GeckoAPI
Entrar Começar grátis
← blog
web-scraping dados-publicos lgpd compliance extracao-de-dados

Web Scraping é Legal no Brasil? Quando Raspar Dados Públicos Sem Login é Lícito em 2026

10 de abril de 2026 · 10 min · Equipe GeckoAPI
Web Scraping é Legal no Brasil? Quando Raspar Dados Públicos Sem Login é Lícito em 2026

Quer testar? Acesse o dashboard e ganhe 100 créditos grátis para começar.

Ir para o Dashboard

Se você pesquisou no Google “web scraping é legal?”, aqui vai a resposta curta:

Sim, em regra, fazer web scraping de dados públicos, em páginas abertas e sem login, não é crime no Brasil.

O ponto central não é “usar um bot”. O ponto central é o que está sendo coletado, como está sendo coletado e para qual finalidade. Quando a coleta envolve dados publicamente acessíveis, sem autenticação, sem bypass de barreiras técnicas e sem tratamento abusivo de dados pessoais, o cenário jurídico costuma ser muito mais seguro.

Por outro lado, a história muda quando entram em cena login, CAPTCHA, paywall, área restrita, dados pessoais desnecessários, conteúdo protegido ou comportamento agressivo contra o site.

Neste guia, vamos organizar isso de forma objetiva, com foco em quem trabalha com extração de dados da web, monitoramento de preços, BI, IA e automação.

Este conteúdo é informativo e não substitui análise jurídica do seu caso concreto.

Na maioria dos casos envolvendo dados públicos sem login, sim.

Se uma página está aberta para qualquer visitante, sem necessidade de conta, sem autenticação e sem restrição técnica contornada artificialmente, a automação normalmente está apenas escalando uma leitura que um humano já poderia fazer manualmente.

Em termos práticos, isso inclui cenários como:

  • preços de produtos em páginas abertas
  • disponibilidade de estoque
  • título, marca e atributos técnicos de produtos
  • cardápios, tarifas, horários e taxas exibidos publicamente
  • dados públicos de estabelecimentos e empresas
  • contagens agregadas, como nota média e número de avaliações

É por isso que tanta operação séria de mercado usa scraping de dados públicos para alimentar dashboards, modelos de IA, sistemas de precificação e rotinas de inteligência competitiva.

Por que scraping de dados públicos não é ilegal por si só

Existe uma confusão comum aqui: muita gente trata qualquer automação como se fosse invasão. Não é a mesma coisa.

Ler uma página pública com um navegador e ler a mesma página pública com um script são atos tecnicamente diferentes, mas juridicamente o debate costuma girar menos em torno da automação em si e mais em torno destes fatores:

  • acesso autorizado ou não
  • existência de autenticação
  • burla de barreiras técnicas
  • tratamento de dados pessoais
  • violação contratual ou concorrencial
  • uso abusivo ou predatório do conteúdo

Em outras palavras: web scraping não vira problema por existir; vira problema quando cruza certos limites.

Web scraping sem login é crime?

De forma geral, não.

Quando falamos de uma URL pública, acessível sem conta e sem credenciais, o cenário é muito diferente de invadir sistema, usar sessão autenticada de terceiros, acessar endpoint privado ou contornar mecanismo de segurança.

Essa distinção importa muito. Se o dado está aberto ao público, a coleta automatizada não tem a mesma natureza de uma invasão ou de um acesso clandestino. O risco sobe quando alguém:

  • usa cookies, tokens ou credenciais para entrar em área restrita
  • automatiza fluxo autenticado que depende de conta
  • contorna CAPTCHA, paywall ou bloqueio técnico
  • força acesso a rotas internas não expostas ao público

Por isso, uma regra prática funciona muito bem:

página pública, sem login, sem bypass e com coleta proporcional tende a ser o cenário mais defensável para scraping.

O que a LGPD diz sobre web scraping

A LGPD não cria uma proibição genérica ao web scraping. O que ela faz é regular o tratamento de dados pessoais.

Isso muda bastante a conversa, porque muita coisa que empresas coletam na web sequer é dado pessoal. Exemplos:

  • preço de um produto
  • nome de uma empresa
  • categoria de um anúncio
  • taxa de entrega
  • avaliação média agregada
  • disponibilidade de um item

Esses dados factuais e não pessoais normalmente estão em uma zona bem mais segura.

Já quando a raspagem inclui dados de pessoa natural identificada ou identificável, a coleta entra no campo da LGPD. E aí a discussão deixa de ser “posso usar bot?” e passa a ser:

  • qual é a base legal para o tratamento?
  • a coleta respeita finalidade, adequação e necessidade?
  • há transparência suficiente?
  • existe risco de uso excessivo, reidentificação ou exposição indevida?

A própria lógica da LGPD é clara em um ponto importante: dados tornados públicos e dados de acesso público não saem da proteção legal, mas também não exigem a mesma análise de um banco privado ou secreto. O uso continua possível, desde que respeite princípios como boa-fé, finalidade e minimização.

Dados públicos não significam “vale tudo”

Esse é o ajuste fino que separa um post sério de um post raso.

Dizer que “dados públicos podem ser raspados” não significa dizer que qualquer coleta, em qualquer escala, para qualquer finalidade, seja automaticamente aceitável.

Há uma diferença grande entre:

  • coletar preço, estoque e atributos de produto para monitoramento de mercado
  • coletar nomes, e-mails, telefones, fotos, comentários e perfis de pessoas físicas sem critério claro

Há também diferença entre:

  • ler páginas abertas de forma controlada
  • derrubar um site com carga agressiva ou contornar mecanismos de defesa

Então a frase correta não é “web scraping é sempre legal”. A frase correta, e muito mais útil, é:

web scraping de dados públicos, sem login, sem bypass de segurança e com minimização de dados, em geral é lícito e defensável.

Quando o web scraping começa a virar problema jurídico

Se você quer operar com baixo risco, estes são os sinais clássicos de que a coleta saiu da zona segura:

1. Quando há login ou sessão autenticada

Se o acesso depende de conta, senha, token, cookie autenticado ou qualquer forma de credencial, você já não está mais falando da mesma categoria de dado público.

Além do risco contratual, você entra em terreno muito mais sensível do ponto de vista de:

  • autorização de acesso
  • expectativa de privacidade
  • tratamento de dados pessoais
  • possível violação de medidas de controle do titular ou da plataforma

2. Quando há bypass de barreiras técnicas

CAPTCHA, paywall, bloqueio anti-bot, rate limit, fingerprinting e controles semelhantes existem justamente para limitar ou condicionar o acesso.

Uma coisa é ler uma página aberta. Outra coisa é forçar tecnicamente um acesso que o site tentou restringir.

3. Quando há coleta de dados pessoais sem necessidade

Se o seu caso de uso precisa apenas de preço, disponibilidade, categoria e atributos, não faz sentido capturar:

  • nome completo de pessoas
  • telefone
  • e-mail
  • endereço detalhado
  • identificadores de conta
  • fotos e textos pessoais sem critério

Em scraping responsável, minimização não é detalhe. É proteção jurídica e técnica.

4. Quando há reprodução massiva de conteúdo protegido

Uma coisa é coletar dados factuais. Outra é replicar de forma massiva:

  • descrições completas
  • avaliações integrais
  • fotos protegidas
  • páginas inteiras
  • bases compiladas que substituem economicamente a fonte original

Nesses casos, o debate pode sair de proteção de dados e entrar em direitos autorais, concorrência desleal e uso parasitário de conteúdo.

5. Quando a operação é agressiva ou abusiva

Mesmo em páginas públicas, scraping sem disciplina pode gerar risco real quando:

  • o volume de requisições é desproporcional
  • não existe cache
  • o crawler ignora sinais de instabilidade
  • a operação causa degradação perceptível no serviço de terceiros

Empresa séria faz polite crawling, com limite, backoff e reaproveitamento de resultados.

Robots.txt proíbe web scraping?

Não sozinho.

O robots.txt é um sinal técnico importante e deve ser tratado com seriedade, mas ele não é, por si só, a lei penal da internet.

Na prática, ele funciona mais como:

  • orientação operacional
  • sinal de preferência do site
  • insumo de compliance
  • fator de risco contratual e reputacional

Ignorar robots.txt não transforma automaticamente toda coleta em crime. Mas também seria ingênuo tratar esse arquivo como irrelevante. Em produto real, o melhor caminho é operar com uma política clara de respeito a limites técnicos e de coleta responsável.

Se esse tema importa para sua operação, vale ler também a nossa Política de Uso Responsável.

Termos de uso do site tornam scraping ilegal?

Nem sempre, mas aumentam o risco.

Os termos de uso importam, principalmente em contextos comerciais. Eles podem criar discussão contratual, concorrencial ou de uso indevido da plataforma.

Só que existe uma diferença relevante entre:

  • um site dizer em termos privados que não quer bots
  • a existência de uma conduta realmente ilícita em sentido mais forte

Por isso, o tema precisa ser lido em camadas:

  1. Camada penal/técnica: houve invasão, fraude, burla ou acesso não autorizado?
  2. Camada de dados pessoais: houve tratamento de dado pessoal com base legal e minimização?
  3. Camada contratual/comercial: houve descumprimento de termos ou exploração abusiva da plataforma?

Misturar tudo sob o rótulo “scraping é ilegal” é simplificação demais.

Exemplos de web scraping geralmente vistos como legítimos

Em operações de dados públicas e bem desenhadas, estes casos costumam ser os mais tranquilos:

  • monitoramento de preços de produtos em páginas abertas
  • acompanhamento de disponibilidade e frete em e-commerce
  • coleta de cardápios e taxas publicamente exibidos
  • enriquecimento de catálogo com atributos técnicos, imagens públicas e metadados
  • coleta de dados públicos de empresas e estabelecimentos
  • alimentação de dashboards, BI e agentes de IA com dados factuais e atualizados

Se o seu cenário é esse, provavelmente faz sentido combinar este post com o comparativo Web Scraping vs API Pronta e com o guia sobre Google Places Scraper.

Exemplos de scraping que pedem mais cuidado

Aqui o alerta precisa acender:

  • scraping depois de login
  • uso de conta de terceiro ou sessão autenticada compartilhada
  • coleta de dados pessoais de usuários finais
  • cópia de reviews completos, textos extensos ou imagens em massa
  • automação que depende de burlar CAPTCHA, anti-bot ou paywall
  • enriquecimento que permita reidentificar pessoas
  • uso comercial que reproduz quase integralmente a experiência do site original

Em outras palavras: o problema geralmente não é a automação básica de dados públicos. O problema é o acesso indevido, o excesso de coleta ou a finalidade abusiva.

Checklist: como fazer web scraping com baixo risco jurídico

Se você quer uma regra prática para operar direito, use este checklist:

1. Colete apenas páginas realmente públicas

Se pediu login, pare.

2. Não contorne barreiras técnicas

Se depende de burlar CAPTCHA, bloqueio, paywall ou fluxo restrito, você está saindo da zona segura.

3. Minimize dados

Se o caso de uso precisa de preço e estoque, não colete telefone, e-mail ou nome de pessoa física.

4. Defina finalidade clara

Monitoramento, BI, IA, catálogo e analytics são finalidades compreensíveis. “Coletar tudo porque sim” é péssima ideia.

5. Use cache e limite de requisição

Scraping responsável não precisa consultar a mesma página o tempo todo.

6. Evite conteúdo sensível ou protegido

Dados factuais são uma coisa. Replicar conteúdo integral, mídia protegida ou dados sensíveis é outra.

7. Documente sua política de uso

Isso é especialmente importante para times de produto, jurídico, dados e segurança. Se você ainda não tem esse documento, use como referência a nossa página de uso responsável.

FAQ sobre a legalidade do web scraping

Web scraping é crime no Brasil?

Não por definição. O risco jurídico cresce quando há invasão, autenticação indevida, burla de barreiras, coleta excessiva de dados pessoais ou uso abusivo do conteúdo.

Raspar dados públicos precisa de consentimento?

Nem sempre. Para dados não pessoais, a lógica é mais simples. Para dados pessoais tornados públicos ou de acesso público, a análise continua existindo, mas gira em torno de base legal, finalidade, boa-fé, adequação e necessidade.

Posso fazer scraping depois de login?

Esse é o ponto em que o risco sobe bastante. Se há conta, sessão autenticada ou credencial, você já saiu do cenário clássico de dado público aberto.

Posso usar dados raspados para IA e analytics?

Sim, em muitos casos. Mas é essencial separar dado factual público de dado pessoal, aplicar minimização e ter clareza de finalidade.

Robots.txt torna scraping ilegal?

Não automaticamente. Mas ignorá-lo piora a posição de compliance, aumenta atrito com a plataforma e pode ser um mau sinal para uma operação séria.

Se você quer uma resposta honesta e útil para SEO e para a vida real, ela é esta:

sim, web scraping de dados públicos sem login, sem bypass e com finalidade legítima é, em regra, legal no Brasil.

O que costuma gerar problema não é o scraping básico de páginas públicas, e sim a combinação de fatores como:

  • autenticação
  • burla de restrições técnicas
  • coleta de dados pessoais sem base adequada
  • cópia massiva de conteúdo protegido
  • operação abusiva ou parasitária

Se o seu objetivo é extrair dados públicos de forma estável, com menos manutenção e com uma camada clara de uso responsável, a GeckoAPI foi desenhada exatamente para isso.

Quer testar na prática? Acesse dashboard.geckoapi.com.br e comece com créditos grátis para validar seu caso de uso.

Quer testar?

Acesse o dashboard e ganhe 100 créditos grátis para começar. Sem cartão de crédito.

Criar conta grátis
← ver todos os posts