Legal/LGPD 1 de junho de 2026 9 min de leitura Por Equipe Espectro

É Legal Usar OSINT para Investigar Alguém no Brasil? (LGPD)

Sim, usar OSINT no Brasil é legal. A inteligência de fontes abertas trabalha com dados que já são públicos — registros oficiais, redes sociais e portais de transparência. O que define a legalidade não é a coleta em si, mas a finalidade legítima, a base legal e a proporcionalidade exigidas pela LGPD.

Resumo Rápido

OSINT é legal porque usa fontes públicas e acessíveis — a LGPD não proíbe consultar dados já tornados públicos.
O que torna legal é a combinação de finalidade legítima + base legal + proporcionalidade (Lei 13.709/2018).
Vira ilegal ao usar dados vazados, perseguição (stalking), perfilamento sem propósito ou acessar áreas protegidas.
Dado de empresa (CNPJ) é aberto; dado de pessoa física (CPF) é protegido e exige justificativa.

OSINT é Legal no Brasil?

Sim. OSINT (inteligência de fontes abertas) é legal no Brasil porque coleta apenas dados públicos e acessíveis: cadastros oficiais da Receita, processos no JusBrasil, publicações em redes sociais e portais como o da Transparência. Consultar informação que já está aberta não viola a LGPD nem qualquer norma penal.

A confusão surge porque "investigar alguém" soa invasivo. Mas OSINT não invade nada — ela lê o que o próprio titular ou o Estado tornaram público. Se você quer entender o conceito por completo, comece pelo guia o que é OSINT e pela análise dedicada de legalidade de OSINT.

O Que Torna uma Investigação OSINT Legal?

Três pilares tornam uma investigação legal sob a LGPD: finalidade legítima, base legal e proporcionalidade. Você precisa de um motivo justo para coletar, um fundamento jurídico que autorize o tratamento, e limitar a coleta ao estritamente necessário. Faltando qualquer um dos três, mesmo dado público pode gerar responsabilização.

A finalidade legítima é o "por quê": prevenir fraude, verificar um parceiro, cumprir um contrato. A base legal é o artigo da lei que ampara isso. A proporcionalidade é o "quanto": coletar só o que serve ao objetivo, sem montar dossiê excessivo sobre a vida de alguém por curiosidade.

Uma investigação só é legal quando os três pilares da LGPD estão presentes ao mesmo tempo.

Quais São as Bases Legais da LGPD para OSINT?

A LGPD (Lei 13.709/2018) lista dez bases legais no artigo 7º. Para investigação OSINT, as mais comuns são o legítimo interesse, a prevenção à fraude, o cumprimento de obrigação legal e a execução de contrato. Cada coleta de dado pessoal precisa se ancorar em pelo menos uma delas — não basta o dado ser público.

O legítimo interesse (art. 7º, IX) cobre due diligence e verificação de reputação, desde que ponderado contra os direitos do titular. A prevenção à fraude (art. 11, II, "g") ampara conferir antecedentes de quem quer fechar negócio. O cumprimento de contrato (art. 7º, V) justifica checar uma contraparte com a qual você já se relaciona.

Na prática de compliance, esse é o coração de qualquer rotina de due diligence com OSINT: antes de coletar, defina e registre qual base legal sustenta aquela busca específica.

Base legal	Artigo LGPD	Quando se aplica em OSINT	Exemplo
Legítimo interesse	art. 7º, IX	Verificação de reputação e due diligence	Checar sócios de fornecedor
Prevenção à fraude	art. 11, II, "g"	Conferir antecedentes antes de contratar	KYC e onboarding
Cumprimento de contrato	art. 7º, V	Investigar contraparte já vinculada	Validar dados de cliente ativo
Obrigação legal	art. 7º, II	Exigência regulatória (ex.: PLD/FT)	Bancos sob normas do Bacen
Consentimento	art. 7º, I	Titular autorizou expressamente	Triagem com aval do candidato

Atenção: curiosidade não é base legal. "Eu só queria saber" não ampara nenhum tratamento de dado pessoal — e é a justificativa que mais aparece em uso indevido.

O Que Torna o Uso de OSINT Ilegal?

OSINT vira ilegal quando ultrapassa a fronteira do público ou perde a finalidade legítima. Usar dados vazados, perseguir alguém (stalking), montar perfis sem propósito e acessar áreas protegidas por senha são as quatro condutas que transformam uma técnica legal em ato passível de sanção civil e até penal.

Dados vazados: usar bases de vazamentos para enriquecer um perfil é tratamento de dado obtido ilicitamente, não há base legal que ampare.
Stalking / perseguição: coletar para intimidar, vigiar ou constranger configura crime de perseguição (art. 147-A do Código Penal).
Perfilamento sem propósito: montar dossiê sobre alguém sem finalidade definida viola a proporcionalidade da LGPD.
Acessar áreas protegidas: burlar login, senha ou perfis privados deixa de ser OSINT e vira invasão de dispositivo (art. 154-A).

A regra mental é simples: se você precisou de senha, engenharia social ou de uma base vazada para chegar ao dado, já saiu do território de fontes abertas. OSINT lê o que está aberto; ela não arromba portas.

Importante: não existe técnica que descubra "o nome só pelo número do CPF" de forma legal. Métodos que prometem isso costumam depender de bases vazadas — e usá-las é ilegal. Saiba o que dá e o que não dá para fazer em como descobrir o CPF de uma pessoa.

Dado de Empresa (CNPJ) ou de Pessoa (CPF): Muda a Regra?

Muda, e bastante. A LGPD protege dados de pessoas físicas, não de empresas. Por isso o cadastro de CNPJ é totalmente público e consultá-lo é livre — você vê razão social, sócios, situação e atividade sem precisar de base legal. Já o dado pessoal vinculado a um CPF exige finalidade e proporcionalidade.

Essa diferença orienta qualquer investigação corporativa: comece pela empresa, que é aberta, e só avance para os sócios pessoa física com justificativa registrada. O nome do sócio aparece no QSA público, mas montar um perfil completo dele já é tratamento de dado pessoal que pede base legal.

Dado de empresa é amplamente aberto; dado de pessoa física é majoritariamente protegido.

Exemplos Práticos: Legal x Ilegal

A teoria fica clara com casos concretos. A mesma ferramenta pode ser usada de forma legítima ou abusiva — o que muda é a finalidade e os limites. Veja pares de situações que ilustram exatamente onde a linha é cruzada na prática.

Legal: empresa checa o CNPJ e os sócios de um fornecedor novo antes de assinar contrato. Ilegal: pessoa rastreia a localização de um ex-parceiro pelas fotos das redes para aparecer onde ele está.
Legal: jornalista consulta processos públicos de um político no JusBrasil. Ilegal: alguém compra uma base vazada para descobrir o endereço residencial de um desafeto.
Legal: banco verifica antecedentes de fraude de um cliente no onboarding (KYC). Ilegal: funcionário consulta dados de clientes por curiosidade, sem demanda do trabalho.
Legal: verificar se um perfil de marketplace é falso antes de comprar. Ilegal: invadir a conta privada desse perfil para ler mensagens.

Repare no padrão: nos casos legais há finalidade clara e os dados são públicos; nos ilegais falta propósito legítimo ou se recorre a vazamento e invasão. Quem documenta uma investigação séria registra o "porquê" de cada passo — é o que ensinamos no guia de como montar um dossiê de investigação OSINT.

Posso Usar Dados que Vazaram em OSINT?

Não para enriquecer perfis de terceiros. Bases de vazamento contêm dados obtidos ilicitamente; tratá-las para investigar alguém não tem base legal e expõe você à responsabilização. O uso legítimo de informação de vazamento é defensivo: verificar se os seus próprios dados foram expostos.

Serviços como o Have I Been Pwned existem justamente para esse fim defensivo — você consulta o seu e-mail para saber se ele apareceu em algum incidente e tomar providências. Isso é diferente de usar o conteúdo de um vazamento para perseguir, chantagear ou perfilar outra pessoa, o que é ilegal.

Como a LGPD se Aplica na Prática a Quem Investiga?

A LGPD não proíbe investigar; ela impõe responsabilidade. Quem faz OSINT profissional deve documentar a finalidade, escolher uma base legal antes de coletar, limitar a coleta ao necessário e guardar os dados pelo tempo justo. É o mesmo rigor que um departamento de compliance aplica a qualquer tratamento de dado pessoal.

Na rotina, isso significa três hábitos. Primeiro, registrar por que você está investigando cada alvo. Segundo, preferir sempre a fonte pública e oficial à conveniência de um atalho duvidoso. Terceiro, descartar o que não serve ao propósito — guardar dado pessoal sem uso é risco puro.

Profissionais que atuam no país encontram um panorama completo dessas obrigações no guia de OSINT para investigadores no Brasil, que detalha fontes oficiais e boas práticas de documentação.

Regra de ouro: dado de empresa é aberto; dado de pessoa pede propósito. Antes de cada busca, escreva em uma linha qual a finalidade e qual a base legal. Se você não consegue, provavelmente não deveria coletar.

Passo a Passo: Investigação Legal no Espectro

O Espectro é construído para trabalhar dentro desses limites. A plataforma consulta apenas fontes públicas e acessíveis e organiza o resultado para você documentar a finalidade. Ela não faz reconhecimento facial de terceiros nem promete "achar o nome só pelo número do CPF" — porque isso dependeria de dados que não são abertos.

Defina a finalidade da consulta (due diligence, prevenção a fraude, verificação de perfil).
Use a busca por username, e-mail ou telefone para localizar perfis e contas públicas vinculados.
Cruze dados de CPF, CNPJ e sócios a partir de cadastros públicos para mapear vínculos.
No módulo Foto, extraia metadados EXIF e GPS de imagens que você tem direito de analisar.
Exporte o achado com a fonte e a data para anexar ao seu dossiê — pronto para auditoria.

O que o Espectro não faz: reconhecimento facial de pessoas aleatórias, acesso a perfis privados ou consulta a bases vazadas. Essa fronteira é deliberada. Para entender quais ferramentas gratuitas complementam esse fluxo, veja a análise sobre se OSINT é legal e o conceito em o que é OSINT.

Investigue com método e dentro da lei

O Espectro cruza fontes públicas com a documentação que a LGPD exige — pronto para o seu relatório.

Criar conta gratuita Ver planos

Perguntas Frequentes

Usar OSINT para investigar alguém é crime no Brasil?

Não, desde que você use fontes públicas e tenha finalidade legítima. OSINT consulta dados já abertos, o que não é crime. Vira ilegal apenas se houver perseguição, uso de dados vazados, invasão de áreas protegidas ou perfilamento sem propósito definido.

A LGPD proíbe coletar dados públicos?

Não. A LGPD (Lei 13.709/2018) não proíbe consultar dados públicos, mas regula o tratamento de dado pessoal. Você precisa de finalidade legítima, base legal e proporcionalidade. Dado já tornado público pelo titular ou pelo Estado pode ser tratado com essas garantias.

Posso consultar o CPF de uma pessoa livremente?

Não livremente. O CPF é dado pessoal protegido pela LGPD, diferente do CNPJ, que é aberto. Não existe método legal de descobrir o nome apenas pelo número do CPF. Saiba o que é possível em como descobrir o CPF de uma pessoa.

Empresas podem usar OSINT para due diligence?

Sim. Due diligence é um dos usos mais legítimos, amparado em legítimo interesse e prevenção à fraude. A empresa deve registrar a finalidade e limitar a coleta ao necessário. Veja o passo a passo em due diligence com OSINT.

Usar bases de vazamento de dados é permitido?

Para investigar terceiros, não. Dados vazados foram obtidos ilicitamente e tratá-los não tem base legal. O uso legítimo é defensivo: verificar se os seus próprios dados foram expostos, em serviços como o Have I Been Pwned, para tomar providências de segurança.

Conclusão

OSINT é legal no Brasil porque trabalha com o que já é público — e continua legal enquanto houver finalidade legítima, base legal e proporcionalidade. A LGPD não é um obstáculo à investigação séria; é o roteiro que separa o profissional do abuso. Documente o porquê de cada busca e você estará protegido.

Para começar com o pé direito, entenda o conceito em o que é OSINT e aprofunde na rotina de quem investiga no país em OSINT para investigadores no Brasil.