de aplicações de internet deve 
ser atribuída à luz da responsabilidade subjetiva. De acordo com Teixeira (2020), 
Vale lembrar que a responsabilidade objetiva é aquela em que não é 
preciso a demonstração da culpa do agente, apenas a ação/omissão, o 
dano e o nexo causal entre eles. À luz do art. 927, parágrafo único, do 
Código Civil, a responsabilidade objetiva tem lugar nos casos previstos 
em lei ou quando a atividade normalmente desenvolvida pelo autor do 
dano implicar, por suas características, riscos a outras pessoas. 
Há quem defenda a responsabilidade objetiva, à luz do Código de Defesa 
do Consumidor (CDC) artigo 14, uma vez que seria uma lei destinada às relações 
de consumo. Contudo, em que pese aplicar-se as normas do CDC às relações 
firmadas na internet (incluindo as que são objeto de regulamentação pelo Marco 
Civil), a responsabilização objetiva deve ser vista à luz da teoria geral da 
responsabilidade civil, em que, conforme determina o parágrafo único do artigo 
927 do Código Civil, ela tem cabimento nas hipóteses previstas em lei. 
Entretanto, em se tratando de internet, o Marco Civil é uma lei especial em 
relação à generalidade do CDC, sobretudo quanto à responsabilidade civil dos 
provedores. Assim, não tendo a Lei n. 12.965/2014 estabelecido responsabilidade 
aos provedores, a estes caberá a disciplina da responsabilidade subjetiva, 
conforme entendimento do STJ nas decisões proferidas nos Recursos Especiais 
n. 1.193.764-SP e n. 1.186.616-MG. 
Quanto à responsabilidade civil, ainda, o artigo 18 do Marco Civil da Internet 
expressa que provedor de conexão (acesso) não será responsabilizado civilmente 
por danos decorrentes de conteúdos produzidos por terceiros, ou seja, assim 
como a companhia telefônica não pode ser condenada pelo mau uso da linha de 
telefone para a prática de crime, o provedor de conexão não será penalizado pelo 
uso indevido do acesso de seu usuário que causar dano a outrem, por exemplo, 
no caso de envio de spam (mensagens não solicitadas) ou mensagens com vírus. 
Por sua vez, o artigo 19, dispõe que o provedor de aplicações de internet 
(conteúdo, hospedagem ou correio eletrônico) apenas poderá ser 
responsabilizado na esfera civil por danos decorrentes de conteúdo gerado por 
 
 
13 
terceiros se, após ordem judicial específica, não tomar as providências para, no 
âmbito e nos limites técnicos do seu serviço e dentro do prazo assinalado, tornar 
indisponível o conteúdo apontado como danoso. 
TEMA 5 – MARCO CIVIL – PRINCÍPIOS E ASPECTOS GERAIS 
Conforme prescreve o artigo 3º do Marco Civil da Internet, entre os 
princípios que norteiam o regime jurídico do uso da internet estão a: 
• garantia da liberdade de expressão, comunicação e manifestação de 
pensamento; 
• proteção da privacidade; 
• proteção dos dados pessoais, na forma da lei; 
• preservação e garantia da neutralidade derede; 
• preservação da estabilidade, segurança e funcionalidade da rede, por meio 
de medidas técnicas compatíveis com os padrões internacionais e pelo 
estímulo ao uso de boas práticas; 
• responsabilização dos agentes de acordo com suas atividades, nos termos 
da lei; 
• preservação da natureza participativa da rede; 
• liberdade dos modelos de negócios promovidos na internet, desde que não 
conflitem com os demais princípios estabelecidos pelo próprio Marco Civil 
da Internet (artigo 3º). 
Cabe ressaltar que esse rol de princípios não é taxativo, podendo haver 
outros previstos em normas jurídicas ou tratados internacionais dos quais o Brasil 
venha a ser signatário. Também é pertinente ponderar que, quando o inciso III do 
artigo 3º assevera o princípio da proteção dos dados pessoais na forma da lei, 
significa dizer que o Marco Civil leva em conta a possibilidade da edição de uma 
norma específica para a proteção de dados, o que de fato ocorreu com a LGPD. 
Na interpretação dessa norma serão levados em consideração os seus 
fundamentos, princípios e objetivos, bem como a natureza da internet, seus usos 
e costumes particulares e sua importância para a promoção do desenvolvimento 
humano, econômico, social e cultural, conforme artigo 6º da Lei n. 12.965/2014. 
Quanto aos direitos e às garantias dos usuários da internet no Brasil, está 
previsto no artigo 7º da referida lei, de forma que o acesso à rede mundial de 
 
 
14 
computadores passa a ser essencial ao exercício da cidadania (como de fato já tem 
sido em alguma medida), sendo assegurados aos usuários os seguintes direitos: 
• inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo 
dano material e/ou moral decorrente de sua violação; 
• inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por 
ordem judicial (na forma da lei); 
• inviolabilidade e sigilo do teor de suas comunicações privadas e armazenadas 
(por exemplo, em contas de e-mails), salvo por ordem judicial; 
• não suspensão da conexão à internet, salvo por débito diretamente decorrente 
de sua utilização; 
• manutenção da qualidade contratada da conexão à internet; 
• informações claras e completas constantes dos contratos de prestação de 
serviços, com detalhamento sobre o regime de proteção aos registros de 
conexão e aos registros de acesso a aplicações de internet, bem como sobre 
práticas de gerenciamento da rede que possam afetar sua qualidade. 
Também são direitos dos usuários protegidos pela norma em referência: 
exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de 
internet, a seu requerimento, ao término da relação entre as partes (ressalvadas as 
hipóteses de guarda obrigatória de registros previstas pela Lei n. 12.965/2014); 
publicidade e clareza de eventuais políticas de uso dos provedores de conexão à 
internet e de aplicações de internet; acessibilidade, consideradas as características 
físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, nos termos 
da lei; e aplicação das normas de proteção e defesa do consumidor nas relações de 
consumo realizadas na internet; e a necessidade de consentimento expresso sobre 
coleta, uso, armazenamento e tratamento de dados pessoais deverá constar de forma 
destacada das demais cláusulas contratuais. 
Quanto à comercialização dos dados coletados, o artigo 7º prevê que é direito 
do usuário o não fornecimento a terceiros de seus dados pessoais, inclusive registros 
de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, 
expresso e informado ou nas hipóteses previstas em lei. A vedação ao fornecimento 
de dados é aplicável independentemente de a cessão a terceiro ser a título oneroso ou 
gratuito. Vale o mesmo comentário sobre o consentimento prévio. 
Para Teixeira (2020), a norma do Marco Civil da Internet segue o padrão 
europeu e argentino quanto à necessidade de autorização expressa do usuário para a 
 
 
15 
coleta de dados, bem como para seu uso, armazenamento e tratamento de dados 
pessoais, não podendo ser fornecidos a terceiros, salvo consentimento. Destaca-se 
que Europa e Argentina adotam o sistema opt-in. Ao contrário, Estados Unidos seguem 
o sistema opt-out, em que se podem utilizar os dados livremente independentemente 
de prévio consentimento; mas se o usuário solicitar a exclusão de seus dados e/o não 
envio de mensagens e, ainda assim, o remetente insistir, isso é considerado crime. 
Um ponto extremamente relevante, previsto no parágrafo 3º do artigo 9º da Lei n. 
12.965/2014, é o fato de que na provisão de conexão à internet (gratuita ou onerosa) é 
proibido bloquear, monitorar, filtrar ou analisar o conteúdo dos pacotes de dados, 
devendo ser respeitado o que dispõe o próprio artigo 9º, que diz: “O responsável pela 
transmissão, comutação ou roteamento tem o dever de tratar de forma isonômica 
quaisquer pacotes de dados, sem distinção por conteúdo, origem e destino, serviço, 
terminal ou aplicação”. 
O mesmo se aplica na provisão de conexão quanto à transmissão, à comutação 
(interligação) ou ao roteamento (encaminhamento), ou seja, não se pode bloquear, 
monitorar, filtrar ou analisar o conteúdo dos pacotes de dados. Quanto à proteção de 
registros, dados pessoais e comunicações privadas, a lei disciplina o tema nos artigos 
10 a 12. Conforme o caput do artigo 10, a guarda e a disponibilização dos registros de 
conexão e de acesso a aplicações de internet, bem como de dados pessoais e do 
conteúdo de comunicações privadas, devem atender à preservação da intimidade, da 
vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas. 
Dessa forma, somente ordem judicial poderá fazer com que o provedor seja obrigado 
a disponibilizar tais registros, bem como acerca do conteúdo das comunicações 
privadas, nos moldes do artigo 10, parágrafos 1º e 2º. 
Em relação a territorialidade, o artigo 11 indica que sempre deverão ser 
obrigatoriamente respeitadas as normas brasileiras e os direitos à privacidade, à 
proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros 
quanto às operações que envolvam coleta, armazenamento, guarda e tratamento de 
registros, de dados pessoais ou de comunicações por provedores de conexão e de 
aplicações de internet em que pelo menos um desses atos ocorra em território nacional. 
Com intuito de evitar práticas indesejadas, o artigo 12 da Lei n. 12.965/2014 
fixou penas para o caso de descumprimento das disposições previstas em seus artigos 
10 e 11 acerca da proteção aos registros, aos dados pessoais e às comunicações. 
Dessa forma, sem prejuízo de outras sanções de caráter cível, penal ou administrativo, 
 
 
16 
os infratores ficam sujeitos às seguintes penas, que podem ser aplicadas isolada ou 
cumulativamente: 
• advertência, com indicação de prazo para adoção de medidas corretivas; 
• multa de até 10% do faturamento do grupo econômico no Brasil no seu último 
exercício (excluídos tributos, considerados condição econômica do infrator e 
princípio da proporcionalidade entre gravidade da falta e intensidade da sanção); 
• suspensão temporária ou proibição de exercício das atividades que envolvam 
os atos previstos no artigo 11. 
Em outra perspectiva, o Marco Civil da Internet prevê várias diretrizes para a 
atuação do Estado (União, estados, Distrito Federal e municípios) no desenvolvimento 
da internet no país, conforme o artigo 24. Sendo executadas, ainda que de forma 
pontual, como o mecanismo de governança multiparticipativa, via atuação 
conjunta de vários entes (governo, setor empresarial, sociedade civil e comunidade 
acadêmica), como ocorre com a formação do Comitê Gestor da Internet no Brasil. 
Sendo, portanto, indispensável falar e cumprir os princípios do Marco Civil da Internet 
a fim de garantir boas práticas dentro de um programa de compliance digital.Tabela 2 – Resumo dos Principais efeitos legais do Marco Civil 
Fonte: Franco, 2020. 
 
 
17 
Destarte, de acordo com Franco (2020, p. 302), muito mais à frente na linha do 
tempo a Lei 12.965/2014, popularmente conhecida como Marco Civil da Internet, 
estabeleceu princípios e garantias para tornar oficialmente a rede livre e democrática 
no Brasil, assegurando os direitos e os deveres dos usuários e das empresas 
provedoras de acesso e serviços on-line. O Marco Civil da Internet disciplina o uso da 
internet no Brasil e tem os seguintes princípios: 
(1) garantia de liberdade de expressão e expressão do pensamento; 
(2) proteção da privacidade; 
(3) proteção de dados pessoais; 
(4) preservação e garantia de neutralidade da rede; 
(5) preservação da funcionalidade da rede; 
(6) responsabilidade dos agentes de acordo com suas atividades; 
(7) preservação da natureza participativa da rede; e 
(8) liberdade de modelos de negócios promovidos na internet. 
 
 
 
18 
REFERÊNCIAS 
FRANCO, I. Guia prático de compliance. 1. ed. Rio de Janeiro: Forense, 2020. 
CARVALHO, A. C. et al. Manual de Compliance. 2. ed. Rio de Janeiro: Forense, 2020. 
PINHEIRO, P. P. Direito digital. 6. ed. rev. atual. e ampl. São Paulo: Saraiva, 2016. 
TEIXEIRA, T. Direito digital e processo eletrônico. 5. ed. São Paulo: Saraiva 
Educação, 2020.