Carregando agora

Base Legal na LGPD: Entenda e Escolha a Correta

Se você trata dados pessoais, precisa de uma base legal na LGPD. Simples assim. No entanto, escolher a errada é como assinar um contrato sem ler: parece rápido, mas sai caro. Por isso, neste artigo você vai entender, de forma direta e aplicável, como selecionar a base correta para cada atividade da sua empresa.

Em primeiro lugar, vale um alerta: sua coleta de leads, seu CRM, seu RH e até seus cookies precisam de uma base legal válida. Além disso, ela deve estar alinhada com a finalidade e os princípios da lei. Na LGPDPRO, vemos diariamente empresas com processos excelentes, porém amarrados em bases legais frágeis. O resultado? Riscos jurídicos, multas, retrabalho e perda de confiança.

O que é, de fato, uma base legal na LGPD?

A base legal é o fundamento jurídico que autoriza o tratamento de dados pessoais. Ela deve ser adequada à finalidade, proporcional ao escopo e transparente ao titular. A LGPD lista as hipóteses no Art. 7º (dados pessoais) e no Art. 11 (dados sensíveis). Além disso, os Art. 6º princípios (finalidade, necessidade, transparência, segurança, entre outros) guiam a escolha.

Verdade dura: base legal não é etiqueta de compliance; é a espinha dorsal do seu programa de privacidade. Sem ela, qualquer tratamento fica indefensável.

As 10 bases legais da LGPD (e quando usar)

1) Consentimento

  • Quando usar: situações opcionais para o titular (ex.: newsletter, marketing direto com opt-in).
  • Exemplo: cadastro para receber conteúdos.
  • Cuidados: precisa ser livre, informado e inequívoco; permita revogação fácil (Art. 8º).

2) Cumprimento de obrigação legal ou regulatória

  • Quando usar: obrigações impostas por lei (ex.: dados para folha, eSocial, retenções fiscais).
  • Exemplo: armazenamento de documentos trabalhistas.
  • Cuidados: limite-se ao que a norma exige; nada de “aproveitar carona” para outras finalidades.

3) Administração pública (políticas públicas)

  • Quando usar: órgãos públicos ou privados executando políticas públicas previstas em lei ou regulamento.
  • Cuidados: transparência reforçada e observância ao Art. 23 e seguintes.

4) Estudos por órgão de pesquisa

  • Quando usar: pesquisas com dados pessoais, preferencialmente anonimizados sempre que possível.
  • Cuidados: proíba uso para decisões individuais; documente a metodologia.

5) Execução de contrato ou procedimentos preliminares

  • Quando usar: o dado é necessário para fechar ou cumprir um contrato (vendas, entrega, suporte).
  • Exemplo: endereço para entrega do e-commerce; dados para onboarding de cliente.
  • Cuidados: não use esta base para marketing; contrato não autoriza tudo.

6) Exercício regular de direitos

  • Quando usar: para processos judiciais, administrativos ou arbitrais.
  • Exemplo: guardar logs para defesa em reclamações.
  • Cuidados: não transforme isso em justificativa permanente para retenção excessiva.

7) Proteção da vida ou incolumidade física

  • Quando usar: emergências, segurança de pessoas, comunicação de incidentes críticos.
  • Cuidados: foque no necessário; depois, reavalie a retenção.

8) Tutela da saúde

  • Quando usar: prestação de serviços de saúde, por profissionais, serviços ou autoridades sanitárias.
  • Cuidados: válida também para dados sensíveis conforme Art. 11, II, “f”; atenção a sigilo e minimização.

9) Legítimo interesse

  • Quando usar: interesses legítimos do controlador ou de terceiro que não violem direitos e liberdades do titular.
  • Exemplo: prevenção a fraudes, segurança, melhoria de produtos, comunicação institucional com clientes.
  • Cuidados: realize o teste de balanceamento (Art. 10), ofereça opt-out quando adequado e registre a avaliação.

10) Proteção do crédito

  • Quando usar: análise e proteção do crédito, consulta a birôs, avaliação de risco.
  • Cuidados: restrinja finalidade, informe no aviso de privacidade e respeite direitos do titular.

Dados sensíveis: atenção redobrada

Para dados sensíveis (Art. 11), a lista de hipóteses é mais restrita. Em geral, contrato e legítimo interesse não se aplicam. Use consentimento destacado, tutela da saúde, proteção da vida, cumprimento de obrigação legal, pesquisa (com salvaguardas) ou prevenção à fraude e segurança do titular.

Não force a barra: se o dado é sensível, trate sob uma hipótese específica e com controles extras (acesso, criptografia, necessidade e retenção mínima).

O que isso significa na prática?

Escolher a base legal correta exige olhar para o porquê e o como do tratamento. Por exemplo, um e-commerce costuma usar:

  • Execução de contrato para cadastro, cobrança e entrega.
  • Obrigação legal para emissão de notas e retenções.
  • Legítimo interesse para prevenção à fraude e melhoria de usabilidade.
  • Consentimento para newsletter e ofertas.

Já uma clínica usa com mais frequência tutela da saúde e proteção da vida, além de obrigação legal. Por outro lado, marketing em saúde exige consentimento reforçado.

Como escolher a base legal LGPD (passo a passo)

  1. Mapeie finalidades: liste cada atividade de tratamento e o objetivo específico.
  2. Classifique dados: pessoais comuns x sensíveis; identifique titular (cliente, lead, empregado).
  3. Verifique obrigações: se a lei exige o dado, use obrigação legal.
  4. Avalie contrato: se o dado é necessário para contratar ou cumprir, use execução de contrato.
  5. Considere saúde/vida/crédito: aplique as hipóteses específicas quando couberem.
  6. Teste legítimo interesse: se for a melhor opção, realize o teste de balanceamento e registre (Art. 10).
  7. Use consentimento como última etapa: quando o titular puder escolher sem prejuízo e a finalidade for opcional.
  8. Documente tudo: registre a decisão no ROPA (registro de operações) e atualize o aviso de privacidade.
  9. Implemente controles: opt-out, gestão de consentimento, DSRs (Art. 18), retenção e segurança.

Exemplo de cláusula (aviso de privacidade): Tratamos seus dados para execução de contrato (entrega e suporte); cumprimento de obrigação legal (fiscal e contábil); e legítimo interesse (prevenção à fraude e melhoria do site), sempre com possibilidade de oposição quando cabível.

Erros comuns que custam caro

  • Usar consentimento para tudo. Resultado: revogação desativa processos essenciais.
  • Confundir execução de contrato com marketing. Contrato não autoriza disparos promocionais.
  • Aplicar legítimo interesse sem teste documentado. A ANPD pode pedir evidências.
  • Ignorar dados sensíveis em RH e saúde ocupacional.
  • Não refletir a base legal no aviso de privacidade e nos contratos com operadores.
  • Manter retenção indefinida “por via das dúvidas”. Guarde pelo tempo necessário, com base clara.

O que a ANPD realmente fiscaliza

  • Coerência entre finalidade, base legal e minimização.
  • Evidências: ROPA, políticas, avaliação de legítimo interesse, gestão de consentimento.
  • Transparência: aviso de privacidade claro e canais para direitos do titular.
  • Segurança e governança: controles técnicos e procedimentos operacionais.

Dica de Ouro da LGPDPRO

Comece pela pergunta: o titular pode dizer “não” sem perder um serviço essencial? Se a resposta for “sim”, considere consentimento. Caso contrário, busque bases que reflitam a natureza do processo (contrato, obrigação legal, segurança/fraude). Adicionalmente, documente a decisão com critérios objetivos. Esse é um dos pontos centrais que abordamos nos nossos workshops e consultorias.

Quer acelerar essa decisão de forma segura? Conheça nossa Consultoria de Adequação em LGPDPRO Consultoria e o DPO as a Service. Em poucos ciclos, você terá a matriz de bases legais pronta e validada.

Por que isso é um risco para o seu negócio?

Base legal errada gera pontos de ataque: do titular que pede exclusão à fiscalização que solicita evidências. Além disso, o mercado valoriza quem trata dados com critério. Em resumo, a base correta reduz custo jurídico, aumenta confiança e viabiliza crescimento com dados — sem sustos.

Como começar agora (próximos passos práticos)

  • Escolha três processos críticos (ex.: vendas, marketing e RH) e faça o mapeamento rápido.
  • Defina a base legal de cada um e documente no ROPA.
  • Ajuste o aviso de privacidade e os contratos com operadores.
  • Implemente opt-out/consentimento onde necessário e configure prazos de retenção.
  • Agende um workshop interno para nivelar times. Temos turmas e conteúdos práticos: Workshops LGPDPRO.

Conclusão

Base legal não é “caixinha” burocrática. É sua licença para operar com dados. Portanto, trate-a com estratégia, disciplina e transparência. E então, sua empresa está protegida ou exposta?

Se quiser suporte de ponta a ponta — da matriz de bases legais ao treinamento do time — fale com a LGPDPRO. Em primeiro lugar, peça um diagnóstico sem custo: Fale com a LGPDPRO. Além disso, veja como nossos especialistas aceleram a conformidade com Consultoria e DPO as a Service.


Sugestões de linkagem interna (insira conforme os conteúdos existirem no blog):

  • [SUGESTÃO DE LINK INTERNO: post sobre “Legítimo interesse na LGPD: teste de balanceamento na prática”]
  • [SUGESTÃO DE LINK INTERNO: post sobre “Como escrever um aviso de privacidade que funciona (e reflete a base legal)”]
  • [SUGESTÃO DE LINK INTERNO: post sobre “Dados sensíveis no RH: quais bases legais usar”]
  • [SUGESTÃO DE LINK INTERNO: post sobre “Gestão de consentimento: do opt-in ao registro de evidências”]
  • [SUGESTÃO DE LINK INTERNO: post sobre “Matriz de bases legais: template e passo a passo”]
  • [SUGESTÃO DE LINK INTERNO: post sobre “ROPA: Registro das Operações de Tratamento com foco em base legal”]
  • [SUGESTÃO DE LINK INTERNO: post sobre “Cookies, marketing e a escolha da base legal”]

Compartilhe este conteúdo

Emerson Rocha é especialista em LGPD, DPO Profissional e fundador do blog LGPD Pro. Reconhecido por sua atuação técnica na área, foi membro da primeira composição do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), onde contribuiu para as discussões iniciais sobre a regulamentação da lei no Brasil. Através de seus artigos, busca descomplicar a LGPD e oferecer insights práticos para profissionais e empresas que buscam a conformidade.

1 comentário

Publicar comentário