Bases Legais para Tratamento de Dados na LGPD

A LGPD estabelece dez bases legais que autorizam o tratamento de dados pessoais no Brasil, e conhecer cada uma delas é essencial para qualquer processo de due diligence em proteção de dados.

O que são bases legais e por que elas importam na LGPD

Quando falamos em tratamento de dados pessoais, a primeira pergunta que precisamos responder é: qual a justificativa jurídica para coletar, armazenar, processar ou compartilhar determinada informação? A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) trouxe ao ordenamento brasileiro um sistema de legitimação fundamentado em bases legais taxativas, listadas em seu artigo 7º. Sem o enquadramento adequado em ao menos uma dessas hipóteses, qualquer operação de tratamento será considerada ilícita, independentemente da boa-fé do controlador.

A escolha inadequada da base legal não é uma mera irregularidade formal: ela contamina toda a cadeia de tratamento e pode transformar operações legítimas em violações à LGPD.

No contexto de due diligence de dados, a verificação das bases legais utilizadas por uma organização é um dos pilares da análise de conformidade. Quando se analisa a situação de uma empresa, verifica-se se cada fluxo de dados possui uma base legal claramente identificada, se essa base foi documentada e se ela é realmente adequada à finalidade pretendida. Essa análise não é meramente formal: ela revela a maturidade do programa de governança de dados e pode impactar decisivamente avaliações de risco em operações societárias, fusões, aquisições e parcerias comerciais.

A LGPD não estabelece hierarquia entre as bases legais. Isso significa que o consentimento, embora seja a hipótese mais conhecida pelo público em geral, não é superior nem preferível às demais. Cada situação concreta exige uma avaliação cuidadosa para identificar qual base legal é a mais apropriada, considerando a natureza dos dados, a finalidade do tratamento, o contexto da relação entre controlador e titular e os riscos envolvidos.

As dez bases legais do artigo 7º da LGPD

O artigo 7º da LGPD enumera dez hipóteses que autorizam o tratamento de dados pessoais. Analisa-se cada uma delas com foco na aplicabilidade prática durante processos de due diligence.

Consentimento do titular

O consentimento deve ser livre, informado, inequívoco e fornecido para uma finalidade determinada. Em processos de due diligence, verifica-se se os mecanismos de coleta de consentimento são robustos, se há registros auditáveis (logs de aceite, por exemplo) e se o titular pode revogar o consentimento de forma simples. Empresas que dependem exclusivamente do consentimento para a maioria de suas operações costumam apresentar maior fragilidade operacional, pois qualquer revogação em massa pode comprometer processos internos inteiros.

Cumprimento de obrigação legal ou regulatória

Quando uma lei ou norma regulatória exige que determinados dados sejam tratados, o controlador não apenas pode como deve realizar o tratamento. É o caso de obrigações trabalhistas (envio de informações ao eSocial), fiscais (retenção de dados para fins tributários) e setoriais (exigências do Banco Central para instituições financeiras). Na due diligence, mapeamos quais obrigações legais sustentam os fluxos de dados e verifica-se se a empresa está efetivamente cumprindo essas obrigações ou se apenas as utiliza como justificativa genérica.

Execução de políticas públicas pela administração pública

Essa base legal é restrita a órgãos e entidades da administração pública. Ela autoriza o tratamento de dados necessários à execução de políticas públicas previstas em leis, regulamentos ou respaldadas em contratos, convênios ou instrumentos similares. Para empresas privadas que mantêm contratos com o poder público, essa base pode ser relevante em operações específicas vinculadas à execução dessas políticas.

Realização de estudos por órgão de pesquisa

Aplicável a entidades que se enquadram no conceito de órgão de pesquisa definido pela LGPD. Quando possível, deve-se garantir a anonimização dos dados. Em avaliações de due diligence de empresas do setor de pesquisa e desenvolvimento, verifica-se se a anonimização é efetiva e se os protocolos de segurança atendem aos padrões exigidos.

Execução ou preparação de contrato

Quando o tratamento de dados é necessário para a execução de um contrato do qual o titular é parte, ou para procedimentos preliminares relacionados a um contrato solicitado pelo titular, essa base legal se aplica. Ela é extremamente comum em relações comerciais e de prestação de serviços. Na análise de due diligence, verifica-se se a empresa não está ampliando indevidamente o escopo dessa base legal para justificar tratamentos que vão além do estritamente necessário para a relação contratual.

Exercício regular de direitos em processo judicial, administrativo ou arbitral

Essa hipótese permite que dados pessoais sejam tratados quando necessário para o exercício regular de direitos em processos. Ela protege o direito de defesa e o acesso à justiça. Em due diligence, essa base costuma aparecer em análises de departamentos jurídicos e na retenção de dados para fins de defesa em eventuais litígios, prática conhecida como litigation hold.

Proteção da vida ou da incolumidade física

Aplicável em situações de emergência nas quais o tratamento de dados é necessário para proteger a vida ou a integridade física do titular ou de terceiro. Embora seja uma base legal de aplicação restrita, ela é relevante em setores como saúde e segurança.

Tutela da saúde

Exclusivamente para procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária. Em processos de due diligence de empresas do setor de saúde, essa base legal exige atenção especial, pois frequentemente envolve dados sensíveis, que possuem regime de proteção mais rigoroso previsto no artigo 11 da LGPD.

Legítimo interesse do controlador ou de terceiro

O legítimo interesse é uma das bases legais mais flexíveis e, por isso mesmo, uma das mais complexas de aplicar corretamente. A LGPD exige que o tratamento seja fundamentado em finalidades legítimas, consideradas a partir de situações concretas, e que sejam respeitados os direitos e expectativas do titular. Na due diligence, verifica-se se a empresa realizou o chamado teste de balanceamento (Legitimate Interest Assessment), documentando a finalidade pretendida, a necessidade do tratamento, o equilíbrio entre os interesses do controlador e os direitos do titular e as salvaguardas adotadas.

Proteção do crédito

Base legal que autoriza o tratamento de dados para fins de proteção do crédito, incluindo consultas a bureaus de crédito e análises de risco. Ela é particularmente relevante para instituições financeiras, empresas de cobrança e birôs de crédito.

Due diligence de dados: como avaliar a conformidade das bases legais

Em um processo de due diligence focado em proteção de dados, a análise das bases legais vai muito além de verificar se elas foram formalmente indicadas em um registro de operações de tratamento. Precisamos avaliar a coerência entre a base legal escolhida e a realidade operacional do tratamento. É comum encontrarmos situações em que uma empresa declara utilizar o consentimento como base legal, mas na prática não oferece ao titular nenhuma opção real de recusa, o que descaracteriza completamente a validade desse consentimento.

O mapeamento de dados (data mapping ou Record of Processing Activities) é o documento central dessa análise. Nele, cada fluxo de dados deve estar associado a uma base legal específica, com a respectiva justificativa. Quando se analisam empresas em processos de fusão ou aquisição, a ausência desse mapeamento ou sua desatualização é um indicador significativo de risco. Ele pode revelar exposições que impactam o valuation da operação ou que exigem a inclusão de cláusulas de indenização específicas no contrato de compra e venda.

Outro ponto crítico é a análise de transferências internacionais de dados. Quando dados pessoais são transferidos para outros países, além da base legal que autoriza o tratamento em si, é necessário verificar se o país de destino oferece nível adequado de proteção ou se foram adotadas garantias apropriadas, como cláusulas contratuais padrão. Essa camada adicional de análise é frequentemente negligenciada e pode representar um risco regulatório relevante.

Dados sensíveis: regime especial do artigo 11

A LGPD estabelece um regime diferenciado para o tratamento de dados pessoais sensíveis, que incluem informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos. O artigo 11 da Lei restringe as bases legais aplicáveis, excluindo, por exemplo, o legítimo interesse e a proteção do crédito.

Para dados sensíveis, o consentimento deve ser específico e destacado, com indicação clara das finalidades. As demais hipóteses autorizativas são mais restritas e vinculadas a situações determinadas pela lei. Em processos de due diligence, a identificação de fluxos que envolvem dados sensíveis exige atenção redobrada, pois as penalidades por tratamento irregular desses dados tendem a ser mais severas e o impacto reputacional é proporcionalmente maior.

Verifica-se também se a empresa adota medidas técnicas e organizacionais reforçadas para proteger dados sensíveis, como controle de acesso mais restritivo, criptografia, pseudonimização e registros de auditoria específicos. A ausência dessas medidas, mesmo quando a base legal está corretamente identificada, representa uma vulnerabilidade que precisa ser reportada na due diligence.

Consequências práticas da escolha inadequada de base legal

A Autoridade Nacional de Proteção de Dados (ANPD) já demonstrou, em suas primeiras atuações fiscalizatórias, que a análise das bases legais é um dos focos prioritários de verificação. A escolha inadequada pode acarretar sanções administrativas que variam desde advertências até multas de até 2% do faturamento da pessoa jurídica (limitadas a R$ 50 milhões por infração), além de sanções como publicização da infração, bloqueio ou eliminação dos dados.

Do ponto de vista prático, uma base legal mal escolhida pode gerar efeitos cascata. Se uma empresa utiliza o consentimento como base para um tratamento que sustenta toda uma cadeia de processos internos e um grupo significativo de titulares revoga esse consentimento, a empresa pode se ver obrigada a interromper operações essenciais. Por outro lado, se a mesma empresa tivesse enquadrado corretamente o tratamento na base do legítimo interesse (quando cabível) ou na execução de contrato, a revogação individual não teria esse efeito disruptivo.

Na perspectiva da due diligence, identificar essas fragilidades antes do fechamento de uma operação societária permite que o comprador ou investidor negocie ajustes no preço, exija planos de remediação como condição precedente ou inclua cláusulas de proteção contratual adequadas. A análise de bases legais, portanto, deixa de ser uma questão puramente regulatória e passa a ter impacto financeiro direto na transação.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.