Carregando agora

Bases Legais para Tratamento de Dados Pessoais na LGPD

Bases Legais

Sua empresa coleta leads, atende clientes, processa pagamentos e monitora acessos. Tudo isso envolve dados pessoais. A pergunta que separa negócios protegidos de negócios expostos é simples: qual é a base legal para cada tratamento de dados pessoais?

Sem essa resposta, você opera no escuro. E no escuro, é fácil tropeçar: consentimentos frágeis, contratos genéricos, “legítimo interesse” usado como coringa. As bases legais para tratamento de dados pessoais são o alicerce da conformidade. Ignorá-las custa caro — reputação, multas e perda de confiança.

Este guia foi feito para quem precisa aplicar a LGPD com segurança e objetividade. Nada de juridiquês. Vamos direto ao ponto, com exemplos práticos e recomendações de quem implementa adequação no dia a dia na LGPDPRO.

O que são bases legais (sem mistério)

A LGPD exige que todo tratamento de dados tenha uma justificativa prevista em lei — a famosa base legal. Estão listadas no Art. 7º da LGPD (dados pessoais) e, para dados pessoais sensíveis, no Art. 11 com regras mais rígidas.

Verdade dura: sem base legal, o tratamento é ilegal. E “todo mundo faz” não é argumento jurídico.

As bases legais para tratamento de dados pessoais previstas na LGPD

1) Consentimento

Uso quando: preciso da autorização inequívoca do titular para tratar o dado para uma finalidade específica. Deve ser livre, informado e destacado.

Exemplos práticos:

  • Newsletter com conteúdos e ofertas.
  • Uso de imagens em campanhas.
  • Coleta de dados de geolocalização para personalização de app.

Armadilhas comuns: consentimento “embutido” em termos longos, caixas pré-marcadas, finalidades vagas. Tudo isso invalida a base.

Exemplo de cláusula: "Autorizo, de forma livre e informada, o envio de comunicações por e-mail sobre produtos e eventos da Empresa X, podendo retirar meu consentimento a qualquer tempo."

2) Cumprimento de obrigação legal ou regulatória

Uso quando: a lei manda coletar, armazenar ou compartilhar.

Exemplos práticos:

  • Conservar notas fiscais por prazo fiscal.
  • Informações de empregados exigidas por órgãos públicos.
  • Relatórios regulatórios para autoridades setoriais.

Não confunda com “conveniência do negócio”. Se não há lei/regra exigindo, não use esta base.

3) Execução de contrato ou procedimentos preliminares

Uso quando: o tratamento é necessário para firmar ou cumprir um contrato com o titular.

Exemplos práticos:

  • Avaliar proposta de crédito do próprio solicitante.
  • Emitir boletos, notas e entregar produtos do pedido.
  • Atender suporte técnico de cliente com contrato vigente.

Não use esta base para marketing complementar ou upsell. Isso é outra história.

4) Exercício regular de direitos em processo

Uso quando: preciso tratar dados para me defender ou exercer direitos em processos administrativos, judiciais ou arbitrais.

Exemplos práticos:

  • Guardar evidências de aceite de termos.
  • Compartilhar dados com advogados e peritos.
  • Apresentar documentos em disputa contratual.

Não é salvo-conduto para retenção eterna. Mantenha o dado pelo tempo necessário ao processo.

5) Proteção da vida ou da incolumidade física

Uso quando: o tratamento é necessário para proteger a vida/segurança do titular ou de terceiros.

Exemplos práticos:

  • Contato de emergência em eventos.
  • Registro de visitantes para evacuação predial.
  • Compartilhar dados em situações de risco iminente.

Base excepcional. Se existe alternativa menos intrusiva, prefira-a.

6) Tutela da saúde

Uso quando: é necessário para procedimentos realizados por profissionais, serviços de saúde ou autoridades sanitárias.

Exemplos práticos:

  • Prontuário eletrônico em hospital.
  • Operadoras de plano de saúde tratando dados de beneficiários.
  • Campanhas de vacinação conduzidas por órgãos de saúde.

Importante: em regra, esta base é restrita ao setor de saúde. RH usando atestado médico de empregado? Avalie obrigação legal ou exercício regular de direitos, não “tutela da saúde”.

7) Legítimo interesse

Uso quando: há um interesse legítimo do controlador/terceiro e o impacto ao titular é baixo e proporcional, com transparência e opção de opt-out quando cabível.

Exemplos práticos:

  • Segurança de rede e prevenção a fraudes.
  • Analytics essencial para melhorias de produto (dados agregados).
  • Comunicação com clientes sobre produtos similares ao já contratado (com opt-out claro).

Obrigatório realizar e documentar o Legitimate Interest Assessment (LIA) — teste de finalidade, necessidade e balanceamento.

LIA (resumo): Finalidade legítima? Necessidade do dado? Impacto ao titular mitigado? Transparência e opt-out disponíveis?

8) Proteção do crédito

Uso quando: o tratamento é necessário para avaliação e proteção do crédito.

Exemplos práticos:

  • Consulta a bureaus de crédito.
  • Modelos de score para concessão de crédito ao próprio titular.
  • Atualização de adimplemento/inadimplência.

Excesso aqui pode virar discriminação. Documente critérios e mantenha governança.

9) Estudos por órgão de pesquisa

Uso quando: o tratamento é para pesquisa, preferencialmente com anonimização e sem uso para decisões individuais.

Exemplos práticos:

  • Estudos acadêmicos com dados anonimizados.
  • Pesquisas de impacto social por instituições de pesquisa.

Comercial? Cuidado. Se o objetivo é marketing direto, esta base não serve.

10) Políticas públicas pela administração pública

Uso quando: a administração pública trata dados para execução de políticas públicas e atribuições legais.

Exemplos práticos:

  • Cadastro em programas governamentais.
  • Gestão de serviços públicos.

Para privados que operam para a administração, avalie execução de contrato e exigências específicas do convênio.

O que isso significa na prática?

  • Uma atividade, uma base principal. Evite “combo” de bases para a mesma finalidade.
  • Finalidade define a base. Mudou o propósito? Reavalie a base legal e a transparência ao titular.
  • Registro é obrigatório. Documente a base no Record of Processing Activities (ROPA) e nos avisos de privacidade.
  • Dados sensíveis pedem atenção redobrada: consulte o Art. 11 e exija salvaguardas adicionais.

Spoiler: “Porque sempre fizemos assim” não é base legal. É risco.

Por que isso é um risco para o seu negócio?

  • Multas e sanções por tratamento sem base ou com base indevida.
  • Bloqueio/eliminação de dados críticos, travando operações e vendas.
  • Perda de confiança de clientes, parceiros e investidores.
  • Custos legais com disputas, auditorias e retrabalho de processos.

Na LGPDPRO, vemos recorrentemente empresas com marketing afiado e jurídico atento, mas sem o “meio de campo” da base legal bem definida. É aí que a conformidade desanda.

Como começar a se adequar (passo a passo)?

  1. Mapeie processos que tratam dados: coleta, uso, compartilhamento, armazenamento.
  2. Classifique finalidades por processo e identifique o titular (cliente, lead, colaborador, parceiro).
  3. Escolha a base legal adequada para cada finalidade e registre o racional.
  4. Atualize documentos: avisos de privacidade, contratos, formulários e políticas internas.
  5. Implemente controles: gestão de consentimento, opt-out, retenção e segurança.
  6. Treine times de marketing, vendas, RH e TI. A operação precisa falar a mesma língua.
  7. Monitore e revise: mudanças de produto ou campanha exigem revalidação da base.

Quer acelerar esse ciclo com governança pronta? Veja nossa Consultoria LGPD e o DPO as a Service.

Erros comuns que custam caro

  • Consentimento genérico para cobrir tudo (não cobre).
  • Legítimo interesse sem LIA documentado e sem opt-out.
  • Obrigações legais inventadas para facilitar a vida do negócio.
  • Base legal trocada no meio do caminho sem transparência ao titular.
  • Retenção infinita “por precaução” — sem base e sem necessidade.

O que a ANPD realmente fiscaliza

  • Coerência entre a finalidade, a base legal e o aviso de privacidade.
  • Prova documental da base (consentimentos, LIA, contratos, logs).
  • Minimização de dados coletados e prazos de retenção definidos.
  • Mecanismos de direitos do titular: opt-out, revogação de consentimento, acesso e eliminação.

Dica de Ouro da LGPDPRO

Troque a pergunta “qual base legal podemos usar?” por “qual base legal devemos usar para atingir a finalidade com o menor impacto ao titular?”.

Na prática, isso significa:

  • Se a relação é contratual, use execução de contrato, não “consentimento de prateleira”.
  • Se a atividade é marketing, avalie consentimento ou legítimo interesse com LIA e opt-out — e comunique de forma clara.
  • Para saúde e crédito, siga estritamente o que a lei prevê — sem criatividade.

Quer um atalho? Nosso workshop prático de bases legais simula casos reais e entrega modelos prontos de LIA e cláusulas. Inscreva-se nos Workshops da LGPDPRO.

Exemplo rápido: alinhando base legal, documento e controle

  • Finalidade: envio de newsletter educativa e ofertas.
  • Base: consentimento.
  • Documento: prova do opt-in, registro de data e IP.
  • Controle: link de descadastro imediato em cada e-mail.

Checklist de consentimento: claro e destacado? granular por finalidade? prova de aceite? revogação fácil? impacto de revogação mapeado?

Dados pessoais sensíveis: atenção redobrada

Para dados de saúde, biometria, convicção religiosa, etc., as bases estão no Art. 11. Em geral, exigem consentimento específico ou se limitam a situações muito particulares (como tutela da saúde). Trate como material inflamável: mínimo necessário, controles reforçados e acesso restrito.


Conclusão

Bases legais para tratamento de dados pessoais não são burocracia — são a licença de operação da sua estratégia de dados. Quando bem definidas e documentadas, liberam o crescimento com segurança. Quando ignoradas, viram passivo invisível.

E então: seus processos estão protegidos ou expostos? Se quer precisão e velocidade, conte com quem faz isso todo dia. Conheça a Consultoria LGPDPRO, nosso DPO as a Service e os Workshops. Prefere começar com um diagnóstico rápido? Fale com o time em Contato. Se quiser explorar mais conteúdos, visite a LGPDPRO.

Compartilhe este conteúdo

Emerson Rocha é especialista em LGPD, DPO Profissional e fundador do blog LGPD Pro. Reconhecido por sua atuação técnica na área, foi membro da primeira composição do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), onde contribuiu para as discussões iniciais sobre a regulamentação da lei no Brasil. Através de seus artigos, busca descomplicar a LGPD e oferecer insights práticos para profissionais e empresas que buscam a conformidade.

Publicar comentário