Voltar ao Blog
Direito Digital

LGPD: Consentimento e Outras Bases Legais para Tratamento de Dados

Guia completo sobre as bases legais da LGPD para tratamento de dados pessoais, com foco prático em quando usar cada uma.

Portal do Advogado.AI06 de março de 202612 min
LGPDconsentimentobases legaistratamento de dados

Bases Legais da LGPD: Quando e Como Usar Cada Uma#

Uma das decisões mais importantes no processo de adequação à LGPD é a escolha da base legal para cada tratamento de dados pessoais. A lei não exige que todo tratamento seja baseado em consentimento — pelo contrário, oferece dez bases legais diferentes para dados pessoais comuns (art. 7º) e oito para dados sensíveis (art. 11). A escolha adequada da base legal impacta diretamente os direitos dos titulares, as obrigações da organização e a viabilidade operacional do tratamento.

Bruno Bioni, referência nacional em proteção de dados, destaca que a escolha da base legal é uma das decisões mais estratégicas do programa de adequação à LGPD. Uma escolha equivocada pode gerar obrigações desnecessárias (como gestão de consentimento quando não é necessário) ou insuficiências que comprometam a conformidade.

O Consentimento (Art. 7º, I)#

Quando Usar#

O consentimento é a base legal mais conhecida, mas não deve ser a padrão. Use quando:

  • Não há outra base legal aplicável
  • A organização deseja dar ao titular controle direto sobre o tratamento
  • Para tratamentos de marketing direto e comunicações promocionais
  • Para compartilhamento de dados com terceiros para finalidades não essenciais
  • Para cookies não essenciais em websites

Requisitos Legais#

O consentimento válido na LGPD deve ser (art. 8º):

  • Livre: sem coerção ou condicionamento abusivo — não se pode negar serviço essencial por recusa de consentimento para tratamento não essencial
  • Informado: o titular deve saber exatamente para que seus dados serão usados
  • Inequívoco: manifestação clara e positiva (opt-in, não opt-out)
  • Para finalidades determinadas: consentimento genérico é nulo
  • Revogável: o titular pode revogar a qualquer momento, com a mesma facilidade com que concedeu (art. 8º, §5º)

Desafios Práticos#

  • Gestão do ciclo de vida: registrar concessão, manter evidência, processar revogação
  • Granularidade: consentimentos separados para finalidades distintas
  • Renovação: quando mudam as finalidades, é necessário novo consentimento
  • Prova: o ônus de provar que o consentimento foi obtido é do controlador (art. 8º, §2º)

Patricia Peck alerta que o consentimento mal gerido pode se tornar uma armadilha: a organização que baseia tratamentos extensivos em consentimento fica vulnerável a revogações em massa que podem paralisar operações.

Execução de Contrato (Art. 7º, V)#

Quando Usar#

Quando o tratamento é necessário para executar contrato do qual o titular é parte:

  • Processamento de dados para entrega de produto ou prestação de serviço contratado
  • Dados de empregados necessários para execução do contrato de trabalho
  • Informações de pagamento para processar transações contratadas
  • Dados necessários para garantia e assistência técnica de produtos

Limites#

  • Apenas dados estritamente necessários para a execução do contrato
  • Não cobre dados utilizados para finalidades que vão além do contrato (como marketing)
  • Se o contrato é encerrado, a base legal pode deixar de existir (salvo obrigações pós-contratuais)

Legítimo Interesse (Art. 7º, IX)#

Quando Usar#

A base mais flexível, mas que exige fundamentação robusta:

  • Marketing direto para clientes existentes (soft opt-in)
  • Prevenção à fraude e segurança de sistemas
  • Análise de uso de produtos e serviços para melhoria
  • Atividades de compliance e auditoria interna
  • Proteção do crédito (quando não há base legal mais específica)

O Teste de Proporcionalidade (LIA)#

O legítimo interesse exige avaliação documentada (Legitimate Interest Assessment):

  1. Finalidade: qual o interesse legítimo perseguido?
  2. Necessidade: o tratamento é realmente necessário para essa finalidade?
  3. Balanceamento: o interesse do controlador prevalece sobre os direitos do titular?
  4. Salvaguardas: quais medidas são adotadas para proteger os direitos do titular?

Carlos Roberto Gonçalves observa que o princípio da proporcionalidade permeia todo o ordenamento jurídico e sua aplicação ao legítimo interesse segue a mesma lógica de ponderação entre direitos e interesses.

Limites#

  • O legítimo interesse não pode ser usado para dados sensíveis (art. 11 não o prevê)
  • Exige transparência: o titular deve ser informado sobre o tratamento
  • O titular tem o direito de oposição ao tratamento baseado em legítimo interesse (art. 18, §2º)

Obrigação Legal ou Regulatória (Art. 7º, II)#

Quando Usar#

Quando a lei exige o tratamento:

  • Obrigações fiscais: emissão de notas fiscais, declarações à Receita Federal
  • Obrigações trabalhistas: RAIS, CAGED, eSocial, FGTS
  • Compliance regulatório: obrigações perante reguladores setoriais (Bacen, CVM, ANVISA)
  • Prevenção à lavagem de dinheiro: obrigações do COAF
  • Retenção de registros: Marco Civil da Internet (guarda de registros de acesso)

Vantagens#

É uma das bases mais seguras: se a lei exige o tratamento, a organização não apenas pode como deve realizá-lo. O titular não pode se opor a tratamentos baseados em obrigação legal.

Exercício Regular de Direitos (Art. 7º, VI)#

Quando Usar#

Para tratamentos necessários ao exercício de direitos em processo:

  • Retenção de dados para defesa em processos judiciais ou administrativos
  • Provas em processos trabalhistas, cíveis ou criminais
  • Dados de clientes mantidos para exercício de direitos contratuais

Prazo de Retenção#

Dados mantidos para exercício regular de direitos devem ser retidos pelo tempo necessário para prescrição das eventuais ações — prazo que varia conforme a natureza do direito (3 anos no CC para reparação civil, 5 anos no Direito do Trabalho, etc.).

Bases Legais para Dados Sensíveis (Art. 11)#

O tratamento de dados sensíveis é mais restritivo, com bases legais específicas:

  • Consentimento específico e destacado (art. 11, I)
  • Obrigação legal ou regulatória (art. 11, II, a)
  • Execução de políticas públicas (art. 11, II, b)
  • Pesquisa com anonimização quando possível (art. 11, II, c)
  • Exercício regular de direitos (art. 11, II, d)
  • Proteção da vida (art. 11, II, e)
  • Tutela da saúde (art. 11, II, f)
  • Prevenção à fraude e segurança do titular (art. 11, II, g)

Nota importante: o legítimo interesse não está entre as bases legais para dados sensíveis. Essa exclusão é intencional e reflete a proteção reforçada que a LGPD confere a essas categorias.

Eduardo Sabbag observa que as bases legais da LGPD seguem lógica similar às hipóteses de incidência tributária — cada base legal tem pressupostos específicos que devem ser verificados caso a caso.

Estratégia de Escolha da Base Legal#

Critérios de Decisão#

Para cada tratamento de dados, avalie:

  1. Existe obrigação legal? → Use obrigação legal (mais segura)
  2. É necessário para executar contrato? → Use execução de contrato
  3. Há legítimo interesse robusto? → Use legítimo interesse (com LIA documentada)
  4. Nenhuma das anteriores? → Use consentimento (como última opção, não como primeira)

Documentação#

Documente a escolha da base legal para cada tratamento no ROPA, incluindo:

  • A base legal escolhida e sua justificativa
  • Se for consentimento: como é obtido, registrado e gerenciado
  • Se for legítimo interesse: o LIA realizado
  • Se for obrigação legal: a norma que fundamenta a obrigação

Perguntas Frequentes#

Posso mudar a base legal de um tratamento que já está em andamento?#

Em princípio, sim, desde que a nova base legal seja adequada e o titular seja informado. Contudo, a mudança deve ser genuinamente justificada — não se admite mudança oportunista para fugir de obrigações.

O consentimento pode ser dado de forma oral?#

A LGPD não exige forma escrita, mas o ônus da prova é do controlador. Na prática, consentimentos orais são difíceis de comprovar, o que torna mecanismos digitais (opt-in em formulário) ou escritos muito mais seguros.

Posso usar mais de uma base legal para o mesmo tratamento?#

A doutrina majoritária entende que cada tratamento deve ter uma base legal principal identificada. Contudo, diferentes tratamentos dentro de uma mesma operação podem ter bases legais distintas.

O legítimo interesse é uma "carta branca"?#

Absolutamente não. O legítimo interesse exige avaliação de proporcionalidade documentada (LIA), transparência ao titular e respeito ao direito de oposição. Uso abusivo do legítimo interesse é sancionável.

Domine as bases legais da LGPD na prática nos labs do Portal do Advogado.AI — cenários que exigem escolha e fundamentação de bases legais com feedback especializado.

Compartilhe este artigo

Crie sua conta gratuita no Portal do Advogado.AI

Acesse Labs Juridicos, simulacoes com IA e muito mais. Sem cartao de credito.

Artigos Relacionados

Direito Digital

Transferência Internacional de Dados na LGPD: Regras e Mecanismos

Entenda as regras para transferência internacional de dados pessoais sob a LGPD, incluindo mecanismos permitidos e cuidados necessários.

12 min
Direito Digital

Vazamento de Dados na LGPD: Procedimentos e Responsabilidades

O que fazer em caso de vazamento de dados pessoais: procedimentos legais, prazos, comunicações à ANPD e gestão de crise conforme a LGPD.

12 min
Direito Digital

O DPO na LGPD: Função, Responsabilidades e Perfil Profissional

Tudo sobre o Encarregado de Proteção de Dados (DPO) na LGPD: atribuições legais, perfil ideal, desafios e oportunidades de carreira.

12 min