Pular para o conteúdo principal

Web Scraping é Legal? O Que Dizem as Leis do Brasil, EUA e UE (2026)

HT

Hinata Tomoda

Engenheiro web e analista independente

17 min de leitura

Web scraping não é ilegal por si só: no Brasil, nos EUA e na UE, coletar dados públicos e não pessoais é, em geral, lícito. O risco aparece com dados pessoais, conteúdo protegido, login ou termos exigíveis — num projeto de coleta, o que eu olharia primeiro é o que você coleta, como acessa e onde estão os titulares.

Principais conclusões

  • Nenhuma lei no Brasil, nos EUA ou na UE proíbe o web scraping como atividade; os tribunais o avaliam sob leis existentes, como LGPD, CFAA, direito contratual, direitos autorais e proteção de dados.
  • O litígio hiQ v. LinkedIn estabeleceu que raspar dados publicamente acessíveis provavelmente não viola a CFAA, mas a hiQ ainda assim perdeu na frente contratual e fez acordo.
  • Sob o GDPR e a LGPD, dado pessoal visível publicamente continua sendo dado pessoal: é preciso base legal, transparência e minimização para raspá-lo.
  • A Diretiva DSM da UE (2019/790) criou exceções de mineração de textos e dados, mas o artigo 4 permite que titulares de direitos optem por sair em formato legível por máquina.
  • No Brasil, a ANPD já afirmou que a raspagem de dados é tratamento sujeito à LGPD e colocou o tema no topo de sua agenda de fiscalização para 2025-2026.
  • Dados públicos, não pessoais e sem barreira de acesso, coletados em ritmo razoável para fins legítimos, formam a zona de baixo risco; logins, paywalls e dados pessoais são os fios de disparo.

Antes de tudo: isto não é aconselhamento jurídico

Escrevo este guia como engenheiro de software, não como advogado: é uma visão geral educativa e não cria qualquer relação advogado-cliente. O direito do web scraping é instável, específico de cada jurisdição e de cada caso concreto. Se o seu negócio depende de dados raspados, contrate advogados habilitados em todas as jurisdições onde você opera e onde estão os sites-alvo e os titulares dos dados. O que segue resume fontes primárias e as principais decisões judiciais até julho de 2026.

Também vale declarar nossa posição de compliance desde já: o ProxyFacts cobre scraping apenas para fins legítimos, como monitoramento de preços, acompanhamento de SEO, verificação de anúncios, pesquisa de mercado e coleta de dados para treinamento de IA. Não publicamos orientações sobre burlar logins ou paywalls, scalping, criação de contas ou coleta massiva de dados pessoais.

A resposta curta: scraping é um método, não um crime

Não existe lei no Brasil, nos Estados Unidos, na União Europeia ou no Reino Unido que diga “web scraping é ilegal”. Scraping é simplesmente a recuperação automatizada de páginas web, as mesmas requisições HTTP que um navegador faz, emitidas por um programa em vez de uma pessoa. Mecanismos de busca, comparadores de preços, pesquisadores acadêmicos e projetos de arquivamento dependem dele.

O que a lei regula não é o método, mas os fatos ao redor:

  1. Acesso — você pegou dados que o site tornou públicos ou passou por uma barreira técnica ou de autenticação?
  2. Conteúdo — o dado é factual e não pessoal, ou é obra protegida por direitos autorais, base de dados protegida ou dado pessoal?
  3. Contrato — você concordou afirmativamente com termos que proíbem scraping, por exemplo ao criar uma conta?
  4. Conduta — seu crawler se comportou de forma razoável ou degradou o serviço alvo?

Toda grande disputa de scraping da última década gira em torno de uma ou mais dessas quatro perguntas.

A legislação de web scraping nos Estados Unidos

A CFAA: a questão do acesso “sem autorização”

A principal lei federal invocada contra scrapers é o Computer Fraud and Abuse Act de 1986, codificado no 18 U.S.C. Section 1030. Ele pune o acesso a um computador “sem autorização” ou “excedendo o acesso autorizado”. Por anos, autores de ações argumentaram que raspar um site contra a vontade dele, por exemplo após uma notificação extrajudicial, era acesso não autorizado.

Duas decisões estreitaram essa teoria. Em Van Buren v. United States (2021), a Suprema Corte adotou o que chamou de leitura “gates-up-or-down” (portões abertos ou fechados): a CFAA mira quem contorna portões que não tem direito de atravessar, não quem faz mau uso de informações que podia alcançar. O caso envolvia um policial que abusou do acesso a um banco de dados, não scraping, mas sua lógica remodelou a análise do tema.

O arco de hiQ v. LinkedIn

O caso definidor do scraping é hiQ Labs v. LinkedIn. A cronologia importa, porque as pessoas costumam citar só uma etapa dele:

EtapaO que aconteceu
2017O tribunal distrital concedeu à hiQ uma liminar, ordenando que o LinkedIn parasse de bloquear a raspagem de perfis públicos pela hiQ
2019O Nono Circuito confirmou: raspar dados publicamente acessíveis provavelmente não viola a CFAA
2021A Suprema Corte anulou e devolveu o caso para reanálise à luz de Van Buren
2022O Nono Circuito reafirmou seu entendimento na devolução: o conceito de acesso “sem autorização” da CFAA não se aplica a sites públicos sem portão de autenticação
Final de 2022No mérito, o tribunal distrital concluiu que a hiQ havia violado o User Agreement do LinkedIn; as partes fizeram acordo com sentença homologada contra a hiQ

A lição tem dois gumes. Raspar dados que qualquer navegador vê sem login muito provavelmente está fora da CFAA no Nono Circuito. Mas a hiQ ainda assim perdeu a guerra: as alegações contratuais sobreviveram, e a hiQ concordou em parar de raspar o LinkedIn. “Não é crime federal de hacking” e “juridicamente seguro” são coisas diferentes.

O mesmo padrão continuou em Meta Platforms v. Bright Data (No. 3:23-cv-00077, N.D. Cal.). Em janeiro de 2024, o tribunal distrital julgou sumariamente a favor do provedor de proxies Bright Data nas alegações contratuais da Meta, entendendo que raspar páginas públicas do Facebook e do Instagram deslogado não estava vinculado a termos que se aplicam a titulares de contas logados. A Meta depois desistiu do caso. De novo, a linha divisória foi a autenticação: acesso deslogado a páginas públicas fica do lado mais seguro dela.

Contrato, direitos autorais e outras teorias nos EUA

Mesmo onde a CFAA não se aplica, scrapers nos EUA enfrentam:

  • Quebra de contrato. Termos browsewrap (um link no rodapé) têm exigibilidade fraca; termos clickwrap (você clicou em “eu concordo”, tipicamente ao criar a conta) têm exigibilidade forte. Raspar logado em uma conta que você criou é a configuração de maior risco contratual — ao avaliar um alvo novo, a primeira coisa que eu verificaria é se existe uma conta em qualquer ponto do fluxo.
  • Direitos autorais. Fatos e dados brutos não são protegidos por copyright nos EUA desde Feist Publications v. Rural Telephone (1991), mas a expressão criativa é: resenhas, artigos, fotografias e compilações curadas. Copiar preços é diferente de republicar descrições de produtos.
  • Trespass to chattels e enriquecimento sem causa. Ações estaduais ocasionalmente têm êxito quando o scraping sobrecarrega mensuravelmente os servidores do alvo, mais um motivo para aplicar rate limiting agressivo.

A legislação de web scraping na União Europeia

GDPR: dado pessoal é o maior fio de disparo

O Regulamento Geral de Proteção de Dados (UE) 2016/679 se aplica sempre que o dado raspado se refere a uma pessoa identificável: nomes, nomes de usuário, fotos, empregador, localização e, em muitos casos, combinações de campos aparentemente inócuos. Três pontos surpreendem iniciantes com frequência:

  1. Público não significa livre para tratar. O GDPR não contém isenção para dados publicamente disponíveis. Raspar um perfil público ainda é “tratamento” que precisa de base legal sob o artigo 6, na prática normalmente uma avaliação documentada de legítimo interesse.
  2. As obrigações de transparência alcançam scrapers. O artigo 14 exige informar as pessoas de que você obteve seus dados indiretamente, em até um mês, salvo exceção aplicável. A autoridade de proteção de dados da Polônia aplicou uma das primeiras multas do GDPR contra uma empresa que raspou dados públicos de registros empresariais e não notificou os indivíduos envolvidos.
  3. O alcance territorial é amplo. Sob o artigo 3, o GDPR pode se aplicar a um scraper americano ou asiático sem escritório na UE se ele monitora ou mira pessoas na UE. As multas podem chegar a 20 milhões de euros ou 4 por cento do faturamento anual global sob o artigo 83.

As autoridades de proteção de dados também agiram coletivamente: desde 2023, declarações conjuntas de reguladores, incluindo o ICO britânico e o OPC canadense, alertam que a raspagem massiva de dados pessoais de plataformas sociais pode configurar incidente de segurança reportável para a plataforma e tratamento ilícito pelo scraper. Se o seu projeto toca dados pessoais, eu trataria a conformidade com o GDPR como requisito de arquitetura, não como detalhe posterior: decidir quais campos nunca entram no banco custa horas; expurgá-los de um sistema em produção custa semanas.

A Diretiva DSM: as exceções europeias de mineração de textos e dados

A Diretiva sobre Direitos de Autor no Mercado Único Digital (UE) 2019/790 criou duas exceções de direitos autorais diretamente relevantes para scraping:

  • O artigo 3 permite a mineração de textos e dados (TDM) para pesquisa científica por organizações de pesquisa e instituições de patrimônio cultural, e os titulares de direitos não podem afastá-la por contrato.
  • O artigo 4 permite TDM por qualquer um, inclusive atores comerciais, a menos que o titular tenha reservado expressamente esses direitos “de maneira adequada”, o que para conteúdo online significa formato legível por máquina. Diretivas de robots.txt e padrões emergentes de opt-out são as implementações comuns.

O artigo 4 virou a espinha dorsal jurídica da coleta comercial de dados para treinamento de IA na Europa, e o mecanismo de opt-out é o motivo pelo qual respeitar sinais legíveis por máquina é mais do que etiqueta por lá: raspar conteúdo protegido que optou por sair, para fins de TDM, perde a exceção.

Direitos sobre bases de dados e termos de uso na UE

A UE ainda protege bases de dados de duas formas extras. A Diretiva de Bases de Dados 96/9/CE concede um direito sui generis contra a extração ou reutilização de parte substancial de uma base que exigiu investimento substancial para ser construída, sem equivalente nos EUA. E em Ryanair v. PR Aviation (C-30/14), o Tribunal de Justiça da UE decidiu que, quando uma base de dados não é protegida pela diretiva, o dono do site pode restringir o scraping contratualmente pelos seus termos de uso. Em outras palavras, na UE tanto o direito de base de dados quanto o contrato podem morder, então nem “são só fatos” nem “a base não é protegida” é uma defesa completa.

A legislação de web scraping no Brasil

O Brasil não tem uma lei anti-scraping, mas tem três diplomas que qualquer operação de coleta voltada a sites ou usuários brasileiros precisa conhecer: a LGPD, o Marco Civil da Internet e a Lei de Direitos Autorais. Análises de escritórios brasileiros, como a coluna Os desafios jurídicos do web scraping, no Migalhas e o artigo do Souto Correa Advogados sobre raspagem de dados sob a LGPD e o RGPD, convergem na mesma conclusão dos tribunais americanos e europeus: a questão não é proibir a atividade, e sim adequá-la às normas aplicáveis.

LGPD: dado público continua sendo dado pessoal

A Lei Geral de Proteção de Dados (Lei 13.709/2018) segue a mesma lógica do GDPR, que a inspirou. A ANPD, no Radar Tecnológico nº 3, sobre IA generativa, publicado em novembro de 2024, tratou expressamente a raspagem de dados da web como forma de tratamento de dados pessoais e, portanto, sujeita à LGPD. Quatro pontos práticos:

  1. Dados tornados manifestamente públicos pelo titular dispensam o consentimento, mas nada além dele. O art. 7º, § 4º, da LGPD dispensa o consentimento nesses casos, e o § 3º manda que o tratamento de dados de acesso público considere a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização. Princípios de finalidade, necessidade e transparência, e os direitos dos titulares, continuam valendo integralmente.
  2. A base legal usual é o legítimo interesse. Assim como na Europa, raspar dados pessoais em escala normalmente se apoia no legítimo interesse (art. 7º, IX, e art. 10), o que exige uma avaliação documentada de balanceamento, como destacam análises como a do Assis e Mendes Advogados sobre web scraping e LGPD.
  3. O alcance territorial é amplo. Pelo art. 3º, a LGPD se aplica quando o tratamento ocorre no Brasil, quando os dados foram coletados no Brasil ou quando a operação visa ofertar bens ou serviços a pessoas no território nacional. Um scraper sem sede no Brasil pode estar sujeito à lei.
  4. As sanções são reais. O art. 52 prevê multa de até 2 por cento do faturamento da empresa no Brasil, limitada a R$ 50 milhões por infração, além de bloqueio e eliminação dos dados. A raspagem de dados entrou na Agenda Regulatória da ANPD para 2025-2026, com ações de fiscalização planejadas sobre o tema, como resume a análise da Grant Thornton Brasil.

Marco Civil da Internet e o crime de invasão de dispositivo

O Marco Civil da Internet (Lei 12.965/2014) não proíbe scraping, mas estabelece a moldura: a proteção da privacidade e dos dados pessoais são princípios do uso da internet no Brasil (art. 3º), os usuários têm direito à inviolabilidade da vida privada e a informações claras sobre a coleta de seus dados (art. 7º), e as regras de guarda e tratamento se aplicam a qualquer operação de coleta que ocorra em território nacional (art. 11).

No plano criminal, o análogo brasileiro mais próximo da CFAA é o art. 154-A do Código Penal, criado pela Lei 12.737/2012, a chamada Lei Carolina Dieckmann, com penas ampliadas pela Lei 14.155/2021. O tipo penal exige invadir dispositivo informático alheio mediante violação indevida de mecanismo de segurança. A consequência prática espelha o raciocínio gates-up-or-down americano: raspar páginas públicas, sem burlar autenticação, paywall ou barreiras técnicas, não se encaixa no tipo; contornar um mecanismo de segurança para acessar dados protegidos pode se encaixar. Mais uma vez, a fronteira entre público e protegido por acesso é a linha mais brilhante.

Lei 9.610/98: fatos são livres, bases de dados criativas são protegidas

A Lei de Direitos Autorais (Lei 9.610/98) protege, no art. 7º, XIII, as coletâneas e bases de dados que, pela seleção, organização ou disposição de seu conteúdo, constituam criação intelectual, e o art. 87 dá ao titular direitos exclusivos sobre essa estrutura. Já o art. 8º exclui da proteção as ideias, os procedimentos e as informações de uso comum: fatos isolados, como preços, disponibilidade e especificações, não têm dono.

Duas diferenças em relação à Europa importam para quem raspa:

  • O Brasil não tem direito sui generis sobre bases de dados. Diferentemente da UE, o mero investimento em compilar dados não gera proteção; é preciso criatividade na seleção ou organização, uma lógica mais próxima do padrão Feist americano. Extrair preços públicos do Mercado Livre, da Amazon.com.br ou da Magalu para monitoramento é coleta de fatos; republicar as descrições, fotos e resenhas desses anúncios é reprodução de expressão protegida. Num pipeline de monitoramento de preços que eu desenhasse, o parser guardaria preço, disponibilidade e timestamp e descartaria o resto na origem, por construção.
  • O Brasil ainda não tem exceção expressa de mineração de textos e dados. Não existe equivalente ao artigo 4 da Diretiva DSM; uma exceção de TDM vem sendo debatida no Congresso no contexto do projeto de lei de regulação da IA (PL 2338/2023), ainda em tramitação quando este artigo foi publicado. Até lá, a mineração de conteúdo protegido no Brasil se apoia nas limitações gerais da Lei 9.610/98, que são mais estreitas.

Como nos EUA e na UE, quem raspa no Brasil também pode responder civilmente por quebra de contrato, concorrência desleal ou enriquecimento sem causa, dependendo dos fatos, então as quatro perguntas universais da próxima seção valem integralmente por aqui.

Princípios universais que se aplicam em quase todo lugar

As jurisdições diferem, mas quatro perguntas preveem o risco do scraping em quase todas elas.

FatorRisco menorRisco maior
AcessoPáginas públicas, sem login, sem paywallAtrás de autenticação, paywalls ou bloqueios técnicos direcionados especificamente a você
Tipo de dadoPreços, disponibilidade, especificações, rankings, estatísticas agregadasDados pessoais, obras criativas completas, bases de dados protegidas inteiras
AcordoSem conta, apenas browsewrap, acesso deslogadoTermos clickwrap que você aceitou, scraping enquanto logado
CondutaRate limiting, cache, horários de baixa demanda, crawler identificadoAlto volume de requisições que degrada o serviço alvo

Visão do engenheiro (Hinata): o erro que eu mais esperaria encontrar não está nesta tabela, e sim em tratá-la como avaliação única, feita no kickoff e nunca revisitada. Alvos mudam: um site público ganha login, um campo novo no parser começa a capturar nomes de vendedores, e o seu pipeline de fatos vira tratamento de dados pessoais sem que ninguém tenha decidido isso. Se eu fosse operar um coletor assim, amarraria a reavaliação jurídica a toda mudança de alvo ou de schema, do mesmo jeito que se amarra um teste de regressão a uma mudança de código. E, das quatro linhas, a que engenheiros mais subestimam é a do acordo: acesso e conduta aparecem nos logs, mas exposição contratual não aparece em lugar nenhum do código — foi ela que derrubou a hiQ.

Três corolários práticos:

  • Público versus protegido por acesso é a linha mais brilhante. Os desfechos de hiQ e Bright Data giraram em torno dela, a análise da CFAA efetivamente começa aí, e o art. 154-A do Código Penal brasileiro segue a mesma lógica. Qualquer coisa atrás de login é outro universo jurídico; este site não publica técnicas para isso.
  • Dado pessoal muda tudo. No momento em que os registros raspados identificam pessoas, o GDPR, a LGPD e as leis no estilo CCPA nos EUA impõem obrigações, independentemente de quão pública era a fonte.
  • O direito autoral segue a expressão, não o esforço. Extrair pontos de dados factuais é, em geral, mais seguro do que reproduzir o texto, as imagens ou a estrutura curada ao redor deles, e na UE o direito de base de dados adiciona uma camada separada.

Como é o scraping em conformidade na prática

Equipes que raspam em escala para fins legítimos, como monitoramento de preços ou acompanhamento de rankings de SEO, tendem a convergir para as mesmas regras operacionais:

  1. Raspe apenas páginas publicamente acessíveis; nunca se autentique e nunca burle paywalls ou controles técnicos de acesso.
  2. Prefira APIs oficiais ou feeds de dados licenciados quando existirem e cobrirem sua necessidade.
  3. Respeite o robots.txt e os opt-outs de TDM legíveis por máquina, especialmente para conteúdo relevante para a UE.
  4. Minimize: colete os campos de que precisa, não páginas inteiras, e exclua dados pessoais a menos que tenha concluído uma análise documentada de GDPR e LGPD.
  5. Aplique rate limiting e agende os crawls para que seu tráfego seja insignificante em relação à carga normal do alvo.
  6. Mantenha registros: o que você coleta, de onde, sob qual análise jurídica e quem aprovou.
  7. Leve notificações extrajudiciais a sério; continuar após revogação explícita converte uma zona cinzenta em uma disputa documentada.

Para o lado técnico de rodar crawlers educados e confiáveis, veja nosso guia sobre como fazer scraping sem ser bloqueado; para a visão completa de como montar um pipeline de coleta, comece pelo guia completo de web scraping.

Por que os provedores de proxy agora verificam seus clientes

A camada de infraestrutura internalizou esse cenário jurídico. Os grandes provedores de proxies residenciais não vendem mais anonimamente para qualquer um com cartão de crédito, e seus programas de compliance publicados são um sinal útil na hora de escolher um provedor:

  • A Bright Data limita o acesso à rede residencial a empresas verificadas que passam por um processo de KYC com revisão humana, incluindo verificação de e-mail corporativo, descrição do caso de uso e, potencialmente, uma chamada de apresentação e documento de identidade oficial, segundo sua política de KYC publicada.
  • A Oxylabs exige que todo cliente preencha um formulário de KYC no cadastro, aplica escalonamento baseado em risco, como verificação de identidade e chamadas de compliance, e é membro da Ethical Web Data Collection Initiative, conforme sua política de KYC e segurança.
  • A Decodo (antiga Smartproxy) roda verificações automatizadas de fraude e KYC em todo registro e bloqueia ativamente alvos de alto risco, como bancos, portais governamentais e sites de ingressos, de acordo com sua documentação de segurança e compliance.
  • A IPRoyal conduz o KYC por meio do verificador terceirizado iDenfy; ele é obrigatório para proxies residenciais estáticos, e contas não verificadas permanecem parcialmente restritas, conforme sua política de KYC.

A consequência prática: se o seu caso de uso não sobrevive ao questionário de KYC de um fornecedor, esse é um forte sinal de que também não sobreviveria ao escrutínio de um tribunal. Entender o que é um proxy residencial e como essas redes obtêm seus IPs faz parte da mesma diligência.

Conclusão

Web scraping é legal por padrão e ilícito pelas circunstâncias. Nos EUA, o arco hiQ v. LinkedIn e Van Buren afastaram a CFAA do scraping de dados públicos, enquanto as frentes contratual e autoral seguem totalmente vivas. Na UE, o GDPR governa qualquer dado pessoal que você toque, e a exceção de TDM do artigo 4 da Diretiva DSM, com seu opt-out legível por máquina, enquadra a mineração comercial de conteúdo protegido. No Brasil, a LGPD alcança qualquer dado pessoal raspado mesmo quando público, a ANPD colocou a raspagem na mira da fiscalização, e o art. 154-A do Código Penal reforça que a fronteira crítica é a violação de mecanismos de segurança. Onde quer que você opere, a fórmula de baixo risco é estável: páginas públicas, sem logins, sem dados pessoais, respeito aos opt-outs, ritmo gentil de requisições e documentação de por que seu propósito é legítimo. Na dúvida, pergunte a um advogado antes de perguntar a um crawler.

Perguntas frequentes

Nenhuma lei brasileira proíbe o web scraping em si. Coletar dados públicos e não pessoais, em ritmo razoável, é em geral lícito. Os riscos surgem quando a coleta envolve dados pessoais (LGPD), conteúdo protegido por direitos autorais (Lei 9.610/98), quebra de contrato ou violação de mecanismos de segurança, que pode configurar o crime do art. 154-A do Código Penal.
Voltar ao guia completo

Artigos relacionados