GUIDE

Responsabilidade Legal do Wi-Fi para Empresas: Guia Prático

Responsabilidade Legal do Wi-Fi para Empresas: Guia Prático
Vinícius Terçariol
Vinícius Terçariol 11 min de leitura
Compartilhe com um amigo:

Seu estabelecimento oferece Wi-Fi aos clientes. Pode ser academia, restaurante, clínica, hotel ou escritório. O que parece cortesia é, para a legislação brasileira, operação de dados pessoais com responsabilidade civil e criminal envolvida. A responsabilidade legal do Wi-Fi para empresas é definida por três leis que incidem ao mesmo tempo sobre a mesma rede, e a maioria dos gestores desconhece pelo menos duas delas.

Pré-visualização do vídeo

Veja mais vídeos como esse em nosso canal do YouTube!

Três leis regulam o Wi-Fi do seu estabelecimento ao mesmo tempo

O Wi-Fi corporativo não está sujeito a uma lei. Está sujeito a pelo menos três, com exigências distintas e, em alguns pontos, conflitantes entre si.

Marco Civil da Internet (Lei 12.965/2014)

O Marco Civil da Internet é a espinha dorsal. Ele obriga a guarda de registros de conexão por no mínimo 1 ano (art. 13) e de registros de aplicação por 6 meses (art. 15). Se alguém comete um crime usando sua rede e você não tem esses logs, o IP rastreado aponta para o seu CNPJ. E é você quem vai explicar isso ao delegado.

LGPD (Lei 13.709/2018)

A Lei Geral de Proteção de Dados trata qualquer informação coletada no login do Wi-Fi (nome, CPF, e-mail, telefone, login social) como dado pessoal. Isso transforma seu estabelecimento em controlador de dados, com obrigações de consentimento, finalidade definida, segurança, notificação de incidentes e nomeação de encarregado (DPO). O teto de multas chega a R$ 50 milhões por infração.

Código de Defesa do Consumidor e dimensão criminal

Mesmo que o Wi-Fi seja “gratuito”, existe o conceito jurídico de remuneração indireta. Você oferece internet para atrair e reter clientes: isso pode configurar relação de consumo sob o CDC, com responsabilidade objetiva pelo serviço.

Na dimensão criminal, a Lei Carolina Dieckmann (Lei 12.737/2012) tipifica invasão de dispositivo informático com pena de 3 meses a 1 ano de detenção. Se sua rede é usada como vetor de ataque por falta de medidas mínimas de segurança, existe tese para enquadramento do administrador por negligência.

Saber quais leis incidem é o primeiro passo. O segundo é entender como sua empresa se classifica sob o Marco Civil, porque isso muda radicalmente o nível de obrigação.

Detalhe de roteador corporativo em close-up representando a responsabilidade legal do wi-fi para empresas e segurança técnica.
Responsabilidade Legal do Wi-Fi para Empresas: Guia Prático 5

Provedor de conexão ou de aplicação? A classificação que define tudo

O Marco Civil diferencia dois perfis:

  • Provedor de conexão: fornece o “tubo” para acessar a internet (como as operadoras de telecom). Pelo art. 18, esse provedor não responde civilmente por conteúdo gerado por terceiros.
  • Provedor de aplicação: oferece serviços, conteúdos ou funcionalidades que rodam sobre a conexão. Aplica-se o art. 19 quando há falha em remover conteúdo ilícito após ordem judicial.

Se a sua empresa apenas compartilha a senha do roteador sem nenhum cadastro, a classificação como provedor de conexão pode se sustentar. Nesse caso, o art. 18 protege contra responsabilidade direta.

Para estabelecimentos menores, veja como implementar hotspot Wi-Fi em pequenas cidades mantendo conformidade legal.

No momento em que existe captive portal, login social, coleta de e-mail ou qualquer dado antes do acesso, você passa a operar como controlador de dados sob a LGPD e, potencialmente, como provedor de aplicação. A proteção do art. 18 deixa de valer.

Esse é o dilema central. Sem coleta de dados, você fica “protegido” pelo Marco Civil, mas sem condição de identificar quem usou sua rede (risco criminal real). Com coleta, ganha poder de identificação, mas assume todas as obrigações da LGPD. A mesma lógica se aplica a funcionários em dispositivos pessoais (BYOD): se o colaborador conecta o celular ao Wi-Fi da empresa e acessa conteúdo ilícito, o registro de identidade é o que separa sua responsabilidade da dele.

A saída não é escolher entre coletar ou não. É coletar o mínimo necessário, com consentimento explícito, pelo tempo definido. Os três pilares a seguir mostram como fazer isso na prática.

Segurança, registro e transparência: os três pilares obrigatórios

Se um pilar falha, os outros perdem sustentação jurídica. Funcionam em cascata.

Pilar 1: segurança da rede

  • Criptografia WPA2-Enterprise ou WPA3 na rede de visitantes.
  • Segregação via VLAN: a rede de visitantes precisa estar isolada da rede corporativa, com roteamento inter-VLAN desativado.
  • Client isolation ativo, impedindo que dispositivos no mesmo SSID se enxerguem entre si.
  • Monitoramento contra APs falsos (rogue APs e ataques evil twin que clonam o nome da sua rede para capturar credenciais).

Pilar 2: retenção de logs

O Marco Civil exige 1 ano para registros de conexão e 6 meses para registros de aplicação. Os dados que precisam estar armazenados:

  • Data e hora de conexão e desconexão
  • Endereço IP atribuído
  • Endereço MAC do dispositivo
  • Identificação do usuário (e-mail, telefone ou CPF coletado no login)

Recomendação: retenha por 18 a 24 meses. O prazo prescricional cível é de 3 anos. Guardar apenas o mínimo legal pode deixar sua empresa sem defesa em litígios que se arrastam além desse período.

Pilar 3: transparência com o usuário

  • Política de privacidade exibida no captive portal antes da conexão, com as finalidades do tratamento.
  • Termo de uso com cláusula de uso aceitável (proibição de atividades ilícitas) e aceite explícito.
  • Consentimento registrado para o tratamento de dados (art. 7º, I da LGPD e art. 7º, VII do Marco Civil).
  • Encarregado de dados (DPO) nomeado e identificável publicamente.

O conflito entre Marco Civil e LGPD (e como resolver)

O Marco Civil manda guardar dados. A LGPD manda minimizar coleta. Parece contraditório. A saída prática:

  1. Colete apenas o identificador necessário para vincular a pessoa ao registro de conexão (um campo: e-mail, telefone ou CPF).
  2. Informe, no captive portal, que a coleta serve para cumprimento de obrigação legal (base legal do art. 7º, II da LGPD).
  3. Defina período de retenção (ex: 24 meses) e apague automaticamente após o prazo.

Dados adicionais como gênero, data de nascimento ou preferências podem ser coletados, desde que exista finalidade documentada e consentimento específico. Pedir dez campos no captive portal sem explicar o motivo configura coleta excessiva sob o princípio da necessidade.

A tabela abaixo compara os métodos de autenticação mais usados e sua adequação legal:

Método de loginIdentifica o usuário?Atende Marco Civil?Atende LGPD?
Rede aberta (sem login)NãoNãoNão se aplica
Senha única compartilhadaNãoNãoNão se aplica
Captive portal com e-mail ou telefoneSimSimSim, com consentimento
Login social (Google, Facebook)SimSimSim, com atenção ao compartilhamento de dados
802.1X com certificadoSimSimSim

Até aqui, prevenção. O cenário ganha contorno real quando olhamos o que aconteceu com quem ignorou esses pilares.

CONHEÇA A SOLUÇÃO
Seu Wi-Fi gera custo ou gera cliente?

Seu Wi-Fi gera custo ou gera cliente?

A maioria dos negócios paga pela internet dos clientes sem capturar nenhum dado. Com o Hotspot Social, cada acesso vira oportunidade de venda.

  • Coleta de e-mail, telefone e dados demográficos
  • Pesquisas pelo Wi-Fi e Avaliações de de satisfação integrados
  • Vouchers e promoções automáticas
  • Funciona em qualquer tipo de negócio
Ver como funciona

O que acontece quando o Wi-Fi vira problema jurídico

Em 2025, o Brasil registrou 753,8 bilhões de tentativas de ataques cibernéticos, segundo relatório da Fortinet. São 4.118 ataques por semana, em média. Parte desses ataques usa redes Wi-Fi corporativas mal configuradas como porta de entrada. Isso não é abstrato. Veja o que já aconteceu na prática.

No Espírito Santo, um professor foi condenado a pagar R$ 10 mil porque alguém criou um perfil falso usando a rede Wi-Fi dele. O IP investigado era o do professor. Sem logs de identificação dos usuários, ele não conseguiu provar que não foi o autor do perfil.

Na esfera de proteção de dados, a Segunda Turma do STJ decidiu em março de 2023 que o vazamento de dados pessoais comuns não gera dano moral presumido. O titular precisa demonstrar prejuízo efetivo para receber indenização. Isso atenua a exposição financeira de empresas, mas não elimina o dever de notificar incidentes e manter segurança ativa.

Caminho oposto seguiu o TJMG: em julho de 2025, condenou uma instituição por vazar dados sem consentimento do titular. Para qualquer estabelecimento que coleta dados via Wi-Fi, o recado é direto: consentimento registrado não é formalidade. É linha de defesa.

Na esfera administrativa, até janeiro de 2026 a ANPD aplicou uma única multa pecuniária: R$ 14.400, contra a Telekall Infoservice. Todas as demais sanções foram advertências e publicização de infração, contra órgãos como INSS, Secretaria de Educação do DF e Ministério da Saúde. O padrão revela o foco da agência: penalizar quem não tem encarregado de dados (art. 41), Relatório de Impacto (art. 38) ou fluxo de comunicação de incidentes (art. 48). Processos básicos ausentes geram sanção, independente de ter ocorrido um incidente grave.

O contexto de investimento reforça a tendência. O Brasil deve somar R$ 104,6 bilhões em investimentos em cibersegurança entre 2025 e 2028, alta de 43,8% sobre o ciclo anterior. O mercado se move. Quem fica parado acumula risco.

E se a polícia bater à porta? Com logs retidos, DPO nomeado e termos de uso registrados, você entrega os registros ao delegado, demonstra diligência e tende a ser excluído do inquérito. Sem isso, o IP do seu CNPJ é a única evidência na mesa.

Diante desses precedentes e números, a questão prática: como sair do risco com o orçamento e a operação que você tem hoje?

Checklist de regularização do Wi-Fi corporativo

O que implementar

  1. Captive portal com identificação obrigatória antes da conexão. E-mail, telefone ou CPF. Login social (Google, Facebook) reduz atrito e aumenta a taxa de opt-in.
  2. Termo de uso e política de privacidade exibidos no fluxo de login, com aceite registrado. Linguagem clara sobre finalidade e período de retenção.
  3. Retenção automatizada de logs por 18 a 24 meses (data, hora, IP, MAC, identificador do usuário) em armazenamento criptografado.
  4. VLAN dedicada para visitantes. Rede de clientes completamente isolada da rede interna, do sistema de gestão e do PDV.
  5. DPO nomeado e publicizado. Pode ser interno ou terceirizado, mas precisa existir e estar acessível.
  6. Fluxo documentado de resposta a incidentes, com notificação à ANPD e aos titulares em até 2 dias úteis.

O que parar de fazer

  • Rede aberta sem nenhum tipo de autenticação. Essa é a maior exposição jurídica possível. Crime via sua rede, IP apontando pro seu CNPJ, nenhum registro de quem estava conectado.
  • Senha única compartilhada (“a senha é café123”). Não identifica quem se conectou. Para fins legais, equivale a rede aberta.
  • Coleta de dados sem consentimento registrado. Pedir CPF no captive portal sem exibir política de privacidade viola a LGPD de forma direta.
  • Contar com o porte como escudo. A ANPD aplicou sua primeira e única multa contra uma microempresa do interior. Fiscalização não seleciona por tamanho de CNPJ.

A boa notícia: a mesma infraestrutura que resolve a questão jurídica (captive portal com login, logs e consentimento) também transforma o Wi-Fi em canal de captura de clientes. Cada pessoa que se conecta vira um lead identificado na sua base, com nome, contato e momento exato de visita ao PDV. Se o Wi-Fi do seu estabelecimento ainda é custo sem retorno, veja como transformá-lo em canal de marketing com conformidade legal inclusa.

E quando o volume de leads capturados no Wi-Fi justificar follow-up automatizado, o WhatsApp Empresarial fecha o ciclo que o captive portal começa.

Escritório amplo com funcionários e rede tecnológica focando na responsabilidade legal do wi-fi para empresas e conformidade.
Responsabilidade Legal do Wi-Fi para Empresas: Guia Prático 6

Perguntas frequentes

Meu estabelecimento é responsável se um cliente cometer crime pelo Wi-Fi?

Se você mantém logs de identificação pelo prazo legal e adotou medidas de segurança razoáveis (VLAN, termos de uso, captive portal), tende a ser excluído da responsabilidade. Se o IP do seu CNPJ é rastreado e não existem registros de quem estava conectado, o ônus de provar inocência passa a ser seu.

Qual o prazo mínimo para guardar logs de acesso Wi-Fi?

O Marco Civil exige 1 ano para registros de conexão (art. 13) e 6 meses para registros de aplicação (art. 15). Na prática, retenha por 18 a 24 meses, considerando o prazo prescricional cível de 3 anos para ações de indenização.

A LGPD permite coletar CPF no login do Wi-Fi?

Sim, desde que exista finalidade específica informada ao titular e base legal adequada (consentimento ou cumprimento de obrigação legal, conforme art. 7º, I e II da LGPD, combinado com art. 13 do Marco Civil). Coletar CPF sem informar o motivo viola o princípio da transparência.

Quanto custa a multa da LGPD por problemas no Wi-Fi?

O teto legal é de R$ 50 milhões por infração ou 2% do faturamento. Até janeiro de 2026, a ANPD aplicou uma única multa efetiva: R$ 14.400. O risco reputacional e o custo de defesa jurídica costumam superar o valor nominal da multa.

Preciso de DPO para oferecer Wi-Fi?

Se o captive portal coleta dados pessoais (e-mail, CPF, telefone, login social), sim. O art. 41 da LGPD exige encarregado de dados em qualquer organização que trate dados pessoais. Essa é uma das infrações mais autuadas pela ANPD desde 2023.

Não. Senha única não identifica individualmente quem acessou a rede. Para fins do Marco Civil e da LGPD, equivale a rede aberta. Cada usuário precisa ser identificado via captive portal, voucher individual ou login social.


Leia também sobre GUIDE

Procurando algo específico?

Quer saber mais sobre nossas soluções?

Agende uma demonstração gratuita e veja como a DT Network pode ajudar seu negócio.

Agendar demonstração →