A Ratio·Plataforma de Cursos|EntrarCriar Conta
Portal do Advogado.AI
Direito Digital

LGPD: Consentimento e Outras Bases Legais para Tratamento de Dados

Guia completo sobre as bases legais da LGPD para tratamento de dados pessoais, com foco prático em quando usar cada uma.

Redação IA + Direito06 de março de 202612 min
LGPDconsentimentobases legaistratamento de dados

Resumo

A LGPD estabelece dez bases legais para dados pessoais comuns (Art. 7º) e oito para dados sensíveis (Art. 11), com o consentimento sendo apenas uma delas e não a padrão. Ele deve ser utilizado quando não há outra base aplicável, para marketing direto ou compartilhamento de dados não essenciais. Para ser válido, o consentimento exige ser livre, informado, inequívoco, para finalidades determinadas e revogável, conforme o Art. 8º.

Bases Legais da LGPD: Quando e Como Usar Cada Uma#

Uma das decisões mais importantes no processo de adequação à LGPD é a escolha da base legal para cada tratamento de dados pessoais. A lei não exige que todo tratamento seja baseado em consentimento — pelo contrário, oferece dez bases legais diferentes para dados pessoais comuns (art. 7º) e oito para dados sensíveis (art. 11). A escolha adequada da base legal impacta diretamente os direitos dos titulares, as obrigações da organização e a viabilidade operacional do tratamento.

Bruno Bioni, referência nacional em proteção de dados, destaca que a escolha da base legal é uma das decisões mais estratégicas do programa de adequação à LGPD. Uma escolha equivocada pode gerar obrigações desnecessárias (como gestão de consentimento quando não é necessário) ou insuficiências que comprometam a conformidade.

O Consentimento (Art. 7º, I)#

Quando Usar#

O consentimento é a base legal mais conhecida, mas não deve ser a padrão. Use quando:

  • Não há outra base legal aplicável

  • A organização deseja dar ao titular controle direto sobre o tratamento

  • Para tratamentos de marketing direto e comunicações promocionais

  • Para compartilhamento de dados com terceiros para finalidades não essenciais

  • Para cookies não essenciais em websites

Requisitos Legais#

O consentimento válido na LGPD deve ser (art. 8º):

  • Livre: sem coerção ou condicionamento abusivo — não se pode negar serviço essencial por recusa de consentimento para tratamento não essencial

  • Informado: o titular deve saber exatamente para que seus dados serão usados

  • Inequívoco: manifestação clara e positiva (opt-in, não opt-out)

  • Para finalidades determinadas: consentimento genérico é nulo

  • Revogável: o titular pode revogar a qualquer momento, com a mesma facilidade com que concedeu (art. 8º, §5º)

Desafios Práticos#

  • Gestão do ciclo de vida: registrar concessão, manter evidência, processar revogação

  • Granularidade: consentimentos separados para finalidades distintas

  • Renovação: quando mudam as finalidades, é necessário novo consentimento

  • Prova: o ônus de provar que o consentimento foi obtido é do controlador (art. 8º, §2º)

Patricia Peck alerta que o consentimento mal gerido pode se tornar uma armadilha: a organização que baseia tratamentos extensivos em consentimento fica vulnerável a revogações em massa que podem paralisar operações.

Execução de Contrato (Art. 7º, V)#

Quando Usar#

Quando o tratamento é necessário para executar contrato do qual o titular é parte:

  • Processamento de dados para entrega de produto ou prestação de serviço contratado

  • Dados de empregados necessários para execução do contrato de trabalho

  • Informações de pagamento para processar transações contratadas

  • Dados necessários para garantia e assistência técnica de produtos

Limites#

  • Apenas dados estritamente necessários para a execução do contrato

  • Não cobre dados utilizados para finalidades que vão além do contrato (como marketing)

  • Se o contrato é encerrado, a base legal pode deixar de existir (salvo obrigações pós-contratuais)

Legítimo Interesse (Art. 7º, IX)#

Quando Usar#

A base mais flexível, mas que exige fundamentação robusta:

  • Marketing direto para clientes existentes (soft opt-in)

  • Prevenção à fraude e segurança de sistemas

  • Análise de uso de produtos e serviços para melhoria

  • Atividades de compliance e auditoria interna

  • Proteção do crédito (quando não há base legal mais específica)

O Teste de Proporcionalidade (LIA)#

O legítimo interesse exige avaliação documentada (Legitimate Interest Assessment):

  1. Finalidade: qual o interesse legítimo perseguido?

  2. Necessidade: o tratamento é realmente necessário para essa finalidade?

  3. Balanceamento: o interesse do controlador prevalece sobre os direitos do titular?

  4. Salvaguardas: quais medidas são adotadas para proteger os direitos do titular?

Carlos Roberto Gonçalves observa que o princípio da proporcionalidade permeia todo o ordenamento jurídico e sua aplicação ao legítimo interesse segue a mesma lógica de ponderação entre direitos e interesses.

Limites#

  • O legítimo interesse não pode ser usado para dados sensíveis (art. 11 não o prevê)

  • Exige transparência: o titular deve ser informado sobre o tratamento

  • O titular tem o direito de oposição ao tratamento baseado em legítimo interesse (art. 18, §2º)

Obrigação Legal ou Regulatória (Art. 7º, II)#

Quando Usar#

Quando a lei exige o tratamento:

  • Obrigações fiscais: emissão de notas fiscais, declarações à Receita Federal

  • Obrigações trabalhistas: RAIS, CAGED, eSocial, FGTS

  • Compliance regulatório: obrigações perante reguladores setoriais (Bacen, CVM, ANVISA)

  • Prevenção à lavagem de dinheiro: obrigações do COAF

  • Retenção de registros: Marco Civil da Internet (guarda de registros de acesso)

Vantagens#

É uma das bases mais seguras: se a lei exige o tratamento, a organização não apenas pode como deve realizá-lo. O titular não pode se opor a tratamentos baseados em obrigação legal.

Exercício Regular de Direitos (Art. 7º, VI)#

Quando Usar#

Para tratamentos necessários ao exercício de direitos em processo:

  • Retenção de dados para defesa em processos judiciais ou administrativos

  • Provas em processos trabalhistas, cíveis ou criminais

  • Dados de clientes mantidos para exercício de direitos contratuais

Prazo de Retenção#

Dados mantidos para exercício regular de direitos devem ser retidos pelo tempo necessário para prescrição das eventuais ações — prazo que varia conforme a natureza do direito (3 anos no CC para reparação civil, 5 anos no Direito do Trabalho, etc.).

Bases Legais para Dados Sensíveis (Art. 11)#

O tratamento de dados sensíveis é mais restritivo, com bases legais específicas:

  • Consentimento específico e destacado (art. 11, I)

  • Obrigação legal ou regulatória (art. 11, II, a)

  • Execução de políticas públicas (art. 11, II, b)

  • Pesquisa com anonimização quando possível (art. 11, II, c)

  • Exercício regular de direitos (art. 11, II, d)

  • Proteção da vida (art. 11, II, e)

  • Tutela da saúde (art. 11, II, f)

  • Prevenção à fraude e segurança do titular (art. 11, II, g)

Nota importante: o legítimo interesse não está entre as bases legais para dados sensíveis. Essa exclusão é intencional e reflete a proteção reforçada que a LGPD confere a essas categorias.

Eduardo Sabbag observa que as bases legais da LGPD seguem lógica similar às hipóteses de incidência tributária — cada base legal tem pressupostos específicos que devem ser verificados caso a caso.

Estratégia de Escolha da Base Legal#

Critérios de Decisão#

Para cada tratamento de dados, avalie:

  1. Existe obrigação legal? → Use obrigação legal (mais segura)

  2. É necessário para executar contrato? → Use execução de contrato

  3. Há legítimo interesse robusto? → Use legítimo interesse (com LIA documentada)

  4. Nenhuma das anteriores? → Use consentimento (como última opção, não como primeira)

Documentação#

Documente a escolha da base legal para cada tratamento no ROPA, incluindo:

  • A base legal escolhida e sua justificativa

  • Se for consentimento: como é obtido, registrado e gerenciado

  • Se for legítimo interesse: o LIA realizado

  • Se for obrigação legal: a norma que fundamenta a obrigação

Perguntas Frequentes#

Posso mudar a base legal de um tratamento que já está em andamento?#

Em princípio, sim, desde que a nova base legal seja adequada e o titular seja informado. Contudo, a mudança deve ser genuinamente justificada — não se admite mudança oportunista para fugir de obrigações.

O consentimento pode ser dado de forma oral?#

A LGPD não exige forma escrita, mas o ônus da prova é do controlador. Na prática, consentimentos orais são difíceis de comprovar, o que torna mecanismos digitais (opt-in em formulário) ou escritos muito mais seguros.

Posso usar mais de uma base legal para o mesmo tratamento?#

A doutrina majoritária entende que cada tratamento deve ter uma base legal principal identificada. Contudo, diferentes tratamentos dentro de uma mesma operação podem ter bases legais distintas.

O legítimo interesse é uma "carta branca"?#

Absolutamente não. O legítimo interesse exige avaliação de proporcionalidade documentada (LIA), transparência ao titular e respeito ao direito de oposição. Uso abusivo do legítimo interesse é sancionável.

Domine as bases legais da LGPD na prática nos labs do Portal do Advogado.AI — cenários que exigem escolha e fundamentação de bases legais com feedback especializado.

Crie sua conta gratuita no Portal do Advogado.AI

Acesse Labs Juridicos, simulacoes com IA e muito mais. Sem cartao de credito.

Criar Conta Gratis
Serie: LGPD e Direito Digital: Guia Pratico

Serie sobre LGPD e Direito Digital — da implementacao pratica em empresas ao papel do DPO, consentimento, transferencia internacional e impactos em saude digital e crimes ciberneticos.

Pilar

Guia Principal

LGPD: Guia Prático de Adequação para Empresas

Um roteiro objetivo para adequação de empresas à LGPD, cobrindo desde o mapeamento de dados até a implementação de medidas técnicas e organizacionais.

Pilares da serie

Artigos Relacionados

Direito Digital|09 de mar. de 2026

Transferência Internacional de Dados na LGPD: Regras e Mecanismos

Entenda as regras para transferência internacional de dados pessoais sob a LGPD, incluindo mecanismos permitidos e cuidados necessários.

Redação IA + Direito12 min
Direito Digital|04 de mar. de 2026

Vazamento de Dados na LGPD: Procedimentos e Responsabilidades

O que fazer em caso de vazamento de dados pessoais: procedimentos legais, prazos, comunicações à ANPD e gestão de crise conforme a LGPD.

Redação IA + Direito12 min
Direito Digital|02 de mar. de 2026

O DPO na LGPD: Função, Responsabilidades e Perfil Profissional

Tudo sobre o Encarregado de Proteção de Dados (DPO) na LGPD: atribuições legais, perfil ideal, desafios e oportunidades de carreira.

Redação IA + Direito12 min