Bases Legais para Tratamento de Dados na LGPD
Aqui está o artigo HTML completo seguido das meta SEO:
“`html
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, a LGPD) transformou a forma como empresas, escritórios e organizações lidam com informações de pessoas físicas no Brasil. Um dos pilares centrais dessa legislação é a exigência de que todo tratamento de dados pessoais esteja fundamentado em ao menos uma das bases legais previstas em seu artigo 7º. Neste artigo, exploramos cada uma dessas bases, explicamos quando e como aplicá-las, e orientamos sobre como estruturar uma política de conformidade robusta e juridicamente sustentável.
O que são bases legais e por que elas são obrigatórias
Antes da LGPD, era comum que organizações coletassem e utilizassem dados pessoais sem qualquer justificativa formal. A lei mudou esse paradigma ao estabelecer que nenhum dado pode ser tratado sem amparo em uma das hipóteses legais taxativamente previstas. Isso significa que a pergunta “podemos tratar esses dados?” deve ser respondida com referência direta à lei, não apenas com base em conveniência ou costume.
O conceito de “tratamento” é amplo: abrange coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração de dados pessoais. Ou seja, praticamente qualquer operação envolvendo informações de pessoas físicas identificadas ou identificáveis precisa de uma base legal.
A ausência de base legal adequada configura tratamento irregular e pode ensejar aplicação de sanções pela Autoridade Nacional de Proteção de Dados (ANPD), que incluem advertência, multa simples de até 2% do faturamento (limitada a R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio ou eliminação dos dados e suspensão parcial ou total do banco de dados.
“Toda operação de tratamento de dados pessoais precisa estar amparada em uma das dez hipóteses legais previstas no artigo 7º da LGPD. Escolher a base legal correta não é formalidade: é o fundamento de toda a estratégia de conformidade.”
As dez bases legais do artigo 7º da LGPD
A LGPD prevê dez hipóteses que legitimam o tratamento de dados pessoais de pessoas físicas em contextos gerais (há bases específicas para dados sensíveis no artigo 11º, que trataremos adiante). Vejamos cada uma delas:
1. Consentimento do titular
A mais conhecida das bases legais, o consentimento exige manifestação livre, informada e inequívoca do titular. A lei proíbe o consentimento genérico ou embutido em contratos de adesão sem destaque. Quando o tratamento envolver finalidades múltiplas, o consentimento deve ser obtido para cada uma delas.
Um ponto relevante: o consentimento pode ser revogado a qualquer momento pelo titular, e a organização deve tornar esse processo tão simples quanto foi o de consentir. Além disso, o ônus de provar que o consentimento foi obtido de forma válida recai sempre sobre o controlador.
2. Cumprimento de obrigação legal ou regulatória
Quando a lei ou um ato normativo determinar que determinadas informações sejam coletadas e mantidas, o tratamento está automaticamente autorizado por essa base. Exemplos incluem a guarda de documentos trabalhistas por empregadores, a retenção de dados fiscais exigida pela Receita Federal e o cumprimento de obrigações impostas pelo Banco Central a instituições financeiras.
3. Execução de políticas públicas pela administração pública
Órgãos e entidades públicas podem tratar dados pessoais para executar políticas públicas previstas em leis, regulamentos ou contratos. Essa base é restrita ao poder público e não se aplica a entidades privadas que eventualmente prestem serviços ao Estado.
4. Realização de estudos por órgão de pesquisa
Institutos de pesquisa, universidades e entidades similares podem tratar dados para fins de estudos científicos, históricos, estatísticos ou de saúde pública. A lei exige, sempre que possível, a anonimização dos dados. Essa base não autoriza o compartilhamento de dados identificáveis para fins comerciais.
5. Execução de contrato ou procedimentos preliminares
Quando o tratamento é necessário para a execução de um contrato do qual o titular é parte, ou para diligências pré-contratuais a seu pedido, dispensa-se o consentimento. Um exemplo clássico é o cadastro de cliente em uma loja: o nome, CPF e endereço são necessários para emissão da nota fiscal e entrega do produto.
Atenção: essa base cobre apenas os dados estritamente necessários para o cumprimento contratual. Dados coletados além do necessário precisam de outra base legal.
6. Exercício regular de direitos em processo judicial, administrativo ou arbitral
Dados podem ser tratados quando necessários para o exercício ou defesa de direitos em qualquer processo, seja judicial, administrativo ou arbitral. Escritórios de advocacia frequentemente invocam essa base para justificar a manutenção de documentos e informações relacionadas a processos em que atuam.
7. Proteção da vida ou da incolumidade física
Em situações de risco à vida, dados podem ser tratados sem consentimento. Essa base tem aplicação mais restrita e costuma ser invocada em contextos de emergências médicas ou situações de segurança.
8. Tutela da saúde
Profissionais e serviços de saúde podem tratar dados para procedimentos de assistência médica, sanitária ou de saúde pública. Note que dados de saúde são considerados sensíveis pela LGPD, e o artigo 11º traz bases específicas para esse tipo de informação.
9. Legítimo interesse do controlador ou de terceiros
Talvez a base legal mais complexa e debatida, o legítimo interesse autoriza o tratamento quando necessário para atender aos interesses legítimos do controlador ou de terceiros, desde que não prevaleçam sobre os direitos e liberdades fundamentais do titular que exijam proteção.
A ANPD orienta que a aplicação do legítimo interesse deve ser precedida de um teste de balanceamento, que avalia: (a) a legitimidade do interesse perseguido; (b) a necessidade do tratamento; e (c) o balanceamento com os direitos do titular. Essa base não pode ser usada para dados sensíveis, salvo exceções previstas em lei.
10. Proteção do crédito
Inclui o tratamento de dados para análise e concessão de crédito, gestão de inadimplência e atividades correlatas, observada a legislação pertinente, como a Lei do Cadastro Positivo (Lei nº 12.414/2011).
Bases legais para dados sensíveis: o artigo 11º da LGPD
Dados sensíveis recebem proteção reforçada pela LGPD. São considerados sensíveis os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
O artigo 11º lista bases legais específicas para esse tipo de dado, que incluem, entre outras: consentimento específico e destacado para finalidades determinadas; cumprimento de obrigação legal pelo controlador; tutela da saúde por profissional habilitado; exercício regular de direitos em processo; e proteção da vida. Diferentemente dos dados comuns, o legítimo interesse não figura como base válida para dados sensíveis, salvo previsão expressa.
Para escritórios e profissionais que lidam com processos previdenciários, trabalhistas ou de saúde, a atenção aos dados sensíveis é particularmente relevante, já que laudos médicos, históricos de doenças e informações sobre capacidade laborativa são rotineiramente manuseados.
“Dados de saúde, biométricos e genéticos exigem base legal específica do artigo 11º da LGPD. O consentimento, quando utilizado, deve ser explícito e destacado, com finalidade determinada, não bastando o consentimento genérico embutido em contratos.”
Como escolher a base legal correta e documentar a decisão
A escolha da base legal não é uma decisão que se toma uma única vez e se esquece. Ela integra o chamado mapeamento de dados, ou data mapping, que consiste no levantamento sistemático de todas as operações de tratamento realizadas pela organização, identificando para cada uma: quais dados são tratados, com qual finalidade, por quanto tempo, com quem são compartilhados e em qual base legal se apoia.
Algumas orientações práticas que adotamos ao orientar clientes sobre conformidade com a LGPD:
Primeiro, evite o uso indiscriminado do consentimento como base padrão. O consentimento é revogável, e apoiar processos críticos do negócio nessa base cria vulnerabilidade operacional. Se há um contrato ou uma obrigação legal que justifique o tratamento, essas bases são mais estáveis.
Segundo, documente o raciocínio jurídico. A ANPD pode solicitar explicações sobre por que determinada base foi escolhida. Registros internos demonstrando que a decisão foi refletida e fundamentada têm valor probatório relevante em eventual fiscalização.
Terceiro, revise as bases periodicamente. Mudanças na lei, em contratos ou na finalidade do tratamento podem tornar uma base legal anteriormente adequada insuficiente. A conformidade com a LGPD é um processo contínuo, não um projeto com data de encerramento.
Quarto, aplique o princípio da minimização. Independentemente da base legal, a LGPD exige que apenas os dados estritamente necessários para a finalidade declarada sejam coletados. Coletar mais do que o necessário, ainda que com base legal válida, viola o princípio da necessidade previsto no artigo 6º, inciso III.
Uma empresa pode usar mais de uma base legal para o mesmo tratamento de dados?
Sim, mas com cautela. A LGPD não proíbe que o controlador identifique mais de uma base legal aplicável a uma mesma operação de tratamento. No entanto, a ANPD e a doutrina dominante recomendam que o controlador indique a base legal primária ao titular no momento da coleta, por razões de transparência. Além disso, bases legais incompatíveis entre si não podem ser combinadas para contornar requisitos específicos de cada uma delas.
O que acontece se a organização não souber qual base legal utilizar para um determinado tratamento?
Se não for possível identificar uma base legal adequada após análise cuidadosa, a conclusão é que aquele tratamento específico não deve ser realizado. A ausência de base legal não é uma lacuna a ser preenchida por analogia ou conveniência: é uma vedação legal. Nesses casos, recomendamos consultar o encarregado de proteção de dados (DPO) da organização ou buscar assessoria jurídica especializada antes de prosseguir com o tratamento.
O legítimo interesse pode ser usado por pequenas empresas e profissionais liberais?
Sim, o legítimo interesse não é restrito a grandes corporações. Qualquer controlador, incluindo profissionais liberais e microempresas, pode invocar essa base legal, desde que realize o teste de balanceamento exigido pela LGPD e documente o resultado. A lei, contudo, veda o uso do legítimo interesse para dados sensíveis e exige que os interesses do controlador não se sobreponham aos direitos fundamentais dos titulares. A orientação da ANPD é que essa base seja aplicada com critério e sempre acompanhada de documentação adequada.
Como a LGPD trata o armazenamento de dados após o encerramento de um contrato?
Após o encerramento da relação contratual, a base legal de execução de contrato deixa de ser válida para justificar a retenção dos dados. O controlador poderá manter os dados se houver outra base legal aplicável, como o cumprimento de obrigação legal (por exemplo, prazos de guarda fiscal ou trabalhista) ou o exercício regular de direitos em eventual processo judicial. Caso não haja base legal remanescente, os dados devem ser eliminados ou anonimizados, salvo se o titular consentir com a manutenção para outra finalidade específica.
As informações apresentadas neste artigo têm caráter exclusivamente educativo e informativo. Não constituem aconselhamento jurídico para casos concretos. Cada situação envolve particularidades que podem alterar significativamente a análise jurídica aplicável. Para orientação personalizada sobre adequação à LGPD, consulte um advogado especializado em direito digital e proteção de dados.
“`
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.