Marcos Legais Brasileiros: Marco Civil, LGPD e Lei do Terrorismo Marco Civil da Internet — Lei nº 12.965, de 23 de abril de 2014 1.1 Contexto histórico e natureza jurídica O Marco Civil da Internet foi aprovado em um contexto de forte mobilização social após as revelações de Edward Snowden (2013) sobre a vigilância massiva conduzida pela Agência de Segurança Nacional dos Estados Unidos, que incluíram a interceptação de comunicações da então Presidenta da República, Dilma Rousseff, e de órgãos como a Petrobras. A lei foi construída a partir de ampla consulta pública conduzida pelo Poder Executivo e tramitou no Congresso Nacional com intensa participação da sociedade civil, academia e setor empresarial. A Lei nº 12.965/2014 é considerada a “Constituição da Internet brasileira” . Trata-se de um diploma normativo de caráter principiológico, que estabelece os direitos e as garantias dos usuários, os deveres dos provedores de conexão e de aplicações, e as diretrizes para a atuação do poder público no ambiente digital. Sua natureza jurídica é de norma geral sobre o uso da internet no Brasil, conformando-se ao art. 22, IV, da Constituição Federal, que atribui à União competência privativa para legislar sobre telecomunicações. 1.2 Princípios (art. 3º) O art. 3º do Marco Civil elenca os princípios que regem o uso da internet no Brasil: “Art. 3º A disciplina do uso da internet no Brasil tem os seguintes princípios: I – garantia da liberdade de expressão, comunicação e manifestação do pensamento, nos termos da Constituição Federal; II – proteção da privacidade; III – proteção dos dados pessoais, na forma da lei; IV – preservação e garantia da neutralidade de rede; V – preservação da estabilidade, segurança e funcionalidade da rede, por meio de medidas técnicas compatíveis com os padrões internacionais e pelo estímulo ao uso de boas práticas; VI – responsabilização dos agentes de acordo com suas atividades, nos termos da lei; VII – preservação da natureza participativa da rede; VIII – liberdade dos modelos de negócios promovidos na internet, desde que não conflitem com os demais princípios estabelecidos nesta Lei.” É importante perceber a tensão interna entre esses princípios: a liberdade de expressão (inciso I) convive com a proteção da privacidade (inciso II) e com a neutralidade de rede (inciso IV). O legislador não estabeleceu uma hierarquia rígida entre eles, delegando ao intérprete — e, em última instância, ao Poder Judiciário — a tarefa de ponderá-los nos casos concretos. 1.3 Neutralidade de rede (art. 9º) A neutralidade de rede é um dos pilares mais inovadores e debatidos do Marco Civil. O art. 9º estabelece: “Art. 9º O responsável pela transmissão, comutação ou roteamento tem o dever de tratar de forma isonômica quaisquer pacotes de dados, sem distinção por conteúdo, origem e destino, serviço, terminal ou aplicação.” O §1º do mesmo artigo remete à regulamentação as exceções, que foram fixadas pelo Decreto nº 8.771, de 11 de maio de 2016, atualmente revogado e substituído pelo Decreto nº 12.573, de 2025. As exceções compreendem: Requisitos técnicos indispensáveis à prestação adequada dos serviços; Priorização de serviços de emergência (ex.: comunicação entre hospitais, forças de segurança). É vedado, em qualquer hipótese, que a discriminação de tráfego tenha finalidade comercial ou configure prática anticoncorrencial. O descumprimento do dever de neutralidade de rede sujeita o infrator às sanções previstas na regulamentação da Anatel. 1.4 Responsabilidade civil dos provedores (arts. 18 a 21) O regime de responsabilidade civil dos provedores de internet é uma das matérias mais cobradas em concursos. O Marco Civil distingue claramente duas categorias: Provedor de conexão (empresas que fornecem acesso à internet — operadoras de banda larga, provedores de acesso): nos termos do art. 18, não será responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros. Sua responsabilidade restringe‑se ao descumprimento de obrigações próprias da prestação do serviço (ex.: falha na conexão contratada). Provedor de aplicações (plataformas que organizam e disponibilizam conteúdo de terceiros — redes sociais, sites de hospedagem de vídeos, serviços de busca): o art. 19 estabelece que o provedor de aplicações somente poderá ser responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiro se, após ordem judicial específica, não tomar as providências para, no âmbito e nos limites técnicos do seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente. A única exceção a essa exigência de prévia ordem judicial está no art. 21, que trata da divulgação não autorizada de imagens, vídeos ou outros materiais contendo cenas de nudez ou de atos sexuais de caráter privado (“revenge porn”). Nesse caso, basta a notificação extrajudicial do ofendido para que o provedor seja obrigado a indisponibilizar o conteúdo, sob pena de responsabilização. 1.5 Guarda de registros (arts. 13 e 15) O Marco Civil impõe aos provedores a obrigação de armazenar registros de acesso por prazos determinados, sempre sob a proteção de sigilo e somente acessíveis mediante ordem judicial: Registros de conexão (IP, data e hora de início e término): devem ser guardados pelo prazo de 1 ano, pelo provedor de conexão (art. 13). Registros de acesso a aplicações (logs de navegação): devem ser guardados pelo prazo de 6 meses, pelo provedor de aplicação (art. 15). Esses prazos podem ser estendidos por ordem judicial ou por requerimento de autoridade policial, do Ministério Público ou de autoridade administrativa, nos termos da legislação. 1.6 Jurisprudência sobre a constitucionalidade do art. 19 — STF, RE 1.037.396/SP (Tema 987 de Repercussão Geral) O Supremo Tribunal Federal, no julgamento do RE 1.037.396/SP (Rel. Min. Dias Toffoli, Plenário, julgado em 26/06/2025, DJe de 05/11/2025), examinou a constitucionalidade do art. 19 do Marco Civil da Internet. A Corte declarou a inconstitucionalidade parcial do dispositivo, reconhecendo que a exigência de prévia ordem judicial como regra geral absoluta é insuficiente para proteger bens jurídicos de elevada relevância constitucional, como os direitos da personalidade de crianças e adolescentes, o combate à desinformação que ameace o processo eleitoral e o regime democrático, e a proteção contra discursos de ódio e atos antidemocráticos. A decisão determinou que, nesses casos, os provedores de aplicação podem ser responsabilizados independentemente de ordem judicial, desde que notificados e instados a remover o conteúdo ilícito, sob pena de responsabilidade civil. Este julgado é crucial para a prova porque demonstra que o Marco Civil não é uma “lei de pedra”: suas disposições podem ser reinterpretadas e moduladas pelo STF diante de novas ameaças ao Estado democrático de direito no ambiente digital. Lei Geral de Proteção de Dados (LGPD) — Lei nº 13.709, de 14 de agosto de 2018 2.1 Inspiração e fundamento constitucional A Lei Geral de Proteção de Dados Pessoais (LGPD) foi inspirada no Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR) , Regulamento (UE) 2016/679, e em leis nacionais de países como Alemanha e França. Sua aprovação foi acelerada pela combinação de dois fatores: a centralidade que o tema adquiriu após a entrada em vigor do GDPR, em maio de 2018, e a necessidade de estabelecer um marco legal robusto que oferecesse segurança jurídica às relações econômicas e garantisse a proteção dos dados pessoais dos cidadãos brasileiros. A Emenda Constitucional nº 115, de 10 de fevereiro de 2022, elevou a proteção de dados pessoais ao status de direito fundamental, inserindo o inciso LXXIX no art. 5º da Constituição Federal: “LXXIX – é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais.” Além disso, a mesma emenda acrescentou o inciso XXX ao art. 21 da CF/88, atribuindo à União a competência privativa para legislar sobre proteção de dados pessoais. 2.2 Vigência e período de adaptação A LGPD foi publicada em 15 de agosto de 2018, mas sua entrada em vigor foi escalonada: Os artigos relativos à criação da ANPD entraram em vigor em dezembro de 2018; A maior parte da lei entrou em vigor em setembro de 2020; As sanções administrativas entraram em vigor em 1º de agosto de 2021, por força da Lei nº 14.010, de 10 de junho de 2020, que adiou sua aplicação em razão da pandemia de COVID‑19. 2.3 Conceitos fundamentais (art. 5º) O art. 5º da LGPD traz um extenso glossário, cujos principais conceitos são: Dado pessoal: informação relacionada a pessoa natural identificada ou identificável (ex.: nome, CPF, endereço IP, dados de localização). Este é o conceito mais central e o mais cobrado em prova. Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. A diferença de regime entre dados comuns e sensíveis é enorme. Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Somente pessoas naturais (indivíduos) são titulares; pessoas jurídicas não gozam da proteção da LGPD. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. É o “dono” da decisão sobre o que fazer com os dados. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Atua sob as instruções do controlador e não toma decisões sobre a finalidade do tratamento. Encarregado (DPO — Data Protection Officer) : pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. É uma figura obrigatória para todos os controladores. Tratamento: toda operação realizada com dados pessoais, desde a coleta até a eliminação, incluindo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. É um conceito amplíssimo. 2.4 Os dez princípios (art. 6º) O art. 6º estabelece que as atividades de tratamento de dados pessoais devem observar a boa‑fé e os seguintes princípios: Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. É a pedra angular da LGPD: coleta‑se para uma finalidade, não se pode desviar para outra. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos (princípio da minimização de dados). Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais. Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados. Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos. Responsabilização e prestação de contas (accountability) : demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. 2.5 Bases legais para tratamento (arts. 7º e 11) A LGPD adota o modelo de condicionamento legal: todo tratamento de dados pessoais depende de uma base legal que o autorize. As dez bases legais para tratamento de dados pessoais comuns estão no art. 7º: Consentimento do titular; Cumprimento de obrigação legal ou regulatória pelo controlador; Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas; Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização; Execução de contrato ou de procedimentos preliminares a contrato do qual seja parte o titular; Exercício regular de direitos em processo judicial, administrativo ou arbitral; Proteção da vida ou da incolumidade física do titular ou de terceiro; Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; Legítimo interesse do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; Proteção do crédito. Para dados sensíveis (art. 11), o rol é mais restritivo e não admite a base do “legítimo interesse”. As hipóteses principais são: consentimento específico e destacado, para finalidades específicas; cumprimento de obrigação legal; tratamento compartilhado de dados necessários à execução de políticas públicas; estudos por órgão de pesquisa; exercício regular de direitos; proteção da vida; tutela da saúde; e prevenção à fraude e segurança do titular. 2.6 Direitos do titular (art. 18) O art. 18 elenca um extenso catálogo de direitos do titular dos dados, que inclui: Confirmação da existência de tratamento (inciso I); Acesso aos dados (inciso II); Correção de dados incompletos, inexatos ou desatualizados (inciso III); Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade (inciso IV); Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa (inciso V); Eliminação dos dados pessoais tratados com o consentimento do titular (inciso VI); Informação sobre entidades públicas e privadas com as quais o controlador realizou uso compartilhado (inciso VII); Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa (inciso VIII); Revogação do consentimento (inciso IX); Oposição a tratamento (inciso X); Revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses (inciso XI). 2.7 Tratamento pelo poder público (arts. 23 a 32) O tratamento de dados pessoais por órgãos e entidades públicas deve ser realizado para o atendimento de finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público. O art. 25 estabelece que os dados devem ser mantidos em formato interoperável e estruturado, para facilitar o compartilhamento e o acesso pelo cidadão, em consonância com o princípio do Governo Digital. O art. 26 permite o compartilhamento de dados entre órgãos públicos para a execução de políticas públicas. No entanto, o §1º veda a transferência desses dados a entidades privadas, salvo em casos de execução descentralizada de atividade pública (ex.: contrato de gestão com organização social) ou quando houver previsão legal específica. O art. 31 exige que, quando o tratamento puder gerar riscos às liberdades civis e aos direitos fundamentais, seja elaborado um Relatório de Impacto à Proteção de Dados Pessoais (RIPD) , contendo a descrição dos processos de tratamento e as medidas de mitigação de riscos. 2.8 ANPD — Autoridade Nacional de Proteção de Dados A ANPD foi criada pela Lei nº 13.853, de 8 de julho de 2019, que alterou a LGPD, inicialmente como órgão integrante da Presidência da República. Posteriormente, a Lei nº 14.460, de 25 de outubro de 2022, transformou‑a em autarquia de natureza especial, dotada de personalidade jurídica de direito público, autonomia administrativa, financeira e técnica. Com a reestruturação ministerial de 2023, promovida pela Lei nº 14.600/2023 e pelo Decreto nº 11.437/2023, a ANPD passou a integrar o Ministério da Gestão e da Inovação em Serviços Públicos (MGI) , desvinculando‑se do Ministério da Justiça. A ANPD possui competência para regulamentar, fiscalizar e sancionar. Nos termos do art. 52, as sanções administrativas incluem: Advertência; Multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; Multa diária; Publicização da infração; Bloqueio dos dados pessoais a que se refere a infração; Eliminação dos dados pessoais; Suspensão parcial ou total do funcionamento do banco de dados por até 6 meses, prorrogável; Proibição parcial ou total do exercício de atividades de tratamento de dados. 2.9 Jurisprudência — Constitucionalidade das sanções da LGPD (ADI 6.593) A ADI 6.593/DF, ajuizada pelo Conselho Federal da Ordem dos Advogados do Brasil, questionou a constitucionalidade do art. 4º da Lei nº 14.010/2020, que adiou para agosto de 2021 a aplicação das sanções administrativas da LGPD. O Relator, Ministro Gilmar Mendes, em decisão monocrática (dezembro de 2020), negou a medida cautelar, sob o fundamento de que o adiamento das sanções foi uma medida excepcional e transitória, justificada pela pandemia de COVID‑19, e que não representava violação ao princípio da proibição de retrocesso. A ação ainda não foi julgada em definitivo, mas a inexistência de liminar permitiu que as sanções entrassem em vigor conforme o cronograma previsto. A decisão é relevante por demonstrar que o STF chancelou a transição gradual e o período de adaptação concedido pelo legislador, reconhecendo a complexidade de implementação de um novo regime regulatório. Lei do Terrorismo — Lei nº 13.260, de 16 de março de 2016 3.1 Contexto e fundamento constitucional A Lei nº 13.260/2016 foi aprovada às vésperas dos Jogos Olímpicos do Rio de Janeiro (2016), em resposta a pressões internacionais e a uma lacuna legislativa que perdurava desde a promulgação da Constituição de 1988. O art. 5º, XLIII, da CF/88, desde a redação original, determinava que: “a lei considerará crimes inafiançáveis e insuscetíveis de graça ou anistia a prática da tortura, o tráfico ilícito de entorpecentes e drogas afins, o terrorismo e os definidos como crimes hediondos, por eles respondendo os mandantes, os executores e os que, podendo evitá‑los, se omitirem;” Apesar do mandamento constitucional expresso, o Brasil permaneceu por mais de 27 anos sem uma lei que tipificasse o crime de terrorismo. A Lei nº 13.260/2016 veio preencher esse vazio. 3.2 Tipificação (art. 2º) O art. 2º da Lei Antiterrorismo tipifica o crime nos seguintes termos: “Art. 2º O terrorismo consiste na prática por um ou mais indivíduos dos atos previstos neste artigo, por razões de xenofobia, discriminação ou preconceito de raça, cor, etnia e religião, quando cometidos com a finalidade de provocar terror social ou generalizado, expondo a perigo pessoa, patrimônio, a paz pública ou a incolumidade pública.” Os atos típicos estão listados no §1º do art. 2º e incluem: I – usar ou ameaçar usar, transportar, guardar, portar ou trazer consigo explosivos, gases tóxicos, venenos, conteúdos biológicos, químicos, nucleares ou outros meios capazes de causar danos ou promover destruição em massa; II – sabotar o funcionamento ou apoderar‑se, com violência, grave ameaça a pessoa ou servindo‑se de mecanismos cibernéticos, do controle total ou parcial, ainda que de modo temporário, de meio de comunicação ou de transporte, de portos, aeroportos, estações ferroviárias ou rodoviárias, hospitais, casas de saúde, escolas, estádios esportivos, instalações públicas ou locais onde funcionem serviços públicos essenciais, instalações de geração ou transmissão de energia, instalações militares, instalações de exploração, refino e processamento de petróleo e gás e instituições bancárias e sua rede de atendimento; III – atentar contra a vida ou a integridade física de pessoa; IV – sequestrar ou manter alguém em cárcere privado. A pena é de reclusão, de 12 a 30 anos, além das sanções correspondentes à ameaça ou à violência (art. 2º, caput, parte final). 3.3 Exclusão de movimentos sociais e manifestações políticas (art. 2º, §2º) Um dos pontos mais polêmicos da lei — e um dos mais cobrados em prova — é a cláusula de exclusão do art. 2º, §2º: “§ 2º O disposto neste artigo não se aplica à conduta individual ou coletiva de pessoas em manifestações políticas, movimentos sociais, sindicais, religiosos, de classe ou de categoria profissional, direcionados por propósitos sociais ou reivindicatórios, visando a contestar, criticar, protestar ou apoiar, com o objetivo de defender direitos, garantias e liberdades constitucionais, sem prejuízo da tipificação penal contida em lei.” Este dispositivo foi inserido para afastar o temor — manifestado por organizações de direitos humanos, movimentos sociais e centrais sindicais — de que a lei pudesse ser instrumentalizada para criminalizar protestos e movimentos populares. 3.4 Atos preparatórios e financiamento (arts. 5º e 6º) A lei inova ao punir atos preparatórios de terrorismo com pena de 1 a 4 anos de reclusão (art. 5º), desde que inequívocos e com a finalidade de praticar o crime consumado. Trata‑se de uma exceção ao princípio geral do Direito Penal brasileiro de que atos preparatórios não são puníveis (art. 14, II, do Código Penal). O financiamento ao terrorismo (art. 6º) é punido com reclusão de 15 a 30 anos, e o recrutamento para organização terrorista com reclusão de 5 a 8 anos. 3.5 Competência para julgamento A competência para processar e julgar crimes de terrorismo é da Justiça Federal (art. 109, IV e V, da CF/88). A investigação cabe à Polícia Federal, com o apoio da Agência Brasileira de Inteligência (ABIN) nas atividades de inteligência. O art. 11 da Lei nº 13.260/2016 dispõe que o crime de terrorismo é insuscetível de fiança, graça ou anistia, em cumprimento ao mandamento do art. 5º, XLIII, da Constituição Federal. 3.6 Jurisprudência — Competência para julgar terrorismo (STF, HC 89.099/PA) O Supremo Tribunal Federal, no julgamento do HC 89.099/PA (Rel. Min. Ellen Gracie, 2ª Turma, julgado em 03/10/2006, DJe de 01/02/2008), decidiu que compete à Justiça Federal processar e julgar crimes que, por sua natureza transnacional ou pela gravidade da ofensa, possam configurar terrorismo. O caso concreto envolvia um grupo acusado de planejar atentados contra instalações da Justiça Federal e de outros órgãos públicos, e o STF reconheceu a competência federal em razão da potencial afetação de bens, serviços e interesses da União (art. 109, IV, CF). Para a prova Marco Civil (Lei 12.965/2014) : princípios do art. 3º (liberdade de expressão, privacidade, neutralidade de rede, responsabilização). Neutralidade de rede (art. 9º): isonomia no tratamento de dados; exceções restritas. Responsabilidade civil (art. 19): provedor de aplicações só responde após descumprimento de ordem judicial específica; exceção do art. 21 (revenge porn). Guarda de logs: conexão = 1 ano; aplicação = 6 meses. STF, RE 1.037.396/SP (Tema 987, 2025) : declarou inconstitucionalidade parcial do art. 19; admite responsabilização sem ordem judicial em casos graves (crianças, eleições, discurso antidemocrático). LGPD (Lei 13.709/2018) : proteção de dados pessoais (direito fundamental — EC 115/2022). Dez princípios (art. 6º). Dez bases legais para dados comuns (art. 7º), incluindo consentimento, obrigação legal, políticas públicas, legítimo interesse; bases restritas para dados sensíveis (art. 11). Direitos do titular (art. 18): acesso, correção, portabilidade, eliminação, revisão de decisões automatizadas. ANPD: criada pela Lei 13.853/2019, transformada em autarquia de natureza especial pela Lei 14.460/2022, vinculada ao MGI desde 2023. Sanções: multa de até 2% do faturamento, limitada a R$ 50 milhões. ADI 6.593/DF : questionou o adiamento das sanções da LGPD; STF não concedeu liminar, permitindo a entrada em vigor. Lei do Terrorismo (Lei 13.260/2016) : tipificação no art. 2º (atos com finalidade de provocar terror social, por razões de xenofobia, discriminação ou preconceito); exclusão de movimentos sociais e manifestações (art. 2º, §2º). Penas de 12 a 30 anos; atos preparatórios e financiamento também punidos. Competência da Justiça Federal (art. 109, IV e V, CF). STF, HC 89.099/PA: reconheceu a competência federal para crimes com potencial lesivo a bens e interesses da União.