Seu restaurante oferece Wi-Fi gratuito. Um cliente conecta, baixa conteúdo pirata, e alguém bate na sua porta pedindo explicações. Sem políticas de uso de Wi-Fi para clientes formalizadas, quem responde por isso é você.
O Brasil é o segundo país com mais hotspots públicos do mundo, com quase 365 mil pontos ativos. A maioria sem política formalizada. E três camadas de lei recaem sobre quem disponibiliza rede sem fio para terceiros: Marco Civil da Internet, LGPD e normas da ANATEL. Ignorar qualquer uma delas expõe o negócio a multas, processos e responsabilização por atos de terceiros.
Mas a política de uso não existe só para evitar problema. Quando bem estruturada dentro do captive portal, ela se torna o primeiro ponto de contato com o cliente: coleta e-mail, registra opt-in para marketing, abre canal de comunicação. Proteção e captura de dados na mesma tela. O que vem a seguir é um checklist direto: o que a lei exige, o que o documento precisa conter, como exibir na tela de login e como lidar com o cliente que resiste.
Veja mais vídeos como esse em nosso canal do YouTube!
O que é (e o que não é) uma política de uso de Wi-Fi
Política de uso de Wi-Fi é o conjunto de regras que define como um visitante pode usar a rede do estabelecimento, quais dados são coletados no momento da conexão e quais são as responsabilidades de cada parte.
Na prática, ela se divide em dois documentos complementares:
- O Termo de Uso, que estabelece regras de comportamento na rede: limites de banda, tempo de acesso, tipos de conteúdo permitidos e proibidos, consequências do mau uso.
- A Política de Privacidade, que declara o que acontece com os dados pessoais do cliente: quais informações são coletadas, com qual finalidade, por quanto tempo ficam armazenadas e quem tem acesso.
Isso não é a mesma coisa que “dar a senha do Wi-Fi”. Quando você compartilha uma senha genérica, qualquer pessoa acessa a rede sem identificação, sem aceite de regras, sem registro. Se algo ilícito acontecer a partir daquele IP, o responsável pelo link (você) fica exposto. O Marco Civil exige que registros de conexão sejam vinculados a um identificador e mantidos por no mínimo um ano. Sem captive portal e sem política formalizada, essa obrigação é impossível de cumprir.
E aqui entra o ponto que pouca gente conecta: o mesmo mecanismo que garante conformidade legal (captive portal com login e aceite) é o que permite capturar dados do cliente para ações de marketing. A política de uso não é burocracia solta. É a porta de entrada da sua base de leads.
Mas para essa porta funcionar, ela precisa estar apoiada em três leis diferentes.

O tripé legal: Marco Civil, LGPD e ANATEL
Quem oferece Wi-Fi a clientes no Brasil responde simultaneamente a três regulações. Cada uma exige algo diferente, e o descumprimento de qualquer uma gera consequências próprias.
Marco Civil da Internet (Lei 12.965/2014)
O artigo 10 do Marco Civil determina que o responsável pela rede deve guardar registros de conexão (IP de origem, MAC, data e horário) por no mínimo um ano. Ao mesmo tempo, a lei proíbe armazenar o histórico de navegação do usuário: quais sites visitou, quais aplicativos usou, qual conteúdo acessou. A quebra de sigilo dos registros só pode acontecer por ordem judicial.
Na prática, isso significa: você precisa de um sistema que registre quem conectou, quando e por quanto tempo. Mas não pode (nem deve) monitorar o que a pessoa fez na internet.
LGPD (Lei 13.709/2018)
A LGPD trata dos dados pessoais coletados no momento do login. Se o captive portal pede nome, e-mail, CPF ou telefone, cada campo precisa de uma finalidade declarada e de consentimento explícito. O cliente precisa saber, antes de clicar “Aceitar”, exatamente o que será feito com suas informações.
O teto de sanção assusta: multa de até 2% do faturamento do grupo econômico, limitada a R$ 50 milhões por infração. A primeira multa da ANPD, aplicada em julho de 2023, foi de R$ 14.400 a uma microempresa de telecomunicações. Valor baixo, mas o precedente é claro: a fiscalização começou e não parou.
ANATEL (Resolução 777/2025)
Publicada em abril de 2025, a Resolução 777 aprova o Regulamento Geral dos Serviços de Telecomunicações. Ela não se aplica a todo estabelecimento que oferece Wi-Fi. Se você só compartilha sua internet com clientes, o uso é privado compartilhado, sem necessidade de outorga. Mas se a oferta de internet se configura como serviço de telecomunicações (modelo SCM), a ANATEL entra no jogo com regras de homologação, qualidade de serviço e sanções administrativas.
O ponto de atenção para qualquer negócio: os equipamentos usados na rede precisam ser homologados pela ANATEL. Roteador doméstico reconfigurado como hotspot comercial é risco regulatório.
Três leis, três órgãos fiscalizadores (ANPD, Procon, ANATEL), um único documento na tela do cliente. A questão agora é: o que esse documento precisa dizer?
Checklist: o que a política de uso precisa conter
A tabela abaixo reúne os itens que, juntos, atendem às exigências do Marco Civil, da LGPD e das boas práticas de segurança. Use como referência para criar ou revisar sua política.
| Cláusula | O que define | Base legal ou referência |
|---|---|---|
| Identificação do responsável | Razão social, CNPJ e contato do estabelecimento que oferece a rede | LGPD art. 9 |
| Finalidade da coleta de dados | Por que o estabelecimento coleta nome, e-mail, CPF ou telefone no login | LGPD art. 6 e 7 |
| Tipos de dados coletados | Lista explícita: dados cadastrais (nome, e-mail), dados de conexão (IP, MAC, timestamp). Dados de navegação não são coletados, conforme Marco Civil | Marco Civil art. 10, LGPD art. 9 |
| Consentimento para marketing | Opt-in separado e claro para envio de comunicações comerciais (e-mail, SMS, WhatsApp) | LGPD art. 7, I e art. 8 |
| Usos proibidos | Atividades ilícitas, pirataria, pornografia, disseminação de vírus, ataques a redes, spam | Marco Civil + Código Penal |
| Limitação de banda e tempo | Velocidade máxima por usuário, duração da sessão, regra de reconexão | Boa prática operacional |
| Filtragem de conteúdo | Categorias de sites bloqueadas (adulto, malware, gambling) via DNS Filtering | Precedente Starbucks + boa prática |
| Retenção de logs | Prazo de armazenamento dos registros de conexão (mínimo 1 ano) | Marco Civil art. 10 § 1 |
| Limitação de responsabilidade | O estabelecimento não responde por conteúdo acessado, danos ao dispositivo ou perda de dados do usuário | Prática contratual padrão |
| Direito de suspensão | O serviço pode ser interrompido a qualquer momento, sem aviso prévio, em caso de violação dos termos | Prática contratual padrão |
| Segmentação de rede | Declaração de que a rede de visitantes é isolada da rede administrativa por VLAN dedicada | Boas práticas de segurança para guest Wi-Fi (SecureW2) |
Um modelo brasileiro que aplica a maioria dessas cláusulas é o da cooperativa Cocari, que coleta nome, CPF, data de nascimento, ISP, IP, browser e duração da visita, proíbe uso ilícito e isenta a cooperativa de responsabilidade. É uma referência acessível para micro e pequenos negócios, especialmente relevante para implementação de hotspot Wi-Fi em pequenas cidades onde conformidade legal costuma ser negligenciada.
Repare que a tabela separa regras de comportamento (usos proibidos, limitação de banda, direito de suspensão) de regras sobre dados (finalidade, tipos coletados, retenção, consentimento). Essa separação não é acidental.
Termo de Uso e Política de Privacidade: por que são documentos diferentes
É comum ver os dois misturados em um único bloco de texto na tela de login. Funciona juridicamente? Até funciona, se todas as informações obrigatórias estiverem lá. Mas o risco de confusão aumenta, e a ANPD recomenda clareza na comunicação com o titular dos dados.
A separação ideal segue esta lógica:
- O Termo de Uso regula a relação de serviço: o que o cliente pode e não pode fazer na rede, limites de uso, consequências de violação, isenção de responsabilidade. É um contrato de conduta.
- A Política de Privacidade regula a relação de dados: quais informações pessoais são coletadas, com qual base legal, por quanto tempo, quem acessa, como o cliente pode pedir exclusão. É a declaração de tratamento de dados exigida pela LGPD.
Na tela do captive portal, a forma mais limpa é exibir um resumo curto com dois links: “Ao conectar, você concorda com nosso Termo de Uso e nossa Política de Privacidade.” O clique em “Aceitar” vale para ambos. O checkbox de opt-in para marketing (“Quero receber ofertas e novidades por e-mail/WhatsApp”) fica abaixo, desmarcado por padrão. Esse checkbox separado é o que garante que o consentimento para comunicação comercial é livre e específico.
Dois documentos prontos. Agora a questão prática: como o cliente vê tudo isso sem fricção?
Como entregar a política no captive portal sem espantar o cliente
O captive portal é a tela que aparece automaticamente quando o cliente tenta usar o Wi-Fi do estabelecimento. É nessa tela que a política de uso precisa estar. Mas “estar” não significa um bloco jurídico de 3.000 palavras em fonte 8. A experiência do usuário no Wi-Fi determina diretamente a taxa de aceite e a percepção de valor do serviço.
Quatro formatos de autenticação dominam o mercado. Cada um determina como a política aparece e quanto dado o estabelecimento captura:
| Formato de login | Quando usar | Nível de captura de dados |
|---|---|---|
| Login social (Facebook, Google, e-mail) | Quando o objetivo é construir base de leads com nome, e-mail e perfil demográfico | Alto |
| Voucher ou código impresso | Quando o controle de banda e tempo de acesso é prioridade (cafeterias, coworkings) | Médio (vincula uso a um código, não necessariamente a um perfil) |
| Senha compartilhada | Quando simplicidade é tudo e conformidade é secundária | Nenhum (e aí mora o risco) |
| Passpoint / OpenRoaming | Para redes com federação de identidade (aeroportos, hotéis de grandes cadeias). O cliente se autentica uma vez e conecta automaticamente em qualquer hotspot federado | Alto (dados vêm do provedor de identidade), sem splash manual |
O login social é o formato que entrega mais para a operação. O cliente faz login com dois cliques, autoriza dados básicos e entra na base. 71% dos consumidores dizem estar mais propensos a voltar a um negócio que oferece Wi-Fi gratuito. O captive portal com login social transforma essa inclinação em dado concreto: nome, e-mail, frequência de visita.
Do ponto de vista de UX, a regra é simples: texto curto na splash page, links para documentos completos, botão de aceite visível, checkbox de marketing desmarcado. Se o portal exigir scroll para encontrar o botão, a taxa de abandono sobe. Se não exibir o termo, a conformidade cai.
A Starbucks usa esse modelo desde 2010 e em 2019 adicionou filtro de conteúdo adulto em todas as lojas da rede. A política de privacidade da marca lista explicitamente identificadores, dados demográficos e dados financeiros coletados via Wi-Fi. Se uma rede global de cafeterias faz isso sem perder cliente, o padrão está validado.
O portal resolve a parte digital. Mas e quando o problema é analógico: o cliente que chega no balcão e pede “só a senha”?
O fator humano: quando o cliente recusa ou abusa
Esse cenário aparece todo dia em qualquer PDV que oferece Wi-Fi. A política de uso precisa cobrir os quatro casos mais frequentes.
Cenário 1: o cliente pede a senha e não quer “fazer login”. Acontece em restaurantes, clínicas, salões de beleza. A resposta precisa ser simples e treinada com a equipe: “Nossa rede funciona por login automático. É só conectar no Wi-Fi, aceitar os termos na tela que aparece e pronto. Qualquer dificuldade, a gente ajuda.” Se o estabelecimento não tem senha compartilhada circulando (e não deveria ter), não há como burlar o fluxo.
Cenário 2: o cliente “acampa”. O clássico de cafeterias e espaços com tomada. Fica horas, consome Wi-Fi, pede um café só. A política de uso pode incluir cláusula de tempo máximo de sessão (30, 60 ou 120 minutos, conforme o perfil do negócio). O captive portal desconecta automaticamente ao término. Reconexão? Permitida, mas pode exigir novo aceite ou novo voucher. Assim o controle fica no sistema, não no atrito pessoal entre funcionário e cliente.
Cenário 3: múltiplos dispositivos por pessoa. Um cliente conecta celular, notebook e tablet. Com três dispositivos sugando banda do mesmo AP, a experiência degrada para todos. A política pode limitar o número de conexões simultâneas por login (geralmente 1 ou 2). A maioria dos captive portals permite essa configuração por padrão.
Cenário 4: uso de VPN para contornar filtros. Alguns clientes usam VPN para acessar conteúdo bloqueado pelo filtro de DNS. A política pode vedar o uso de VPN na rede de visitantes, e o captive portal pode bloquear portas comuns de VPN (1194, 443/OpenVPN). Não é infalível, mas elimina 90% dos contornos casuais.
O ponto central: a política de uso transfere para o documento (e para o sistema) decisões que, sem ela, recaem sobre o funcionário do caixa. Quanto menos a equipe precisar arbitrar, melhor a operação roda.
Mas mesmo a melhor política envelhece. A questão é: com que frequência revisá-la?
De quanto em quanto tempo revisar a política
Uma política escrita em 2022 provavelmente não menciona Wi-Fi 7, não referencia a Resolução ANATEL 777/2025 e pode ter lacunas sobre a dosimetria de multas da ANPD. Ela não está errada, mas está incompleta.
A recomendação prática é revisar em três situações:
- Mudança legislativa. A LGPD ganhou regulamentação complementar (CD/ANPD 4/2023 sobre dosimetria de multas). A ANATEL publicou novas regras de homologação para Wi-Fi 7 em outubro de 2024. Cada atualização pode exigir ajuste no texto.
- Mudança tecnológica. Se o estabelecimento migrou de WPA2 para WPA3, de Wi-Fi 5 para Wi-Fi 6E, ou adotou Passpoint/OpenRoaming, a política precisa refletir o novo cenário técnico e os novos tipos de dados coletados.
- Incidente ou reclamação recorrente. Se um cliente usou a rede para atividade ilícita e a política não cobria aquele caso específico, é hora de incluir. Se a equipe reporta frequência alta de “campismo”, é hora de formalizar o limite de sessão.
Na ausência desses gatilhos, uma revisão anual é o mínimo. O custo de revisar é baixo. O custo de não revisar pode ser uma multa ou um processo.
Se o seu estabelecimento ainda opera com senha colada no cardápio e sem nenhum registro de quem conecta, o primeiro passo não é revisar uma política. É criar uma. E o caminho mais rápido é um hotspot social com captive portal que já entrega tela de aceite, login social, captura de dados e logs de conexão integrados. Se além de proteger a rede você quer fechar o ciclo (lead capturado no Wi-Fi virando conversa automatizada), o WhatsApp Empresarial integrado ao hotspot é onde esse ciclo se completa.

Perguntas frequentes
Preciso de advogado para criar a política de uso do Wi-Fi?
Para estabelecimentos pequenos e médios, não necessariamente. Plataformas de hotspot social já incluem modelos de Termo de Uso e Política de Privacidade adaptados à LGPD e ao Marco Civil. Para redes maiores ou franquias, é recomendável validação jurídica, especialmente se a operação envolve múltiplas unidades e tratamento de dados em larga escala.
Posso exigir CPF no login do Wi-Fi?
Pode, desde que declare a finalidade da coleta e obtenha consentimento. A LGPD permite o tratamento de CPF com base no consentimento (art. 7, I) ou no legítimo interesse (art. 7, IX). O ponto de atenção: colete apenas o que for necessário para a finalidade declarada. Se e-mail resolve, CPF é excesso.
O que acontece se um cliente comete crime usando meu Wi-Fi?
Se você mantém registros de conexão (IP, MAC, timestamp) por no mínimo um ano e coopera com ordem judicial, a responsabilidade criminal recai sobre o usuário, não sobre o dono da rede. Sem esses registros, a investigação para no seu IP, e o ônus de prova se inverte.
Devo bloquear VPN na rede de visitantes?
Depende do perfil do cliente. Em coworkings e espaços corporativos, VPN é ferramenta de trabalho e não faz sentido bloquear. Em cafeterias, restaurantes e clínicas, onde o Wi-Fi é cortesia, bloquear VPN reduz contornos de filtro de conteúdo e simplifica a gestão. Inclua a decisão como cláusula expressa no Termo de Uso.
Senha compartilhada no cardápio é suficiente para conformidade?
Não. Senha compartilhada não identifica o usuário, não registra IP individual, não exibe Termo de Uso e não coleta consentimento para tratamento de dados. Ela descumpre simultaneamente o Marco Civil (falta de logs individuais) e a LGPD (falta de consentimento informado). O caminho correto é captive portal com login individual.
Filtrar conteúdo no Wi-Fi viola a neutralidade de rede?
O Marco Civil garante neutralidade de rede para provedores de conexão (ISPs). O estabelecimento que oferece Wi-Fi como cortesia não é ISP e pode filtrar categorias de conteúdo (adulto, malware, gambling) sem violar a neutralidade. A Starbucks bloqueia conteúdo adulto globalmente desde 2019 sem questionamento regulatório. O requisito é declarar a filtragem no Termo de Uso.
