Bases Legais para Tratamento de Dados Pessoais na LGPD
Sua empresa coleta leads, atende clientes, processa pagamentos e monitora acessos. Tudo isso envolve dados pessoais. A pergunta que separa negócios protegidos de negócios expostos é simples: qual é a base legal para cada tratamento de dados pessoais?
Sem essa resposta, você opera no escuro. E no escuro, é fácil tropeçar: consentimentos frágeis, contratos genéricos, “legítimo interesse” usado como coringa. As bases legais para tratamento de dados pessoais são o alicerce da conformidade. Ignorá-las custa caro — reputação, multas e perda de confiança.
Este guia foi feito para quem precisa aplicar a LGPD com segurança e objetividade. Nada de juridiquês. Vamos direto ao ponto, com exemplos práticos e recomendações de quem implementa adequação no dia a dia na LGPDPRO.
O que são bases legais (sem mistério)
A LGPD exige que todo tratamento de dados tenha uma justificativa prevista em lei — a famosa base legal. Estão listadas no Art. 7º da LGPD (dados pessoais) e, para dados pessoais sensíveis, no Art. 11 com regras mais rígidas.
Verdade dura: sem base legal, o tratamento é ilegal. E “todo mundo faz” não é argumento jurídico.
As bases legais para tratamento de dados pessoais previstas na LGPD
1) Consentimento
Uso quando: preciso da autorização inequívoca do titular para tratar o dado para uma finalidade específica. Deve ser livre, informado e destacado.
Exemplos práticos:
- Newsletter com conteúdos e ofertas.
- Uso de imagens em campanhas.
- Coleta de dados de geolocalização para personalização de app.
Armadilhas comuns: consentimento “embutido” em termos longos, caixas pré-marcadas, finalidades vagas. Tudo isso invalida a base.
Exemplo de cláusula: "Autorizo, de forma livre e informada, o envio de comunicações por e-mail sobre produtos e eventos da Empresa X, podendo retirar meu consentimento a qualquer tempo."
2) Cumprimento de obrigação legal ou regulatória
Uso quando: a lei manda coletar, armazenar ou compartilhar.
Exemplos práticos:
- Conservar notas fiscais por prazo fiscal.
- Informações de empregados exigidas por órgãos públicos.
- Relatórios regulatórios para autoridades setoriais.
Não confunda com “conveniência do negócio”. Se não há lei/regra exigindo, não use esta base.
3) Execução de contrato ou procedimentos preliminares
Uso quando: o tratamento é necessário para firmar ou cumprir um contrato com o titular.
Exemplos práticos:
- Avaliar proposta de crédito do próprio solicitante.
- Emitir boletos, notas e entregar produtos do pedido.
- Atender suporte técnico de cliente com contrato vigente.
Não use esta base para marketing complementar ou upsell. Isso é outra história.
4) Exercício regular de direitos em processo
Uso quando: preciso tratar dados para me defender ou exercer direitos em processos administrativos, judiciais ou arbitrais.
Exemplos práticos:
- Guardar evidências de aceite de termos.
- Compartilhar dados com advogados e peritos.
- Apresentar documentos em disputa contratual.
Não é salvo-conduto para retenção eterna. Mantenha o dado pelo tempo necessário ao processo.
5) Proteção da vida ou da incolumidade física
Uso quando: o tratamento é necessário para proteger a vida/segurança do titular ou de terceiros.
Exemplos práticos:
- Contato de emergência em eventos.
- Registro de visitantes para evacuação predial.
- Compartilhar dados em situações de risco iminente.
Base excepcional. Se existe alternativa menos intrusiva, prefira-a.
6) Tutela da saúde
Uso quando: é necessário para procedimentos realizados por profissionais, serviços de saúde ou autoridades sanitárias.
Exemplos práticos:
- Prontuário eletrônico em hospital.
- Operadoras de plano de saúde tratando dados de beneficiários.
- Campanhas de vacinação conduzidas por órgãos de saúde.
Importante: em regra, esta base é restrita ao setor de saúde. RH usando atestado médico de empregado? Avalie obrigação legal ou exercício regular de direitos, não “tutela da saúde”.
7) Legítimo interesse
Uso quando: há um interesse legítimo do controlador/terceiro e o impacto ao titular é baixo e proporcional, com transparência e opção de opt-out quando cabível.
Exemplos práticos:
- Segurança de rede e prevenção a fraudes.
- Analytics essencial para melhorias de produto (dados agregados).
- Comunicação com clientes sobre produtos similares ao já contratado (com opt-out claro).
Obrigatório realizar e documentar o Legitimate Interest Assessment (LIA) — teste de finalidade, necessidade e balanceamento.
LIA (resumo): Finalidade legítima? Necessidade do dado? Impacto ao titular mitigado? Transparência e opt-out disponíveis?
8) Proteção do crédito
Uso quando: o tratamento é necessário para avaliação e proteção do crédito.
Exemplos práticos:
- Consulta a bureaus de crédito.
- Modelos de score para concessão de crédito ao próprio titular.
- Atualização de adimplemento/inadimplência.
Excesso aqui pode virar discriminação. Documente critérios e mantenha governança.
9) Estudos por órgão de pesquisa
Uso quando: o tratamento é para pesquisa, preferencialmente com anonimização e sem uso para decisões individuais.
Exemplos práticos:
- Estudos acadêmicos com dados anonimizados.
- Pesquisas de impacto social por instituições de pesquisa.
Comercial? Cuidado. Se o objetivo é marketing direto, esta base não serve.
10) Políticas públicas pela administração pública
Uso quando: a administração pública trata dados para execução de políticas públicas e atribuições legais.
Exemplos práticos:
- Cadastro em programas governamentais.
- Gestão de serviços públicos.
Para privados que operam para a administração, avalie execução de contrato e exigências específicas do convênio.
O que isso significa na prática?
- Uma atividade, uma base principal. Evite “combo” de bases para a mesma finalidade.
- Finalidade define a base. Mudou o propósito? Reavalie a base legal e a transparência ao titular.
- Registro é obrigatório. Documente a base no Record of Processing Activities (ROPA) e nos avisos de privacidade.
- Dados sensíveis pedem atenção redobrada: consulte o
Art. 11e exija salvaguardas adicionais.
Spoiler: “Porque sempre fizemos assim” não é base legal. É risco.
Por que isso é um risco para o seu negócio?
- Multas e sanções por tratamento sem base ou com base indevida.
- Bloqueio/eliminação de dados críticos, travando operações e vendas.
- Perda de confiança de clientes, parceiros e investidores.
- Custos legais com disputas, auditorias e retrabalho de processos.
Na LGPDPRO, vemos recorrentemente empresas com marketing afiado e jurídico atento, mas sem o “meio de campo” da base legal bem definida. É aí que a conformidade desanda.
Como começar a se adequar (passo a passo)?
- Mapeie processos que tratam dados: coleta, uso, compartilhamento, armazenamento.
- Classifique finalidades por processo e identifique o titular (cliente, lead, colaborador, parceiro).
- Escolha a base legal adequada para cada finalidade e registre o racional.
- Atualize documentos: avisos de privacidade, contratos, formulários e políticas internas.
- Implemente controles: gestão de consentimento, opt-out, retenção e segurança.
- Treine times de marketing, vendas, RH e TI. A operação precisa falar a mesma língua.
- Monitore e revise: mudanças de produto ou campanha exigem revalidação da base.
Quer acelerar esse ciclo com governança pronta? Veja nossa Consultoria LGPD e o DPO as a Service.
Erros comuns que custam caro
- Consentimento genérico para cobrir tudo (não cobre).
- Legítimo interesse sem LIA documentado e sem opt-out.
- Obrigações legais inventadas para facilitar a vida do negócio.
- Base legal trocada no meio do caminho sem transparência ao titular.
- Retenção infinita “por precaução” — sem base e sem necessidade.
O que a ANPD realmente fiscaliza
- Coerência entre a finalidade, a base legal e o aviso de privacidade.
- Prova documental da base (consentimentos, LIA, contratos, logs).
- Minimização de dados coletados e prazos de retenção definidos.
- Mecanismos de direitos do titular: opt-out, revogação de consentimento, acesso e eliminação.
Dica de Ouro da LGPDPRO
Troque a pergunta “qual base legal podemos usar?” por “qual base legal devemos usar para atingir a finalidade com o menor impacto ao titular?”.
Na prática, isso significa:
- Se a relação é contratual, use execução de contrato, não “consentimento de prateleira”.
- Se a atividade é marketing, avalie consentimento ou legítimo interesse com LIA e opt-out — e comunique de forma clara.
- Para saúde e crédito, siga estritamente o que a lei prevê — sem criatividade.
Quer um atalho? Nosso workshop prático de bases legais simula casos reais e entrega modelos prontos de LIA e cláusulas. Inscreva-se nos Workshops da LGPDPRO.
Exemplo rápido: alinhando base legal, documento e controle
- Finalidade: envio de newsletter educativa e ofertas.
- Base: consentimento.
- Documento: prova do opt-in, registro de data e IP.
- Controle: link de descadastro imediato em cada e-mail.
Checklist de consentimento: claro e destacado? granular por finalidade? prova de aceite? revogação fácil? impacto de revogação mapeado?
Dados pessoais sensíveis: atenção redobrada
Para dados de saúde, biometria, convicção religiosa, etc., as bases estão no Art. 11. Em geral, exigem consentimento específico ou se limitam a situações muito particulares (como tutela da saúde). Trate como material inflamável: mínimo necessário, controles reforçados e acesso restrito.
Conclusão
Bases legais para tratamento de dados pessoais não são burocracia — são a licença de operação da sua estratégia de dados. Quando bem definidas e documentadas, liberam o crescimento com segurança. Quando ignoradas, viram passivo invisível.
E então: seus processos estão protegidos ou expostos? Se quer precisão e velocidade, conte com quem faz isso todo dia. Conheça a Consultoria LGPDPRO, nosso DPO as a Service e os Workshops. Prefere começar com um diagnóstico rápido? Fale com o time em Contato. Se quiser explorar mais conteúdos, visite a LGPDPRO.
Compartilhe este conteúdo
Publicar comentário