LGPD do Brasil e WiFi para Visitantes: Um Guia de Conformidade

LGPD do Brasil e WiFi para Visitantes: Um Guia de Conformidade. Um Informativo de Inteligência Purple. Bem-vindo ao Informativo de Inteligência Purple. Eu sou seu anfitrião e hoje estamos abordando algo que todo gerente de TI, arquiteto de rede e oficial de conformidade que opera no Brasil precisa acertar: a Lei Geral de Proteção de Dados — a LGPD — e especificamente o que ela significa para suas implantações de WiFi para visitantes. Se você já está em conformidade com o GDPR em suas operações europeias, pode presumir que o Brasil é uma extensão direta desse trabalho. E você estaria parcialmente certo — mas apenas parcialmente. A LGPD tem algumas diferenças significativas que vão pegar de surpresa as multinacionais que simplesmente copiam e colam sua postura de conformidade da UE. E com a ANPD — a autoridade de proteção de dados do Brasil — amadurecendo constantemente sua capacidade de fiscalização, a janela para uma abordagem casual está se fechando rapidamente. Então, vamos ao que interessa. Vamos cobrir a estrutura legal, as bases legais que realmente se aplicam aos cadastros de WiFi, como a ANPD se compara a reguladores como o ICO e a CNIL, e como seu Captive Portal precisa ser para mantê-lo do lado certo da lei. Vamos começar com o básico. A LGPD — Lei Número 13.709 — entrou em vigor em agosto de 2020, com as sanções administrativas passando a valer a partir de agosto de 2021. Ela foi modelada de perto com base no GDPR, o que significa que se você entende um, tem uma base sólida para o outro. Mas o diabo está nos detalhes. No momento em que um visitante se conecta à sua rede WiFi, você está coletando dados pessoais. Endereços MAC, endereços IP, carimbos de data/hora de conexão, duração da sessão — tudo isso se enquadra perfeitamente na definição de dados pessoais da LGPD. Adicione um formulário de registro de Captive Portal coletando nomes, endereços de e-mail ou números de telefone, e você entrou firmemente em um território que exige uma base legal clara para o processamento. A LGPD fornece dez bases legais no Artigo 7º. Para WiFi de visitantes, três são particularmente relevantes. Primeiro, o consentimento — Artigo 7º, inciso primeiro. Esta é a base mais direta: o visitante concorda ativamente com seu aviso de privacidade e marca uma caixa de consentimento antes de se conectar. O consentimento deve ser livre, informado, inequívoco e específico para a finalidade. Você não pode vincular o consentimento de marketing com o consentimento básico de conectividade — essas precisam ser caixas de seleção separadas. Segundo, a execução de contrato — Artigo 7º, inciso quinto. Isso se aplica quando a conectividade WiFi faz parte de um serviço contratado. Um hóspede de hotel que reservou um quarto que inclui acesso WiFi pode ter seus dados de conexão processados sob essa base, porque é necessário para entregar o serviço que ele contratou. Esta é uma base mais limpa para operadores de hospitalidade do que o consentimento, porque não exige uma marcação ativa — é inerente à relação de serviço. Terceiro, legítimo interesse — Artigo 7º, inciso nono. Esta é a base mais flexível, mas também a mais exposta juridicamente. Você precisa realizar e documentar uma avaliação de legítimo interesse — um teste de proporcionalidade — demonstrando que seus interesses não se sobrepõem aos direitos fundamentais do titular dos dados. Para o registro básico de segurança de rede, isso geralmente é defensável. Para análises comportamentais ou perfil de marketing, torna-se muito mais difícil de justificar. Agora, aqui está algo que pega muitos operadores de surpresa: o Marco Civil da Internet. Esta é a estrutura de direitos civis da internet no Brasil — Lei 12.965 de 2014 — e ela coexiste com a LGPD, em vez de ser substituída por ela. Sob o Artigo 13 do Marco Civil, os provedores de conexão à internet devem reter os logs de conexão por um período mínimo de um ano. Se o seu estabelecimento fornece acesso à internet ao público, você pode muito bem se enquadrar nessa definição. Isso significa que sua política de retenção de dados não pode simplesmente dizer que excluímos tudo após 30 dias — você tem a obrigação legal de reter os logs de conexão por doze meses, independentemente do que o seu aviso de privacidade da LGPD diga sobre a minimização de dados. Vamos falar sobre a ANPD — a Autoridade Nacional de Proteção de Dados. Ela foi estabelecida pela própria LGPD e opera como uma autoridade federal especial vinculada ao Ministério da Justiça. Seu mandato abrange supervisão, orientação e fiscalização. Como ela se compara ao ICO no Reino Unido ou à CNIL na França? A resposta honesta é que a ANPD ainda está amadurecendo. O ICO emitiu multas na casa das dezenas de milhões — a British Airways recebeu uma penalidade de vinte milhões de libras, a Marriott de dezoito vírgula quatro milhões. A CNIL multou o Google em cento e cinquenta milhões de euros e o Facebook em sessenta milhões. A primeira multa da ANPD, emitida em julho de 2023, foi de um total de quatorze mil e quatrocentos reais — cerca de três mil dólares americanos — contra uma pequena empresa de telemarketing. Em 2024, suas ações de fiscalização foram todas contra entidades do setor público e resultaram em advertências em vez de penalidades financeiras. Mas não deixe que isso o leve à complacência. A trajetória de fiscalização da ANPD é claramente ascendente. Em julho de 2024, emitiu uma medida preventiva contra a Meta, ordenando a suspensão imediata da política de dados de treinamento de IA da Meta. Em dezembro de 2024, tomou medidas contra a X Corp devido a dados de crianças. A agenda regulatória da ANPD para 2025 e 2026 prioriza explicitamente a IA e o reconhecimento facial — o que é diretamente relevante para qualquer local que implante autenticação biométrica para acesso WiFi. A penalidade máxima sob a LGPD é de dois por cento do faturamento anual de uma empresa no Brasil, limitada a cinquenta milhões de reais por infração — aproximadamente nove milhões de euros nas taxas de câmbio atuais. Isso é significativamente menor do que os quatro por cento do faturamento global do GDPR, mas é calculado apenas sobre o faturamento brasileiro. Para uma multinacional com operações substanciais no Brasil, a exposição ainda é relevante. Uma diferença crítica em relação ao GDPR: a LGPD exige um Encarregado de Proteção de Dados para todos os controladores de dados, sem exceção. Sob o GDPR, um DPO só é obrigatório em circunstâncias específicas. Sob a LGPD, se você está processando dados pessoais no Brasil, precisa de um. A Resolução 18 da ANPD, publicada em julho de 2024, estabelece as responsabilidades detalhadas e as qualificações exigidas. Os detalhes de contato do DPO devem ser divulgados publicamente — normalmente em seu site. Os direitos dos titulares de dados sob a LGPD são nove, em comparação com os oito do GDPR. As diferenças práticas para os operadores de WiFi são duas. Primeiro, você tem quinze dias para responder a uma solicitação de acesso do titular dos dados — metade do prazo de trinta dias do GDPR. Se você gerencia uma grande rede de estabelecimentos com milhares de conexões diárias, seus processos de recuperação de dados e resposta precisam ser operacionalmente capazes de atender a esse prazo mais curto. Segundo, a LGPD inclui um direito explícito de solicitar a anonimização dos dados, não apenas a exclusão. Sua plataforma precisa suportar ambas as respostas. Então, como é uma implantação em conformidade na prática? Deixe-me orientá-lo sobre os principais requisitos de implementação. Seu Captive Portal deve exibir um aviso de privacidade em português — português do Brasil, não português de Portugal. O aviso deve identificar o controlador de dados, declarar a base legal para o processamento, especificar as finalidades para as quais os dados serão usados, identificar quaisquer terceiros com quem os dados serão compartilhados e fornecer os detalhes de contato do DPO. Isso não é negociável. As caixas de seleção de consentimento devem estar desmarcadas por padrão. Caixas pré-marcadas não constituem consentimento válido sob a LGPD, assim como não constituem sob o GDPR. O consentimento de marketing deve ser separado do consentimento de conectividade — você não pode bloquear o acesso à internet exigindo que o visitante concorde em receber e-mails promocionais. Sobre a minimização de dados: colete apenas o que você realmente precisa. Se você está implantando WiFi para visitantes puramente para conectividade, não precisa de data de nascimento ou endereço residencial. Se você está executando um programa de fidelidade por meio de sua plataforma WiFi, precisa justificar cada campo de dados adicional em relação à finalidade declarada. Para retenção de dados, documente sua política explicitamente. Logs de conexão: mínimo de um ano sob o Marco Civil. Dados de marketing: reter apenas pelo tempo necessário para a finalidade declarada e excluir mediante a retirada do consentimento. Sua plataforma de análise de WiFi deve suportar cronogramas de retenção automatizados e fluxos de trabalho de exclusão. O maior erro que vejo na prática é o problema da venda casada de consentimento. Os operadores criam uma única tela de consentimento que abrange conectividade, análise e marketing em uma única caixa de seleção. Isso não está em conformidade tanto sob a LGPD quanto sob o GDPR. Separe os consentimentos. Sim, isso adiciona atrito. Mas a alternativa é uma ação de fiscalização que custará muito mais caro. O segundo grande erro é ignorar o Marco Civil. Os operadores que se concentram inteiramente na conformidade com a LGPD e se esquecem da obrigação de retenção de logs de conexão por um ano sob o Marco Civil criam um tipo diferente de exposição legal. Estes são dois instrumentos legais separados e ambos se aplicam. Terceiro erro: falhar na implementação de um fluxo de trabalho de direitos dos titulares de dados. Não basta ter um aviso de privacidade que diz entre em contato conosco para exercer seus direitos. Você precisa de um processo operacional — um endereço de e-mail dedicado ou formulário web, um fluxo de trabalho interno documentado e a capacidade técnica para recuperar, corrigir, exportar ou excluir os dados de um indivíduo específico em até quinze dias. Deixe-me passar por algumas perguntas rápidas que ouço regularmente dos clientes. Precisamos de um DPO se tivermos apenas um estabelecimento no Brasil? Sim. A LGPD se aplica a todos os controladores de dados que processam dados pessoais no Brasil, independentemente da escala. Podemos usar o legítimo interesse como nossa base para análise de WiFi? Potencialmente, mas você precisa de uma avaliação de legítimo interesse documentada. Para segurança de rede básica e análise operacional, é defensável. Para perfil de marketing comportamental, é muito mais difícil de justificar. E quanto à autenticação biométrica — reconhecimento facial no portal WiFi? Esses são dados sensíveis sob a LGPD. Você precisa de consentimento explícito e precisa ser muito cuidadoso sobre como os armazena e processa. A ANPD tem isso diretamente em sua mira para a fiscalização de 2025 a 2026. Estamos em conformidade com o GDPR — isso nos cobre para a LGPD? Em grande parte sim, mas não totalmente. O prazo mais curto para resposta a solicitações de acesso dos titulares de dados, a exigência obrigatória de DPO, a obrigação de retenção do Marco Civil e a exigência de aviso em língua portuguesa são áreas onde a conformidade com o GDPR por si só não será suficiente. Para resumir: a LGPD é uma estrutura de proteção de dados madura, inspirada no GDPR, com algumas características importantes específicas do Brasil. Para operadores de WiFi para visitantes, as principais ações são estas. Audite seu Captive Portal: seu aviso de privacidade está em português brasileiro, ele declara a base legal, suas caixas de seleção de consentimento estão separadas e desmarcadas por padrão? Indique um DPO e publique seus detalhes de contato. Isso é obrigatório para todos os controladores. Verifique sua política de retenção de dados em relação à exigência de um ano de log de conexão do Marco Civil. Crie um fluxo de trabalho de direitos dos titulares de dados capaz de responder em até quinze dias. E se você estiver implantando qualquer forma de autenticação biométrica ou análise avançada, faça um Relatório de Impacto à Proteção de Dados antes de entrar no ar. A plataforma de WiFi para visitantes da Purple foi desenvolvida com esses requisitos de conformidade em mente — fluxos de consentimento configuráveis, cronogramas de retenção automatizados e ferramentas de direitos dos titulares de dados que funcionam tanto nas jurisdições do GDPR quanto da LGPD. Se você está implantando no Brasil e quer discutir sua arquitetura de conformidade específica, entre em contato com a equipe da Purple. Isso é tudo para o informativo de hoje. Obrigado por ouvir e nos vemos na próxima.