O Marco Civil da Internet (Lei nº 12.965/2014) não é a lei que a maioria das empresas pensa quando opera um negócio digital no Brasil. Pensam na LGPD para dados, no CDC para consumidores, nas regras tributárias. O Marco Civil costuma ser descoberto depois — quando chega uma ordem judicial, surge uma disputa de conteúdo ou aparece uma questão de responsabilidade de plataforma.
Entendê-lo antes sai significativamente mais barato.
Para que serve o Marco Civil e a quem ele se aplica
O Marco Civil é a lei-quadro da internet no Brasil. Estabelece princípios, direitos e deveres para o uso da internet no país. Aplica-se a qualquer pessoa física ou jurídica que preste serviços ao público pela internet no Brasil — independentemente do país de incorporação da empresa.
Duas categorias de provedores, com obrigações distintas:
- Provedores de conexão: operadoras — fornecem a infraestrutura de rede. Regras mais rígidas de guarda de logs.
- Provedores de aplicação: qualquer serviço que oferece funcionalidade pela internet — site, app, SaaS, marketplace, plataforma, comunidade. A maioria dos negócios digitais se enquadra aqui.
A classificação importa porque define obrigações de guarda de registros, regime de responsabilidade por conteúdo de terceiros e como responder a ordens judiciais.
Guarda de registros: o que guardar e por quanto tempo
Provedores de aplicação devem manter registros de acesso a aplicações de internet pelo prazo estabelecido pelo Marco Civil, em ambiente controlado e seguro. Esses registros precisam ser disponibilizados a autoridades competentes mediante ordem judicial específica.
A lei exige confidencialidade dos logs — não podem ser divulgados a terceiros sem autorização judicial. Isso cria tensão com o princípio de minimização da LGPD: o Marco Civil obriga a guardar; a LGPD exige não guardar além do necessário. A política interna precisa conciliar as duas.
Consequência prática: construir arquitetura de dados que permita extração direcionada de registros específicos de usuário em resposta a ordens judiciais, sem expor dados não relacionados — e reter apenas o que a lei exige pelo prazo exato que ela determina.
Responsabilidade por conteúdo de terceiros
O dispositivo mais importante para negócios de plataforma: o art. 19 estabelece que provedores de aplicação não respondem por danos decorrentes de conteúdo de terceiros — salvo se, após ordem judicial específica de remoção, deixarem de tornar o conteúdo indisponível.
É imunidade condicional, não absoluta:
- Plataforma veicula conteúdo de usuário → sem responsabilidade
- Ordem judicial determina remoção → plataforma precisa cumprir no prazo
- Plataforma descumpre → responsabilidade pelos danos resultantes
Há regra mais rigorosa para conteúdo íntimo não consensual (art. 21): aqui, a responsabilidade surge da notificação pela vítima, sem necessidade de ordem judicial. As plataformas devem remover esse conteúdo prontamente após notificação adequada.
Neutralidade da rede
O Marco Civil estabelece a neutralidade da rede como princípio: provedores de conexão não podem discriminar pacotes de dados por origem, destino, serviço, terminal ou aplicação. Exceções existem para requisitos técnicos e serviços de emergência.
Para negócios digitais, isso significa: o tráfego não pode ser throttleado ou priorizado por operadoras com base em arranjos comerciais — proteção para serviços emergentes que competem com players estabelecidos.
A interface com a LGPD
Marco Civil e LGPD operam em paralelo e precisam ser lidos em conjunto para qualquer negócio que trate dados pessoais pela internet no Brasil.
Superposições principais:
| Questão | Marco Civil | LGPD |
|---|---|---|
| Retenção de logs | Obrigatória por prazos específicos | Minimização — reter apenas o necessário |
| Divulgação de dados do usuário | Apenas por ordem judicial específica | Tratamento precisa de base legal |
| Proteção de privacidade | Marco geral | Obrigações detalhadas de tratamento |
Um mapa de dados que cobre as duas leis — identificando o que é coletado, por quê, por quanto tempo e em que condições pode ser divulgado — é a base de uma operação em conformidade.
Respondendo a ordens judiciais
Quando chega uma ordem judicial pedindo dados de usuário ou remoção de conteúdo, a resposta deve ser:
- Tempestiva: descumprir no prazo da ordem cria responsabilidade pelo art. 19
- Delimitada: apenas o que a ordem especificamente exige; divulgação além do pedido gera exposição pela LGPD
- Documentada: manter registro de cada ordem recebida, os dados fornecidos, a data do cumprimento e a base legal
Antes de qualquer divulgação: revisão jurídica. Um playbook de resposta bem desenhado — quem recebe a ordem, quem a revisa juridicamente, quem executa a extração, como o cumprimento é documentado — é infraestrutura de conformidade, não tarefa pontual.
Auditoria mínima de conformidade ao Marco Civil
Para qualquer negócio digital que opere no Brasil:
- A operação foi classificada: provedor de conexão ou de aplicação?
- Os registros de acesso são mantidos pelo prazo legal em ambiente seguro?
- A política de retenção está alinhada ao princípio de minimização da LGPD?
- Existe canal único de recebimento de ordens judiciais, com playbook de resposta?
- Termos de uso e política de privacidade estão acessíveis para usuários brasileiros?
- Há processo para notificações de conteúdo íntimo do art. 21 com SLA definido?
- Para empresas estrangeiras: existe representante legal local para comunicações judiciais?
Nossa prática cobre direito digital e creator economy e LGPD e privacidade. Ver também: Plataforma derrubou seu conteúdo? O que diz o Marco Civil.
FAQ
Na prática, qualquer aplicação que ofereça funcionalidade pela internet — site, app, marketplace, plataforma de cursos, comunidade, SaaS. A distinção em relação a provedor de conexão (ISP) é central porque o regime de responsabilidade e as obrigações de guarda de registros diferem. Na maioria dos negócios digitais a empresa é provedora de aplicação. A classificação correta afeta o que precisa ser logado, por quanto tempo e em que condições os logs podem ser exigidos.
Provedores de aplicação têm obrigação de guardar registros de acesso a aplicações de internet pelo prazo previsto no Marco Civil, em ambiente controlado e seguro. A guarda obrigatória incide sobre provedores que oferecem serviços ao público em geral, dentro dos parâmetros da lei. Na prática, logs ajudam também na resposta a incidentes, defesa em ações judiciais e cumprimento de ordens. A política de retenção deve estar alinhada à LGPD para evitar conflito entre as duas leis.
Em regra, sim, dentro do que o Marco Civil e a LGPD autorizam e nos limites da ordem específica. A entrega só é cabível mediante ordem judicial específica, salvo exceções legais. Pedidos genéricos, fora do prazo legal de guarda ou que extrapolem o que a lei autoriza devem ser questionados. Boa prática: ter playbook de resposta a ordens judiciais com revisão jurídica antes de qualquer entrega, e canal único de recebimento de notificações.
Complementar. O Marco Civil disciplina o uso da internet, regime de responsabilidade do provedor, neutralidade e guarda de registros de acesso. A LGPD regula o tratamento de dados pessoais por qualquer agente, dentro e fora da internet. Em pontos de superposição — como retenção de logs — a leitura conjunta é necessária. A política interna deve refletir as duas leis e a arquitetura técnica precisa permitir cumprir prazos de guarda do Marco Civil sem violar princípios de minimização da LGPD.
Pode se aplicar. O Marco Civil tem critérios de aplicação extraterritorial, sobretudo quando há oferta de serviços a usuários no Brasil ou quando ao menos um dos terminais está no território nacional. A LGPD tem critério análogo. Empresas estrangeiras que operam para o público brasileiro devem estruturar política de privacidade, termos de uso, procedimentos de resposta a ordens judiciais e, conforme o caso, designar representante legal local.
