Resumo GEO: O art. 7.o da LGPD estabelece dez bases legais para o tratamento de dados pessoais, incluindo consentimento, legítimo interesse, execução de contrato e cumprimento de obrigação legal. Cada base possui requisitos específicos e se aplica a contextos distintos. A escolha adequada é fundamental para a conformidade.
O que são bases legais na LGPD e por que são importantes?
Bases legais são as hipóteses jurídicas que autorizam o tratamento de dados pessoais. No regime da LGPD, todo tratamento de dados pessoais deve estar fundamentado em ao menos uma das bases legais previstas no art. 7.o (para dados comuns) ou no art. 11 (para dados sensíveis). A ausência de base legal torna o tratamento ilícito, sujeitando o controlador a sanções administrativas da ANPD, a ações de responsabilidade civil e, conforme o caso, a implicações penais.
A escolha da base legal adequada é uma das decisões mais críticas no processo de conformidade à LGPD. Não se trata de mera formalidade: a base legal escolhida determina os direitos exercíveis pelo titular, as obrigações do controlador e as consequências da cessação do tratamento. Por exemplo, dados tratados com base no consentimento podem ser eliminados a qualquer momento mediante revogação pelo titular (art. 18, VI), enquanto dados tratados com base em obrigação legal podem ser mantidos independentemente da vontade do titular.
Conforme orienta a ANPD em seu Guia Orientativo sobre Bases Legais (2024), a base legal deve ser definida antes do início do tratamento e documentada no registro de operações de tratamento (Record of Processing Activities — ROPA). A alteração posterior da base legal é admissível, mas deve ser justificada e comunicada ao titular quando relevante.
Quais são as dez bases legais do art. 7.o?
| Base Legal | Inciso | Requisitos Principais | Exemplo Prático |
|---|---|---|---|
| Consentimento | I | Livre, informado, inequívoco, para finalidade determinada | Newsletter, marketing por e-mail |
| Obrigação legal ou regulatória | II | Existência de norma que imponha o tratamento | Retenção de dados trabalhistas (CLT), registros fiscais |
| Políticas públicas | III | Administração pública, execução de política pública prevista em norma | Cadastro Único, vacinação |
| Estudos por órgão de pesquisa | IV | Anonimização sempre que possível | Pesquisas acadêmicas, IBGE |
| Execução de contrato | V | Contrato existente ou procedimentos preliminares | E-commerce, prestação de serviço contratado |
| Exercício regular de direitos | VI | Processo judicial, administrativo ou arbitral | Produção de provas, defesa em juízo |
| Proteção da vida | VII | Risco iminente à vida ou incolumidade | Emergência médica, catástrofes |
| Tutela da saúde | VIII | Procedimento por profissional de saúde ou autoridade sanitária | Prontuário médico, vigilância sanitária |
| Legítimo interesse | IX | Interesse legítimo, necessidade, balanceamento com direitos do titular | Prevenção à fraude, marketing direto por clientes existentes |
| Proteção do crédito | X | Conforme legislação pertinente | Score de crédito (Lei 12.414/2011) |
Verifica-se que as bases legais não são hierarquizadas entre si, não havendo prevalência de uma sobre outra. A ANPD tem reiterado que o consentimento não é a base legal preferencial ou residual, devendo cada situação de tratamento ser avaliada individualmente para identificação da base mais adequada.
Como funciona o consentimento na LGPD?
O consentimento, previsto no art. 7.o, I, da LGPD, é definido no art. 5.o, XII, como "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada". Cada um desses qualificadores possui significado jurídico preciso.
A liberdade implica que o titular não pode ser coagido, constrangido ou prejudicado por recusar o consentimento. Consentimentos obtidos como condição para acesso a serviço que não requer os dados solicitados são considerados viciados. A ANPD, no caso Telekall (2023), declarou inválido consentimento obtido por meio de cláusula pré-marcada em contrato de adesão.
O caráter informado exige que o titular conheça, antes de consentir, quais dados serão tratados, para quais finalidades, por quanto tempo, com quem serão compartilhados e quais são seus direitos. Essas informações devem ser apresentadas de forma clara, acessível e em linguagem simples (art. 9.o).
A inequivocidade afasta o consentimento implícito ou presumido. A LGPD não exige consentimento expresso em todos os casos (diferentemente dos dados sensíveis, que exigem consentimento "de forma específica e destacada"), mas exige manifestação clara e positiva do titular.
Dado fundamental: pesquisa da Fundação Getulio Vargas (FGV) de 2025 revelou que apenas 14% dos brasileiros leem integralmente os termos de consentimento antes de aceitá-los, e 67% consideram que os termos são "longos demais e incompreensíveis". Esses dados evidenciam a fragilidade prática do consentimento como mecanismo de proteção e reforçam a importância de bases legais alternativas.
Quando utilizar o legítimo interesse?
O legítimo interesse (art. 7.o, IX) é a base legal mais flexível da LGPD, mas também a que exige maior diligência e documentação. Diferentemente do consentimento, o legítimo interesse não depende de manifestação do titular, mas exige que o controlador demonstre a existência de interesse legítimo, a necessidade do tratamento e o balanceamento com os direitos e expectativas do titular.
O art. 10 da LGPD delimita o âmbito do legítimo interesse, prevendo que pode ser utilizado para: apoio e promoção de atividades do controlador (art. 10, I) e proteção do exercício regular de direitos do titular ou prestação de serviços que o beneficiem (art. 10, II). O § 1.o determina que somente os dados pessoais estritamente necessários para a finalidade pretendida podem ser tratados com base nessa hipótese.
A ANPD publicou, em 2024, Guia Orientativo sobre Legítimo Interesse, recomendando a realização de teste de proporcionalidade (LIA — Legitimate Interest Assessment) em quatro etapas: (i) identificação do interesse legítimo; (ii) verificação da necessidade do tratamento; (iii) balanceamento com os direitos do titular; e (iv) implementação de salvaguardas adequadas.
Exemplos reconhecidos de legítimo interesse incluem: prevenção à fraude em transações financeiras; marketing direto para clientes existentes (com opt-out); segurança de redes e sistemas; e due diligence em operações de fusão e aquisição. Em contraste, o uso de legítimo interesse para profiling intrusivo, compartilhamento massivo com terceiros ou tratamento de dados sensíveis é geralmente considerado desproporcional.
Como escolher a base legal adequada?
A escolha da base legal deve considerar múltiplos fatores: a natureza dos dados (comuns ou sensíveis), a finalidade do tratamento, a relação com o titular (contratual, consumerista, regulatória), o grau de controle do titular e as consequências práticas de cada opção.
Recomenda-se a seguinte metodologia: primeiro, verificar se existe obrigação legal que imponha o tratamento (art. 7.o, II), pois nesse caso a base legal é predeterminada. Segundo, verificar se existe contrato com o titular que justifique o tratamento (art. 7.o, V). Terceiro, avaliar se o legítimo interesse se aplica e é proporcional (art. 7.o, IX). O consentimento deve ser considerado quando nenhuma das bases anteriores for adequada, pois sua revogabilidade a qualquer momento gera fragilidade operacional.
Conforme alerta Bioni (2022), é possível que múltiplas bases legais se apliquem simultaneamente ao mesmo tratamento. Nesse caso, o controlador deve documentar a base legal principal e as bases subsidiárias, assegurando que o tratamento permaneça lícito mesmo se uma das bases for invalidada.
Perguntas frequentes
Posso trocar a base legal depois de iniciado o tratamento?
Sim, desde que a nova base legal seja adequada e o titular seja informado da alteração quando relevante. A ANPD orienta que a troca de base legal deve ser documentada e justificada. A troca não deve ser utilizada para contornar direitos do titular (por exemplo, trocar consentimento por legítimo interesse para evitar obrigação de eliminação).
O legítimo interesse dispensa o consentimento do titular?
Sim. O legítimo interesse é base legal autônoma que não depende do consentimento do titular. Contudo, exige que o controlador realize teste de proporcionalidade (LIA), documente a análise e implemente salvaguardas adequadas, incluindo a garantia do direito de oposição pelo titular (art. 18, § 2.o).
Qual base legal usar para envio de e-mail marketing?
Depende da relação com o destinatário. Para contatos que já são clientes, o legítimo interesse pode ser adequado (marketing direto sobre produtos similares aos já adquiridos), desde que oferecido opt-out. Para novos contatos sem relação prévia, o consentimento é a base mais adequada. Em ambos os casos, a legislação consumerista (CDC) e o Marco Civil da Internet devem ser observados.
A obrigação legal inclui regulamentações de agências?
Sim. O art. 7.o, II, refere-se a "obrigação legal ou regulatória", abrangendo tanto leis em sentido formal quanto regulamentações de agências como BACEN, ANVISA, ANATEL, CVM e outras. Instruções normativas, resoluções e circulares que imponham tratamento de dados pessoais constituem fundamento válido para essa base legal.
A proteção do crédito é exclusiva de bureaus de crédito?
Não. Embora a base legal de proteção do crédito (art. 7.o, X) seja frequentemente associada a bureaus como Serasa e SPC, ela pode ser utilizada por qualquer agente que necessita tratar dados para fins de avaliação e proteção do crédito, incluindo instituições financeiras, comerciantes e prestadores de serviço que concedem crédito.
Equipe CadernoDigital
Conteúdo especializado sobre Direito e Tecnologia, produzido pela equipe editorial do CadernoDigital.ai — a plataforma jurídica inteligente do Brasil.