Base Legal na LGPD: Entenda e Escolha a Correta
Se você trata dados pessoais, precisa de uma base legal na LGPD. Simples assim. No entanto, escolher a errada é como assinar um contrato sem ler: parece rápido, mas sai caro. Por isso, neste artigo você vai entender, de forma direta e aplicável, como selecionar a base correta para cada atividade da sua empresa.
Em primeiro lugar, vale um alerta: sua coleta de leads, seu CRM, seu RH e até seus cookies precisam de uma base legal válida. Além disso, ela deve estar alinhada com a finalidade e os princípios da lei. Na LGPDPRO, vemos diariamente empresas com processos excelentes, porém amarrados em bases legais frágeis. O resultado? Riscos jurídicos, multas, retrabalho e perda de confiança.
O que é, de fato, uma base legal na LGPD?
A base legal é o fundamento jurídico que autoriza o tratamento de dados pessoais. Ela deve ser adequada à finalidade, proporcional ao escopo e transparente ao titular. A LGPD lista as hipóteses no Art. 7º (dados pessoais) e no Art. 11 (dados sensíveis). Além disso, os Art. 6º princípios (finalidade, necessidade, transparência, segurança, entre outros) guiam a escolha.
Verdade dura: base legal não é etiqueta de compliance; é a espinha dorsal do seu programa de privacidade. Sem ela, qualquer tratamento fica indefensável.
As 10 bases legais da LGPD (e quando usar)
1) Consentimento
- Quando usar: situações opcionais para o titular (ex.: newsletter, marketing direto com opt-in).
- Exemplo: cadastro para receber conteúdos.
- Cuidados: precisa ser livre, informado e inequívoco; permita revogação fácil (
Art. 8º).
2) Cumprimento de obrigação legal ou regulatória
- Quando usar: obrigações impostas por lei (ex.: dados para folha, eSocial, retenções fiscais).
- Exemplo: armazenamento de documentos trabalhistas.
- Cuidados: limite-se ao que a norma exige; nada de “aproveitar carona” para outras finalidades.
3) Administração pública (políticas públicas)
- Quando usar: órgãos públicos ou privados executando políticas públicas previstas em lei ou regulamento.
- Cuidados: transparência reforçada e observância ao
Art. 23e seguintes.
4) Estudos por órgão de pesquisa
- Quando usar: pesquisas com dados pessoais, preferencialmente anonimizados sempre que possível.
- Cuidados: proíba uso para decisões individuais; documente a metodologia.
5) Execução de contrato ou procedimentos preliminares
- Quando usar: o dado é necessário para fechar ou cumprir um contrato (vendas, entrega, suporte).
- Exemplo: endereço para entrega do e-commerce; dados para onboarding de cliente.
- Cuidados: não use esta base para marketing; contrato não autoriza tudo.
6) Exercício regular de direitos
- Quando usar: para processos judiciais, administrativos ou arbitrais.
- Exemplo: guardar logs para defesa em reclamações.
- Cuidados: não transforme isso em justificativa permanente para retenção excessiva.
7) Proteção da vida ou incolumidade física
- Quando usar: emergências, segurança de pessoas, comunicação de incidentes críticos.
- Cuidados: foque no necessário; depois, reavalie a retenção.
8) Tutela da saúde
- Quando usar: prestação de serviços de saúde, por profissionais, serviços ou autoridades sanitárias.
- Cuidados: válida também para dados sensíveis conforme
Art. 11, II, “f”; atenção a sigilo e minimização.
9) Legítimo interesse
- Quando usar: interesses legítimos do controlador ou de terceiro que não violem direitos e liberdades do titular.
- Exemplo: prevenção a fraudes, segurança, melhoria de produtos, comunicação institucional com clientes.
- Cuidados: realize o teste de balanceamento (
Art. 10), ofereça opt-out quando adequado e registre a avaliação.
10) Proteção do crédito
- Quando usar: análise e proteção do crédito, consulta a birôs, avaliação de risco.
- Cuidados: restrinja finalidade, informe no aviso de privacidade e respeite direitos do titular.
Dados sensíveis: atenção redobrada
Para dados sensíveis (Art. 11), a lista de hipóteses é mais restrita. Em geral, contrato e legítimo interesse não se aplicam. Use consentimento destacado, tutela da saúde, proteção da vida, cumprimento de obrigação legal, pesquisa (com salvaguardas) ou prevenção à fraude e segurança do titular.
Não force a barra: se o dado é sensível, trate sob uma hipótese específica e com controles extras (acesso, criptografia, necessidade e retenção mínima).
O que isso significa na prática?
Escolher a base legal correta exige olhar para o porquê e o como do tratamento. Por exemplo, um e-commerce costuma usar:
- Execução de contrato para cadastro, cobrança e entrega.
- Obrigação legal para emissão de notas e retenções.
- Legítimo interesse para prevenção à fraude e melhoria de usabilidade.
- Consentimento para newsletter e ofertas.
Já uma clínica usa com mais frequência tutela da saúde e proteção da vida, além de obrigação legal. Por outro lado, marketing em saúde exige consentimento reforçado.
Como escolher a base legal LGPD (passo a passo)
- Mapeie finalidades: liste cada atividade de tratamento e o objetivo específico.
- Classifique dados: pessoais comuns x sensíveis; identifique titular (cliente, lead, empregado).
- Verifique obrigações: se a lei exige o dado, use obrigação legal.
- Avalie contrato: se o dado é necessário para contratar ou cumprir, use execução de contrato.
- Considere saúde/vida/crédito: aplique as hipóteses específicas quando couberem.
- Teste legítimo interesse: se for a melhor opção, realize o teste de balanceamento e registre (
Art. 10). - Use consentimento como última etapa: quando o titular puder escolher sem prejuízo e a finalidade for opcional.
- Documente tudo: registre a decisão no ROPA (registro de operações) e atualize o aviso de privacidade.
- Implemente controles: opt-out, gestão de consentimento, DSRs (
Art. 18), retenção e segurança.
Exemplo de cláusula (aviso de privacidade): Tratamos seus dados para execução de contrato (entrega e suporte); cumprimento de obrigação legal (fiscal e contábil); e legítimo interesse (prevenção à fraude e melhoria do site), sempre com possibilidade de oposição quando cabível.
Erros comuns que custam caro
- Usar consentimento para tudo. Resultado: revogação desativa processos essenciais.
- Confundir execução de contrato com marketing. Contrato não autoriza disparos promocionais.
- Aplicar legítimo interesse sem teste documentado. A ANPD pode pedir evidências.
- Ignorar dados sensíveis em RH e saúde ocupacional.
- Não refletir a base legal no aviso de privacidade e nos contratos com operadores.
- Manter retenção indefinida “por via das dúvidas”. Guarde pelo tempo necessário, com base clara.
O que a ANPD realmente fiscaliza
- Coerência entre finalidade, base legal e minimização.
- Evidências: ROPA, políticas, avaliação de legítimo interesse, gestão de consentimento.
- Transparência: aviso de privacidade claro e canais para direitos do titular.
- Segurança e governança: controles técnicos e procedimentos operacionais.
Dica de Ouro da LGPDPRO
Comece pela pergunta: o titular pode dizer “não” sem perder um serviço essencial? Se a resposta for “sim”, considere consentimento. Caso contrário, busque bases que reflitam a natureza do processo (contrato, obrigação legal, segurança/fraude). Adicionalmente, documente a decisão com critérios objetivos. Esse é um dos pontos centrais que abordamos nos nossos workshops e consultorias.
Quer acelerar essa decisão de forma segura? Conheça nossa Consultoria de Adequação em LGPDPRO Consultoria e o DPO as a Service. Em poucos ciclos, você terá a matriz de bases legais pronta e validada.
Por que isso é um risco para o seu negócio?
Base legal errada gera pontos de ataque: do titular que pede exclusão à fiscalização que solicita evidências. Além disso, o mercado valoriza quem trata dados com critério. Em resumo, a base correta reduz custo jurídico, aumenta confiança e viabiliza crescimento com dados — sem sustos.
Como começar agora (próximos passos práticos)
- Escolha três processos críticos (ex.: vendas, marketing e RH) e faça o mapeamento rápido.
- Defina a base legal de cada um e documente no ROPA.
- Ajuste o aviso de privacidade e os contratos com operadores.
- Implemente opt-out/consentimento onde necessário e configure prazos de retenção.
- Agende um workshop interno para nivelar times. Temos turmas e conteúdos práticos: Workshops LGPDPRO.
Conclusão
Base legal não é “caixinha” burocrática. É sua licença para operar com dados. Portanto, trate-a com estratégia, disciplina e transparência. E então, sua empresa está protegida ou exposta?
Se quiser suporte de ponta a ponta — da matriz de bases legais ao treinamento do time — fale com a LGPDPRO. Em primeiro lugar, peça um diagnóstico sem custo: Fale com a LGPDPRO. Além disso, veja como nossos especialistas aceleram a conformidade com Consultoria e DPO as a Service.
Sugestões de linkagem interna (insira conforme os conteúdos existirem no blog):
- [SUGESTÃO DE LINK INTERNO: post sobre “Legítimo interesse na LGPD: teste de balanceamento na prática”]
- [SUGESTÃO DE LINK INTERNO: post sobre “Como escrever um aviso de privacidade que funciona (e reflete a base legal)”]
- [SUGESTÃO DE LINK INTERNO: post sobre “Dados sensíveis no RH: quais bases legais usar”]
- [SUGESTÃO DE LINK INTERNO: post sobre “Gestão de consentimento: do opt-in ao registro de evidências”]
- [SUGESTÃO DE LINK INTERNO: post sobre “Matriz de bases legais: template e passo a passo”]
- [SUGESTÃO DE LINK INTERNO: post sobre “ROPA: Registro das Operações de Tratamento com foco em base legal”]
- [SUGESTÃO DE LINK INTERNO: post sobre “Cookies, marketing e a escolha da base legal”]
Compartilhe este conteúdo
1 comentário