AULA 2

COMPLIANCE DIGITAL E
GOVERNANÇA CORPORATIVA

Profª Daiane Medino da Silva

TEMA 1 – COMPLIANCE DIGITAL – DIREITO DIGITAL

Com o impulsionamento digital, a globalização e a velocidade de

informações, o mundo inteiro está passando por uma transformação para a
chamada era digital. No Brasil não é diferente, e o país vem contando com uma
série de leis que, de algum modo, têm fundo digital.
Dentre as leis, o ponto de partida é o Marco Civil da Internet, ou Lei
n. 12.965, de 23 de abril de 2014. Há, igualmente, leis gerais que contêm pontos
afeitos à matéria digital; como exemplo mais recente temos a regulamentação do
home office, ou teletrabalho, feita pela reforma trabalhista. Nessa seara, há
inúmeros setores do compliance digital, como segurança da informação,
teletrabalho, investigações internas e provas eletrônicas e leis específicas, a
exemplo do Marco Civil da Internet, da Lei Geral de Proteção de Dados (LGPD),
entre tantos outros.
De acordo com Carvalho et al. (2020), essas são algumas razões para a
implantação do compliance digital:

(i) há urgência em adotar programas de compliance, a partir da sanção

da nossa Lei Geral de Proteção de Dados (LGPD), a qual passa a vigorar
em 16 de agosto de 2020;
(ii) independentemente da LGPD, o tema envolve riscos reputacionais
importantes, na medida em que o tratamento de dados pessoais
potencialmente afeta diretamente a vida de clientes e, indiretamente, os
negócios de parceiros;
(iii) os riscos regulatórios atuais, inclusive de multas, são significativos,
e o serão ainda mais no futuro;
(iv) a matéria é crucial para o desenvolvimento de negócios baseados
no processamento e fluxo de dados pessoais (economia baseada em
dados); e
(v) o conteúdo comportamental ético do tema é relevantíssimo e, por isso
mesmo, a implantação completa de programa efetivo leva tempo.

Para se viver em sociedade em um mundo globalizado, sabemos que

existem milhares de regras que foram a nós impostas para que nosso convívio
funcione de maneira harmônica e não haja grandes crises sociais. O mesmo
acontece em uma empresa; há diversas normas e regras que regem seu bom
funcionamento. Como vimos, o compliance exprime o conjunto de regras e
normas internas que regulam o bom funcionamento da empresa, sendo que
essas normativas se tornam aplicáveis de acordo com as atividades
desenvolvidas internamente.
Dessa forma, a palavra compliance deriva da expressão inglesa to comply,
que significa agir de acordo com uma regra. Ou seja, a expressão estar em

2
compliance significa estar de acordo com as regras. Assim, o compliance digital
nada mais é que o conjunto de regras tecnológicas, as quais uma empresa
deve aderir para adequar suas atividades aos avanços tecnológicos atuais
e às regras aplicáveis à tecnologia da informação.
Se há uma série de leis e normas que constituem matéria de estudo do
Direito Digital, nada mais natural do que as isolar e estudar formas e métodos de
conformidade necessárias. Essa conduta toma especial relevo nos casos em que
os aspectos éticos e comportamentais associados às leis de fundo digital sejam
acentuados. Trata-se de um conjunto de protocolos e práticas de segurança digital
com as quais a empresa busca proteger seus dados e informações sigilosas de
ataques criminosos e fraudulentos. A este conjunto de protocolos e práticas dá-se
o nome de Política de Compliance.
A Lei de Crimes Cibernéticos, ou Lei Carolina Dieckmann (Lei n.
12.737/2012), a Regulamentação do E-commerce (Decreto 7.962/2013), o Marco
Civil da Internet (Lei n. 12.965/2014), a Lei Geral de Proteção de Dados (Lei n.
13.709/2018) e o Cadastro Base do Cidadão (Decreto n. 10.046/2019) estão
diretamente relacionadas ao compliance digital. Embora a LGDP não o contemple
como um todo, enseja a chamada de atenção à área e suscitam outras questões
ligadas à conformidade no domínio virtual.
Portanto, o compliance digital é a união entre a conformidade à lei e a
tecnologia da informação para a gestão de riscos. E por riscos, incluímos aqui uso
indevido e vazamento de dados, invasão por malwares, phishings, propriedade de
softwares, algoritmos dentre outros. Dentro de um programa de compliance,
portanto, a vertente de compliance digital se estrutura num programa de
protocolos, procedimentos e regulamentos que visam adequar as práticas a
normas de conduta e segurança internas e externas.
Dessa forma, é preciso dar especial atenção aos princípios elencados na
Lei Geral de Proteção de Dados, Lei n. 13.709/2018, que encontramos em seu
artigo 6º, especialmente nos incisos VII, VIII e X, que são:

1. a segurança;
2. a prevenção; e
3. a responsabilização e prestação de contas (accountability)

São esses os pilares do que chamamos de compliance digital. Em linhas

práticas, a empresa deverá:

3
 • estar num compromisso de alta administração;

• ter due diligence voltado à proteção de dados, pois é imprescindível a todos

os relacionamentos comerciais e trabalhistas da empresa;

• elaborar (e colocar em prática) um plano de treinamento e conscientização

para funcionários e colaboradores;

• adotar mecanismos de segurança voltados à prevenção de incidentes;

• adotar mecanismos que possibilitem as denúncias (os chamados canais de

denúncia), para que a empresa conheça seus pontos críticos e possa ser
alertada sobre possíveis riscos;
• criar ou revisar seu código de conduta de forma que qualquer pessoa

consiga entender, ou seja, de forma simples.

De acordo com Franco (2020), é fundamental que as instituições

estabeleçam as regras e fomente a cultura de gestão de redes sociais de forma
ampla, a fim de garantir à gestão de riscos inerente a atividade empresarial:

Neste mundo digital cada vez mais conectado, cada colaborador passa
a ser, mesmo não intencionalmente, um agente de divulgação. A
principal característica das redes sociais é o compartilhamento
descentralizado e abrangente de uma infinidade de conteúdos para um
número sempre crescente de pessoas. É fundamental que as
instituições estabeleçam as regras e fomentem a cultura de gestão das
redes sociais de forma ampla. Assim, uma “política de redes sociais”
deve definir, de forma simples e objetiva, as recomendações de boas
práticas a seus colaboradores nesse ambiente, bem como as diretrizes
institucionais para melhor proteção de todos os envolvidos. Tal política
deve iniciar considerando que o colaborador possui pleno direito à
liberdade de expressão, lembrando-o de que “grandes poderes trazem
grandes responsabilidades”, como disse Stan Lee.

Uma das formas de compliance digital é o monitoramento das redes

sociais, uma importante medida mitigadora, pois abrange o cumprimento das
políticas internas. Da mesma forma, o monitoramento de contas corporativas de
redes sociais, processo comum a departamentos de marketing ou áreas
responsáveis por canais de comunicação acompanhar o desempenho de
postagens publicitárias ou de posicionamento da marca a partir de redes sociais.
Com a velocidade da multiplicação da informação por compartilhamentos
de postagens, estar atento a posts com relatos de experiências negativas,
reclamações ou comentários genéricos, permite respostas de acordo com a
estratégia de comunicação e posicionamento da organização.

4
TEMA 2 – COMPLIANCE DIGITAL – LINHAS GERAIS

No âmbito do compliance digital, estar de acordo com a legislação e as

normas internas inclui a observância de leis de proteção em ambiente virtual,
inclusive do ponto de vista penal.
Contudo, é muito difícil legislar sobre a matéria de direito eletrônico, pois é
necessário além do conhecimento jurídico, o técnico. Pois, em regra o computador
seria como uma testemunha, entretanto, o computador não consegue, diferenciar
uma conduta dolosa (com intenção) de uma culposa (sem intenção), o que faz
com que haja possibilidade de criminalizar condutas que em tese seriam de um
inocente, por exemplo, mandar um vírus de computador para outra pessoa sem
querer (Pinheiro, 2016). De acordo com a autora, a blindagem legal para as
empresas deve nascer junto com o negócio, para evitar riscos desnecessários.
Atualmente, muito se discute sobre o e-commerce e suas políticas de
privacidade e possibilidades de cancelamentos de assinaturas ou compras no
ambiente virtual. Uma simples política de privacidade e termos de uso do serviço são
condições de conformidade, segundo a Lei do Marco Civil da Internet. Igualmente, a
previsão para cancelamento no mesmo meio/ambiente de contratação consta no
Decreto n. 7.962/2013, que passou a exigir vários requisitos para empresas de
comércio eletrônico, entre eles a apresentação do sumário da contratação1.
Dessa forma, legislar sobre a matéria de crimes na era digital é
extremamente difícil e delicado, pois sem a devida redação do novo tipo penal
corre-se o risco de se acabar punindo inocentes. Até porque, um computador não
traz informações de contexto da situação, tampouco consegue dizer se foi sem
querer, sem intenção, ou seja, não conseguem diferenciar culpa de dolo. Um
exemplo disso é a tentativa de se tipificar o crime de envio de arquivo malicioso
em e-mail. Além disso, o computador pode estar sendo usado remotamente por
terceiros para gerar este tipo de ação.
Desse modo, precisamos, para a matéria de crimes eletrônicos, de uma
boa atualização do Código Penal brasileiro, do Código de Processo Penal
brasileiro e da Lei de Execuções Penais. Mas nada disso será útil sem um modelo
forte de prova de autoria, de uma identidade digital obrigatória.

1
O caso do NuBank é um bom exemplo de atendimento aos requisitos do Decreto n. 7.962/2013,
pois apresenta o resumo do contrato de forma simplificada, indicando claramente todas as tarifas
para o consumidor, além dos seus dados para contato, conforme pode ser observado em seu
website (NuBank. Home. Finalidade comercial, 2015)
5
TEMA 3 – LEGISLAÇÃO – LEI DE CRIMES CIBERNÉTICOS

O Projeto de Lei de Crimes Eletrônicos, Lei n. 12.734 (Lei Azeredo), e a Lei

n. 12.737 (Lei Carolina Dieckman), publicados em 30 de novembro de 2012.era
discutido no Brasil desde 1999, contudo, nem os ataques das quadrilhas fizeram
o projeto andar, como fez o chamado efeito Carolina Dickmann. Na época, o
vazamento de fotos íntimas de uma celebridade trouxe à tona novamente a
importância de se discutir sobre os crimes eletrônicos.
A Lei n. 12.737/2012, tipifica condutas realizadas mediante uso de sistema
eletrônico, digital ou similares, que sejam praticadas contra sistemas
informatizados e similares, também chamada de Lei Azeredo; dispõe sobre a
tipificação criminal de delitos informáticos (Lei Carolina Dieckmann).
Também, conforme redação dada pela Lei n. 14.155, de 2021:

Invasão de dispositivo informático

Art. 154-A. Invadir dispositivo informático de uso alheio, conectado ou
não à rede de computadores, com o fim de obter, adulterar ou destruir
dados ou informações sem autorização expressa ou tácita do usuário do
dispositivo ou de instalar vulnerabilidades para obter vantagem
ilícita:
Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa.
§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou
difunde dispositivo ou programa de computador com o intuito de permitir
a prática da conduta definida no caput.
§ 2º Aumenta-se a pena de 1/3 (um terço) a 2/3 (dois terços) se da
invasão resulta prejuízo econômico.
§ 3o Se da invasão resultar a obtenção de conteúdo de comunicações
eletrônicas privadas, segredos comerciais ou industriais, informações
sigilosas, assim definidas em lei, ou o controle remoto não autorizado do
dispositivo invadido: Pena – reclusão, de 2 (dois) a 5 (cinco) anos,
e multa.
§ 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se
houver divulgação, comercialização ou transmissão a terceiro, a
qualquer título, dos dados ou informações obtidos.
§ 5o Aumenta-se a pena de um terço à metade se o crime for praticado
contra:
I - Presidente da República, governadores e prefeitos;
II - Presidente do Supremo Tribunal Federal;
III - Presidente da Câmara dos Deputados, do Senado Federal, de
Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito
Federal ou de Câmara Municipal; ou
IV - dirigente máximo da administração direta e indireta federal, estadual,
municipal ou do Distrito Federal.
Ação penal
Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede
mediante representação, salvo se o crime é cometido contra a
administração pública direta ou indireta de qualquer dos Poderes da
União, Estados, Distrito Federal ou Municípios ou contra empresas
concessionárias de serviços públicos.
Interrupção ou perturbação de serviço telegráfico, telefônico,
informático, telemático ou de informação de utilidade pública
Art. 266 - Interromper ou perturbar serviço telegráfico, radiotelegráfico
ou telefônico, impedir ou dificultar-lhe o restabelecimento:

6
 Pena - detenção, de um a três anos, e multa.
§ 1o Incorre na mesma pena quem interrompe serviço telemático ou de
informação de utilidade pública, ou impede ou dificulta-lhe o
restabelecimento.
§ 2o Aplicam-se as penas em dobro se o crime é cometido por ocasião
de calamidade pública.

Interessante pontuar que, com o avanço tecnológico e o impulsionamento

de crimes no ambiente virtual em razão da pandemia, a Lei n. 14.155/2021
promoveu alterações nos crimes de violação de dispositivo informático, furto e
estelionato.
Como acabamos de ver, no art. 154-A, a Lei n. 14.155/2021 modificou o
caput ampliando a incidência penal, majorando as penas do crime em sua forma
básica (caput) e também os limites da causa de aumento de pena (parágrafo 2º)
e da qualificadora (parágrafo 3º), ou seja, tais crimes passaram a ser punidos com
penas mais duras.
A Lei n. 14.155/2021 também promoveu alterações no crime de furto (art.
1551), inserindo a qualificadora de furto mediante fraude cometido por meio de
dispositivo eletrônico ou informático (parágrafo 4º-B), bem como acrescentando
causa de aumento quando o crime é praticado mediante utilização de servidor
mantido fora do território nacional.
A mesma lei ainda realizou três alterações no crime de estelionato do art.
1712, sendo duas delas relacionadas aos crimes eletrônicos, quais sejam, a
chamada fraude eletrônica (parágrafo 2º-A) e causa de aumento se o crime é
praticado utilizando-se de servidor mantido fora do território nacional (parágrafo
2º-B).
Em princípio, o crime eletrônico é um crime de meio3, ou seja, utilizado
apenas como um meio para obter o resultado naturalístico, utiliza-se de um meio

1
Furto: “Art. 155 - Subtrair, para si ou para outrem, coisa alheia móvel: [...]
§ 4º-B. A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se o furto mediante fraude é
cometido por meio de dispositivo eletrônico ou informático, conectado ou não à rede de
computadores, com ou sem a violação de mecanismo de segurança ou a utilização de programa
malicioso, ou por qualquer outro meio fraudulento análogo.
§ 4º-C. A pena prevista no § 4º-B deste artigo, considerada a relevância do resultado gravoso:
I – aumenta-se de 1/3 (um terço) a 2/3 (dois terços), se o crime é praticado mediante a utilização
de servidor mantido fora do território nacional”.
2
Fraude eletrônica: “§ 2º-A. A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se a
fraude é cometida com a utilização de informações fornecidas pela vítima ou por terceiro induzido
a erro por meio de redes sociais, contatos telefônicos ou envio de correio eletrônico fraudulento,
ou por qualquer outro meio fraudulento análogo.
§ 2º-B. A pena prevista no § 2º-A deste artigo, considerada a relevância do resultado gravoso,
aumenta-se de 1/3 (um terço) a 2/3 (dois terços), se o crime é praticado mediante a utilização de
servidor mantido fora do território nacional”.
3 Pinheiro, P. P (2016). Segundo Robson Ferreira em sua tese de crimes eletrônicos, podemos

estudar uma classificação dos crimes por computador levando em conta o papel do computador
7
virtual. Ou seja, de algum modo podem ser enquadrados na categoria de
estelionato, extorsão, falsidade ideológica, fraude, entre outros. Isso quer dizer
que o meio de materialização da conduta criminosa pode ser virtual; contudo, em
certos casos, o crime não.
Vejam que a maioria dos crimes cometidos na rede ocorre também no
mundo real; a internet surge apenas como um facilitador, principalmente pelo
anonimato que proporciona. Portanto, as questões quanto ao conceito de crime,
delito, ato e efeito são as mesmas, quer sejam aplicadas para o Direito Penal ou
para o Direito Penal Digital. As principais inovações jurídicas trazidas no âmbito
digital se referem à territorialidade e à investigação probatória, bem como à
necessidade de tipificação penal de algumas modalidades que, em razão de suas
peculiaridades, merecem ter um tipo penal próprio.
De acordo com Pinheiro, os crimes eletrônicos ou cibernéticos têm
modalidades distintas, dependendo do bem jurídico tutelado. Nesse sentido, o
crime de interceptação telefônica e de dados, por exemplo, que têm como bem
jurídico tutelado os dados, ou seja, o que se quer é proteger a transmissão de
dados e coibir o uso dessas informações para fins delituosos, como captura de
informações para envio de e-mail bombing4, e-mail com vírus5 spam. Esse tipo
penal protege também a inviolabilidade das correspondências eletrônicas.
Com o fim de investigação e identificação dos responsáveis, para o Direito
Digital, IP constitui uma forma de identificação virtual. Isso significa que o
anonimato na rede é relativo, assim como muitas identidades virtuais podem não
ter um correspondente de identidade real. O maior problema jurídico dos crimes
virtuais é a raridade de denúncias e o despreparo da polícia investigativa, assim

no ilícito: 1) quando o computador é alvo, por exemplo, de: crime de invasão, contaminação por
vírus, sabotagem do sistema, destruição ou modificação do conteúdo do banco de dados, furto
de informação, furto de propriedade intelectual, vandalismo cibernético, acesso abusivo por
funcionário, acesso abusivo por terceirizados, acesso abusivo de fora da empresa; 2) quando o
computador é o instrumento para o crime — p. ex.: crime de fraude em conta corrente e/ou
cartões de crédito, transferência de valores ou alterações de saldos e fraudes de
telecomunicações, divulgação ou exploração de pornografia; 3) quando o computador é
incidental para outro crime, por exemplo, crimes contra a honra, jogo ilegal, lavagem de dinheiro,
fraudes contábeis, registro de atividades do crime organizado; 4) quando o crime está associado
com o computador, por exemplo, em: pirataria de software, falsificações de programas,
divulgação, utilização ou reprodução ilícita de dados e programas, comércio ilegal de
equipamentos e programas.
4 E-mail bombing: envio de e-mails imensos ou vários e-mails. Causa atraso na recepção e gasto

adicional com conta telefônica. Aplicável o artigo 163 do Código Penal (crime de dano).
5 E-mail com vírus: envio de vírus anexado ao e-mail. São aplicáveis os artigos 151, parágrafo 1º,

II e III, 154 A, parágrafo 1o (conforme a funcionalidade do vírus) e 163 do Código Penal, com
aplicação do artigo 65 da LCP, com pena de prisão simples de quinze dias a dois meses, ou
multa por perturbação da tranquilidade.
8
como de perícia para apurá-las. O combate a esses crimes torna-se
extremamente difícil por dois motivos: a) a falta de conhecimento do usuário, que,
dessa forma, não passa às autoridades informações relevantes e precisas; e b) a
falta de recursos em geral das autoridades policiais.
A maioria das investigações sobre crimes digitais exige ordem judicial para
quebra de sigilo6, contudo, as provas eletrônicas já são amplamente aceitas pelo
Judiciário Brasileiro, visto que podem não apenas atestar fatos, como também
permitem perícia e são auditáveis. No âmbito de crimes cibernéticos, temos ainda
o artigo 241-A, parágrafo 1º, I e II, e parágrafo 2º do Estatuto da Criança e
Adolescente (ECA)7, segundo o qual, se a empresa ou órgão público disponibiliza
acesso à internet ou dispositivos móveis de armazenamento para seus
colaboradores/funcionários e, por conta disso, é encontrado material relacionado
a pornografia infantil em seus computadores e a instituição se omite perante tal
situação, ela poderá ser responsabilizada criminalmente, na pessoa do
responsável legal pela prestação do serviço.
Ou seja, se o departamento de TI é responsável pela liberação de acessos
e monitoramento de conteúdo na rede da empresa ou órgão público, está ciente
dessa ocorrência e não comunica o departamento responsável (jurídico, comitê
de segurança da informação), consequentemente o gerente de TI (ou outro
superior da área) poderá ser responsabilizado criminalmente por tais condutas
(artigo 241-A, parágrafp 2o).
Desse modo, se a empresa ou instituição pública, ao tomar ciência da
existência desse tipo de material em seus computadores, comunicar às
autoridades competentes condutas relacionadas à pornografia infantil e outras

6 De acordo com a Lei n. 12.965/2014, o Marco Civil da Internet, a disponibilização dos registros e
demais informações somente poderá ser disponibilizada mediante ordem judicial: “Art. 10. A
guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que
trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem
atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou
indiretamente envolvidas. §1º O provedor responsável pela guarda somente será obrigado a
disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados
pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do
terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o
disposto no art. 7º §2º O conteúdo das comunicações privadas somente poderá ser disponibilizado
mediante ordem judicial, nas hipóteses e na forma que a lei estabelecer, respeitado o disposto nos
incisos II e III do art. 7º §3 O disposto no caput não impede o acesso aos dados cadastrais que
informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades
administrativas que detenham competência legal para a sua requisição.”
7 Artigo 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou divulgar por

qualquer meio, inclusive por meio de sistema de informática ou telemático, fotografia, vídeo ou
outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou
adolescente: (Incluído pela Lei n. 11.829, de 2008).
9
condutas relacionadas à pedofilia, não será responsabilizada pela armazenagem
do material (exclusão de ilicitude), conforme dispõe o artigo 241-B, parágrafo 2º.

TEMA 4 – MARCO CIVIL DA INTERNET

Antes da Lei n. 12.965/2014, e diante das diversificadas relações virtuais

sem uma regulamentação específica, havia muitas decisões judiciais conflitantes
e contraditórias, sendo que muitas vezes em demandas simples sobre
responsabilidade civil se obtêm tutelas judiciais divergentes que podem colocar
em risco garantias constitucionais.
A opção legislativa adotada na citada lei privilegia a responsabilidade
subjetiva, como forma de preservar as conquistas de liberdade de expressão na
internet, que se caracteriza pela ampla liberdade de produção de conteúdo pelos
próprios usuários, sem a necessidade de aprovação prévia pelos intermediários
(provedores).
Com o conhecido Marco Civil da Internet, Lei n. 12.965/2014, o Brasil passa
a ter uma posição mais clara a respeito da proteção jurídica da liberdade de
expressão e da privacidade diante da internet. Em 2016, alguns pontos do Marco
Civil foram regulamentados pelo Decreto n. 8.771. Essa lei ainda estabelece
parâmetros gerais acerca de princípios, garantias, direitos e deveres para o uso
da internet no Brasil, além de determinar diretrizes a serem seguidas pelo Poder
Público sobre o assunto (Lei n. 12.965/2014, artigo. 1º), ou seja, trata-se de uma
lei eminentemente principiológica. Em seu texto também há regras específicas a
serem cumpridas por agentes que operam na internet, especialmente as dirigidas
aos provedores de conexão e de aplicações de internet.
Para os efeitos da Lei n. 12.965/2014, o artigo 5º, inciso I, define internet
como “o sistema constituído do conjunto de protocolos lógicos, estruturado em
escala mundial para uso público e irrestrito, com a finalidade de possibilitar a
comunicação de dados entre terminais por meio de diferentes redes”. Veremos
que na Lei n. 12.965/2014 os três grandes pilares:

1- a garantia à liberdade de expressão,

2- a inviolabilidade da privacidade; e
3- a neutralidade no uso da internet.

Contudo, a referida norma não trata de comércio eletrônico (no sentido da

circulação de bens e de serviços, pelo menos não diretamente), de crimes de

10
informática, de propriedade intelectual (marcas, patentes e direitos autorais e
conexos), de aspectos tributários etc.
Em relação à liberdade de expressão (cujo direito está assegurado na
Constituição Federal, artigo 5º, inciso IX, consistindo na liberdade de manifestação
intelectual, artística, científica e de comunicação, sem censura ou necessidade de
licença), o usuário da internet pode se expressar escrevendo e postando o que
bem entender, sendo que o conteúdo somente pode ser removido pelo provedor
mediante ordem judicial, com exceção aos casos de imagens de conteúdo
pornográfico, em que os interessados – envolvidos nas cenas podem exigir a
retirada do provedor mediante notificação.
Conforme artigo 2º do Marco Civil, o uso da internet no Brasil tem como
fundamento o princípio constitucional da liberdade de expressão, devendo também
assegurar o reconhecimento da escala mundial da rede; os direitos humanos, o
desenvolvimento da personalidade e o exercício da cidadania em meios digitais; a
pluralidade e a diversidade; a abertura e a colaboração; a livre iniciativa, a livre
concorrência e a defesa do consumidor; e a finalidade social da rede.
Quanto à proteção da privacidade (direito inerente à inviolabilidade da
intimidade, da vida privada, da honra e da imagem da pessoa, nos termos da
Constituição Federal, artigo 5º, inciso X, como estudado em outro ponto), a lei garante
o sigilo dos dados pessoais do usuário, do que ele acessa na rede e do conteúdo de
suas comunicações. Ou seja, não é permitido monitorar ou fiscalizar os pacotes de
dados (conteúdos) transmitidos pelos usuários na internet, sendo que o acesso a
esses dados necessita de ordem judicial.
Já a neutralidade (ou princípio da neutralidade) no uso da internet consiste no
fato de que o acesso à internet pelo usuário pode dar-se de forma livre para quaisquer
fins: realizar pesquisas ou compras, estabelecer comunicações, como por e-mail,
utilizar redes sociais em geral, jogar games, visualizar e postar textos, fotos e vídeos
etc. De acordo com o artigo 9º do Marco Civil da Internet, o princípio da neutralidade
de rede foi inserido uma vez que o responsável pela transmissão, comutação
(interligação) ou roteamento (encaminhamento) tem o dever de tratar de forma
isonômica quaisquer pacotes de dados, sem distinção por conteúdo, origem e destino,
serviço, terminal ou aplicação.
Nos termos do parágrafo 3º do artigo 9º, no serviço de conexão,
transmissão, comutação ou roteamento é vedado (proibido) monitorar, filtrar,
analisar ou bloquear o conteúdo dos pacotes de dados, mandamento destinado

11
aos provedores backbone e de conexão no que tange ao monitoramento de
conteúdo. Tal regra alinha-se aos princípios da neutralidade e da igualdade
previstos no caput do artigo 9º.
Quanto à atividade dos provedores, via de regra, o Marco Civil não impõe
responsabilidade objetiva aos provedores de conexão (acesso) ou de
aplicações de internet (conteúdo). Assim, pelas disposições da Lei n. 12.965/2014
a responsabilidade dos provedores de conexão e de aplicações de internet deve
ser atribuída à luz da responsabilidade subjetiva. De acordo com Teixeira (2020),

Vale lembrar que a responsabilidade objetiva é aquela em que não é

preciso a demonstração da culpa do agente, apenas a ação/omissão, o
dano e o nexo causal entre eles. À luz do art. 927, parágrafo único, do
Código Civil, a responsabilidade objetiva tem lugar nos casos previstos
em lei ou quando a atividade normalmente desenvolvida pelo autor do
dano implicar, por suas características, riscos a outras pessoas.

Há quem defenda a responsabilidade objetiva, à luz do Código de Defesa

do Consumidor (CDC) artigo 14, uma vez que seria uma lei destinada às relações
de consumo. Contudo, em que pese aplicar-se as normas do CDC às relações
firmadas na internet (incluindo as que são objeto de regulamentação pelo Marco
Civil), a responsabilização objetiva deve ser vista à luz da teoria geral da
responsabilidade civil, em que, conforme determina o parágrafo único do artigo
927 do Código Civil, ela tem cabimento nas hipóteses previstas em lei.
Entretanto, em se tratando de internet, o Marco Civil é uma lei especial em
relação à generalidade do CDC, sobretudo quanto à responsabilidade civil dos
provedores. Assim, não tendo a Lei n. 12.965/2014 estabelecido responsabilidade
aos provedores, a estes caberá a disciplina da responsabilidade subjetiva,
conforme entendimento do STJ nas decisões proferidas nos Recursos Especiais
n. 1.193.764-SP e n. 1.186.616-MG.
Quanto à responsabilidade civil, ainda, o artigo 18 do Marco Civil da Internet
expressa que provedor de conexão (acesso) não será responsabilizado civilmente
por danos decorrentes de conteúdos produzidos por terceiros, ou seja, assim
como a companhia telefônica não pode ser condenada pelo mau uso da linha de
telefone para a prática de crime, o provedor de conexão não será penalizado pelo
uso indevido do acesso de seu usuário que causar dano a outrem, por exemplo,
no caso de envio de spam (mensagens não solicitadas) ou mensagens com vírus.
Por sua vez, o artigo 19, dispõe que o provedor de aplicações de internet
(conteúdo, hospedagem ou correio eletrônico) apenas poderá ser
responsabilizado na esfera civil por danos decorrentes de conteúdo gerado por
12
terceiros se, após ordem judicial específica, não tomar as providências para, no
âmbito e nos limites técnicos do seu serviço e dentro do prazo assinalado, tornar
indisponível o conteúdo apontado como danoso.

TEMA 5 – MARCO CIVIL – PRINCÍPIOS E ASPECTOS GERAIS

Conforme prescreve o artigo 3º do Marco Civil da Internet, entre os

princípios que norteiam o regime jurídico do uso da internet estão a:

• garantia da liberdade de expressão, comunicação e manifestação de

pensamento;
• proteção da privacidade;
• proteção dos dados pessoais, na forma da lei;
• preservação e garantia da neutralidade de rede;
• preservação da estabilidade, segurança e funcionalidade da rede, por meio
de medidas técnicas compatíveis com os padrões internacionais e pelo
estímulo ao uso de boas práticas;
• responsabilização dos agentes de acordo com suas atividades, nos termos
da lei;
• preservação da natureza participativa da rede;
• liberdade dos modelos de negócios promovidos na internet, desde que não
conflitem com os demais princípios estabelecidos pelo próprio Marco Civil
da Internet (artigo 3º).

Cabe ressaltar que esse rol de princípios não é taxativo, podendo haver
outros previstos em normas jurídicas ou tratados internacionais dos quais o Brasil
venha a ser signatário. Também é pertinente ponderar que, quando o inciso III do
artigo 3º assevera o princípio da proteção dos dados pessoais na forma da lei,
significa dizer que o Marco Civil leva em conta a possibilidade da edição de uma
norma específica para a proteção de dados, o que de fato ocorreu com a LGPD.
Na interpretação dessa norma serão levados em consideração os seus
fundamentos, princípios e objetivos, bem como a natureza da internet, seus usos
e costumes particulares e sua importância para a promoção do desenvolvimento
humano, econômico, social e cultural, conforme artigo 6º da Lei n. 12.965/2014.
Quanto aos direitos e às garantias dos usuários da internet no Brasil, está
previsto no artigo 7º da referida lei, de forma que o acesso à rede mundial de

13
computadores passa a ser essencial ao exercício da cidadania (como de fato já tem
sido em alguma medida), sendo assegurados aos usuários os seguintes direitos:

• inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo

dano material e/ou moral decorrente de sua violação;
• inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por
ordem judicial (na forma da lei);
• inviolabilidade e sigilo do teor de suas comunicações privadas e armazenadas
(por exemplo, em contas de e-mails), salvo por ordem judicial;
• não suspensão da conexão à internet, salvo por débito diretamente decorrente
de sua utilização;
• manutenção da qualidade contratada da conexão à internet;
• informações claras e completas constantes dos contratos de prestação de
serviços, com detalhamento sobre o regime de proteção aos registros de
conexão e aos registros de acesso a aplicações de internet, bem como sobre
práticas de gerenciamento da rede que possam afetar sua qualidade.

Também são direitos dos usuários protegidos pela norma em referência:

exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de
internet, a seu requerimento, ao término da relação entre as partes (ressalvadas as
hipóteses de guarda obrigatória de registros previstas pela Lei n. 12.965/2014);
publicidade e clareza de eventuais políticas de uso dos provedores de conexão à
internet e de aplicações de internet; acessibilidade, consideradas as características
físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, nos termos
da lei; e aplicação das normas de proteção e defesa do consumidor nas relações de
consumo realizadas na internet; e a necessidade de consentimento expresso sobre
coleta, uso, armazenamento e tratamento de dados pessoais deverá constar de forma
destacada das demais cláusulas contratuais.
Quanto à comercialização dos dados coletados, o artigo 7º prevê que é direito
do usuário o não fornecimento a terceiros de seus dados pessoais, inclusive registros
de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre,
expresso e informado ou nas hipóteses previstas em lei. A vedação ao fornecimento
de dados é aplicável independentemente de a cessão a terceiro ser a título oneroso ou
gratuito. Vale o mesmo comentário sobre o consentimento prévio.
Para Teixeira (2020), a norma do Marco Civil da Internet segue o padrão
europeu e argentino quanto à necessidade de autorização expressa do usuário para a

14
coleta de dados, bem como para seu uso, armazenamento e tratamento de dados
pessoais, não podendo ser fornecidos a terceiros, salvo consentimento. Destaca-se
que Europa e Argentina adotam o sistema opt-in. Ao contrário, Estados Unidos seguem
o sistema opt-out, em que se podem utilizar os dados livremente independentemente
de prévio consentimento; mas se o usuário solicitar a exclusão de seus dados e/o não
envio de mensagens e, ainda assim, o remetente insistir, isso é considerado crime.
Um ponto extremamente relevante, previsto no parágrafo 3º do artigo 9º da Lei n.
12.965/2014, é o fato de que na provisão de conexão à internet (gratuita ou onerosa) é
proibido bloquear, monitorar, filtrar ou analisar o conteúdo dos pacotes de dados,
devendo ser respeitado o que dispõe o próprio artigo 9º, que diz: “O responsável pela
transmissão, comutação ou roteamento tem o dever de tratar de forma isonômica
quaisquer pacotes de dados, sem distinção por conteúdo, origem e destino, serviço,
terminal ou aplicação”.
O mesmo se aplica na provisão de conexão quanto à transmissão, à comutação
(interligação) ou ao roteamento (encaminhamento), ou seja, não se pode bloquear,
monitorar, filtrar ou analisar o conteúdo dos pacotes de dados. Quanto à proteção de
registros, dados pessoais e comunicações privadas, a lei disciplina o tema nos artigos
10 a 12. Conforme o caput do artigo 10, a guarda e a disponibilização dos registros de
conexão e de acesso a aplicações de internet, bem como de dados pessoais e do
conteúdo de comunicações privadas, devem atender à preservação da intimidade, da
vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.
Dessa forma, somente ordem judicial poderá fazer com que o provedor seja obrigado
a disponibilizar tais registros, bem como acerca do conteúdo das comunicações
privadas, nos moldes do artigo 10, parágrafos 1º e 2º.
Em relação a territorialidade, o artigo 11 indica que sempre deverão ser
obrigatoriamente respeitadas as normas brasileiras e os direitos à privacidade, à
proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros
quanto às operações que envolvam coleta, armazenamento, guarda e tratamento de
registros, de dados pessoais ou de comunicações por provedores de conexão e de
aplicações de internet em que pelo menos um desses atos ocorra em território nacional.
Com intuito de evitar práticas indesejadas, o artigo 12 da Lei n. 12.965/2014
fixou penas para o caso de descumprimento das disposições previstas em seus artigos
10 e 11 acerca da proteção aos registros, aos dados pessoais e às comunicações.
Dessa forma, sem prejuízo de outras sanções de caráter cível, penal ou administrativo,

15
os infratores ficam sujeitos às seguintes penas, que podem ser aplicadas isolada ou
cumulativamente:

• advertência, com indicação de prazo para adoção de medidas corretivas;

• multa de até 10% do faturamento do grupo econômico no Brasil no seu último
exercício (excluídos tributos, considerados condição econômica do infrator e
princípio da proporcionalidade entre gravidade da falta e intensidade da sanção);
• suspensão temporária ou proibição de exercício das atividades que envolvam
os atos previstos no artigo 11.

Em outra perspectiva, o Marco Civil da Internet prevê várias diretrizes para a

atuação do Estado (União, estados, Distrito Federal e municípios) no desenvolvimento
da internet no país, conforme o artigo 24. Sendo executadas, ainda que de forma
pontual, como o mecanismo de governança multiparticipativa, via atuação
conjunta de vários entes (governo, setor empresarial, sociedade civil e comunidade
acadêmica), como ocorre com a formação do Comitê Gestor da Internet no Brasil.
Sendo, portanto, indispensável falar e cumprir os princípios do Marco Civil da Internet
a fim de garantir boas práticas dentro de um programa de compliance digital.

Tabela 2 – Resumo dos Principais efeitos legais do Marco Civil

Fonte: Franco, 2020.

16
 Destarte, de acordo com Franco (2020, p. 302), muito mais à frente na linha do
tempo a Lei 12.965/2014, popularmente conhecida como Marco Civil da Internet,
estabeleceu princípios e garantias para tornar oficialmente a rede livre e democrática
no Brasil, assegurando os direitos e os deveres dos usuários e das empresas
provedoras de acesso e serviços on-line. O Marco Civil da Internet disciplina o uso da
internet no Brasil e tem os seguintes princípios:

(1) garantia de liberdade de expressão e expressão do pensamento;

(2) proteção da privacidade;
(3) proteção de dados pessoais;
(4) preservação e garantia de neutralidade da rede;
(5) preservação da funcionalidade da rede;
(6) responsabilidade dos agentes de acordo com suas atividades;
(7) preservação da natureza participativa da rede; e
(8) liberdade de modelos de negócios promovidos na internet.

17
REFERÊNCIAS

FRANCO, I. Guia prático de compliance. 1. ed. Rio de Janeiro: Forense, 2020.

CARVALHO, A. C. et al. Manual de Compliance. 2. ed. Rio de Janeiro: Forense, 2020.

PINHEIRO, P. P. Direito digital. 6. ed. rev. atual. e ampl. São Paulo: Saraiva, 2016.

TEIXEIRA, T. Direito digital e processo eletrônico. 5. ed. São Paulo: Saraiva

Educação, 2020.

18