Questor Help DOCS

Inicio FAQ
LGPD Introdução a LGPD Bases Legais

Última modificação em: 10/11/2020

Bases Legais

Você sabe como, e em quais casos a LGPD autoriza a sua empresa a utilizar os dados pessoais? Para responder a essa pergunta, é necessário entender o conceito de bases legais.

As bases legais são hipóteses da LGPD que autorizam o tratamento de dados pessoais. A lei estabelece que para que qualquer pessoa, física ou jurídica, possa realizar qualquer operação com um dado pessoal – seja coletar, transmitir ou processar – é necessário possuir uma base legal presente na LGPD que justifique o tratamento desses dados. (Art. 7o - Incisos de I a X)

Na entrada em vigor da LGPD, empresas que utilizam dados pessoais sem uma base legal adequada, estarão tratando dados de forma ilegal.

A LGPD prevê dez bases legais que autorizam o tratamento de dados pessoais. As bases legais não têm dependência ou predominância entre si, e para todo caso de tratamento de dados, existe uma base legal mais apropriada.

Agora vamos examinar as principais bases legais previstas na LGPD.

1. Consentimento

Consentimento é definido como uma declaração clara e inequívoca de vontade. É o caso em que a pessoa concorda com o uso dos seus dados para as finalidades propostas pela empresa.

Conforme Art. 8º, o consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

Um exemplo prático da base legal do consentimento, é o checkbox (opt-in) em campos de formulário, para pedir autorização para o envio de comunicações.

Exemplo de caixa de seleção para consentimento LGPD

Contudo, o consentimento, como previsto na LGPD, precisa de alguns requisitos para que possa ser considerado válido:

  • O consentimento precisa ser livre: O titular não pode ser forçado a fornecer consentimento. Deve ser uma escolha. Se uma empresa insere um checkbox de consentimento em um formulário, mas exige que o preenchimento do checkbox seja obrigatório, o titular não terá escolha sobre fornecer ou não o consentimento;

  • O consentimento precisa ser informado: O titular deve entender com o que está consentindo. As organizações devem certificar-se que explicam de forma clara exatamente o que a pessoa está concordando. Incluir informações em uma política de privacidade densa ou ocultas em letras pequenas, difíceis de encontrar, difíceis de entender ou raramente lidas, não será suficiente para estabelecer o consentimento informado;

  • O consentimento precisa ser inequívoco: Depende de manifestação por meio de um ato positivo do usuário. Em outras palavras, deve haver uma ação do usuário indicando sua aceitação, seja pelo envio de um e-mail, assinatura eletrônica, ou até mesmo por um clique em local determinado. Não podem haver dúvidas acerca de o consentimento ter sido fornecido ou não;

  • O consentimento precisa ser fornecido para fins específicos e determinados: O consentimento deve ser fornecido para uma finalidade específica e determinada. Faz parte de toda a lógica da LGPD especificar o motivo pelo qual um dado pessoal é utilizado. A empresa não pode utilizar os dados para uma finalidade diferente daquela que o titular forneceu consentimento.

Sempre precisarei de consentimento?

Não necessariamente. O consentimento é apenas uma das dez bases legais que autorizam o tratamento de dados. Existem outras bases legais que podem ser utilizadas além do consentimento, em especial: cumprimento de obrigação legal ou regulatória, legítimo interesse e contratos.

2. Cumprimento de Obrigação Legal ou Regulatória

Sempre que houver a necessidade do dado para cumprir uma obrigação legal ou regulatória, o controlador poderá utilizar esta base de dados para fazer uso das informações pessoais do titular.

Importante destacar que o controlador deverá informar o titular sobre a utilização dos dados, sua finalidade e tempo de uso.

3. Legítimo Interesse

Outra hipótese que autoriza o uso dos dados é o legítimo interesse. Essa é mais flexível das bases legais da LGPD, mas a sua aplicação não é simples.

O legítimo interesse permite o uso dos dados, sem a necessidade de obtenção de consentimento. Contudo, é necessário tomar alguns cuidados para entender em quais casos o legítimo interesse realmente pode ser aplicado.

A LGPD ainda não possui diretrizes específicas sobre a utilização dessa base legal. Isso tende a ocorrer após a criação da ANPD – Agência Nacional de Proteção de Dados. Por hora, é sabido que a base legal do legítimo interesse pode ser utilizada em situações em que:

  • quando o consentimento do usuário for muito difícil de ser obtido;

  • quando o consentimento do usuário pode ser considerado desnecessário;

  • quando houver um impacto mínimo no indivíduo ou uma justificativa convincente para a sua utilização;

Requisitos do legítimo interesse

Quando uma empresa decide utilizar o legítimo interesse, deve realizar um teste de proporcionalidade. Esse teste possui o objetivo de balancear, de um lado, os interesses da sua empresa, e do outro os direitos e liberdades do titular dos dados pessoais.

O teste leva em consideração detalhes específicos de cada caso de uso de dados, portanto, é importante que cada empresa conte com auxílio especializado de consultoria jurídica, ou através da figura de um Data Protection Officer (um encarregado), para nortear a realização dos testes.

Por que é tão difícil entender quando utilizar o legítimo interesse?

Você já tentou ler a LGPD para entender o que deve fazer para adequar as suas práticas de Marketing e Vendas? Para entender, por exemplo, quando pode utilizar a base legal do legítimo interesse? Caso você já tenha tentado, provavelmente sentiu uma certa frustração.

Uma das maiores dificuldades que empresas brasileiras encontram no processo de adequação à LGPD é a ausência de orientações e diretrizes específicas. Não existe um entendimento claro de quais casos de uso de dados pessoais para práticas de Marketing e Vendas podem utilizar a base legal do legítimo interesse, o que traz incerteza e risco para a adaptação à lei.

Isso acontece porque a LGPD não foi feita para responder a todos esses detalhes. A nova lei precisa da criação de diretrizes específicas para cada caso de uso.

O órgão que será responsável por criar essas diretrizes (além de fiscalizar e multar), será a ANPD – Autoridade Nacional de Proteção de Dados. A ANPD está sendo constituída, e até a criação definitiva e o estabelecimento das normas, empresas terão que tomar decisões mais difíceis para adequar os pontos da lei que ainda estão abertos à interpretação.

3. Contratos

No caso da base legal de contratos, os dados de uma pessoa podem ser processados em dois casos:

  • o primeiro é para que seja cumprida uma obrigação prevista em contrato;

  • o segundo quando o tratamento de dados serve para a validação e início de vigência de um acordo.

Demais bases legais

Além das bases legais mencionadas, existem outras bases legais que autorizam o tratamento de dados pessoais. Contudo, a utilização destas bases legais tende a ser menos comum e recorrentes, sendo mais específicas para determinados ramos de atividades.

  1. Execução de Políticas Públicas;

  2. Estudos por órgãos de pesquisa;

  3. Processo Judicial;

  4. Proteção da Vida;

  5. Tutela da Saúde;

  6. Proteção de Crédito.

Em resumo, as bases legais são o ponto de partida para empresas criarem relações mais justas com o consumidor. Quando a sua empresa for pensar em bases legais é importante repensar a ética por trás das formas que estes dados são coletados e utilizados.

CCQ Blog
© Questor Sistemas 2025