Como este tema funciona no porte da sua empresa
Em geral as situações são mais simples: dados de clientes baseados em contrato, dados de funcionários por obrigação legal, dados de fornecedores por contrato ou interesse legítimo. O gestor precisa identificar a base legal de cada situação e documentar minimamente no inventário — sem precisar de um parecer jurídico para cada dado, mas com clareza sobre por que coleta o que coleta.
Com mais sistemas, mais canais de coleta e mais parceiros, as situações ficam mais variadas. O gestor coordena o registro de bases legais no inventário de dados e aciona o jurídico externo nas situações ambíguas — dados sensíveis, compartilhamento com terceiros, marketing em escala.
O DPO e o jurídico definem as bases legais; o gestor administrativo garante que os processos sob sua responsabilidade estejam registrados corretamente no inventário e que novos processos passem pela revisão de privacidade antes de entrar em operação.
Base legal é o fundamento que autoriza a empresa a tratar dados pessoais — sem uma base legal válida, o tratamento é irregular, mesmo que a finalidade pareça razoável. A LGPD exige que cada operação de tratamento de dados tenha respaldo em uma das hipóteses previstas na lei. O papel do gestor administrativo é identificar qual base legal se aplica a cada dado tratado pela empresa, documentar no inventário e acionar o assessor jurídico ou DPO para validar os casos mais complexos ou ambíguos.
Por que a empresa não pode simplesmente usar consentimento para tudo
Consentimento não é a base legal padrão para dados operacionais — é um dos maiores equívocos de empresas que tentam se adequar à LGPD pedindo autorização para tudo. Usar consentimento onde cabe outra base legal cria um problema prático: se o titular revogar o consentimento, a empresa precisa parar de usar aquele dado — mesmo que seja o CPF necessário para emitir nota fiscal, que ela poderia tratar sem consentimento por obrigação legal.
Outro problema do consentimento como base universal é a fragilidade: um consentimento coletado de forma genérica ou desnecessária pode ser questionado — e a empresa que precisava daquele dado para cumprir um contrato ou uma obrigação legal fica sem suporte legal adequado.
A abordagem correta é identificar, para cada dado, qual é a base legal que de fato se aplica à situação. O consentimento fica reservado para as situações em que realmente é a hipótese adequada — principalmente comunicações de marketing e finalidades opcionais.
As principais bases legais no contexto do back-office
A LGPD prevê múltiplas hipóteses que autorizam o tratamento de dados pessoais. Para o gestor administrativo, as mais relevantes no dia a dia do back-office são as seguintes.
| Base legal | Quando se aplica | Exemplo típico no back-office | Observação |
|---|---|---|---|
| Execução de contrato | O dado é necessário para cumprir o contrato firmado com o titular | CPF do cliente para emissão de nota fiscal; dados bancários do fornecedor para pagamento | O titular do contrato precisa ser a pessoa física cujos dados estão sendo tratados |
| Obrigação legal ou regulatória | A lei ou regulação exige que a empresa trate aquele dado | Dados de funcionários para eSocial; retenção de notas fiscais para o Fisco | A obrigação legal prevalece mesmo que o titular solicite exclusão — o dado não pode ser apagado enquanto vigente a obrigação |
| Consentimento | O titular autorizou expressamente o tratamento para uma finalidade específica | E-mail para envio de newsletter; uso de dados para comunicações de marketing | O consentimento precisa ser específico, informado e revogável a qualquer momento — não pode ser pré-marcado nem condicionado ao uso do serviço quando não necessário |
| Interesse legítimo | O tratamento é necessário para finalidade legítima do negócio, desde que não sobreponha os direitos do titular | Dados de contato de representantes de fornecedores para gestão do relacionamento comercial | Requer avaliação de proporcionalidade — o interesse da empresa não pode ser desproporcional ao impacto na privacidade do titular. Situações complexas pedem análise do DPO ou assessor jurídico |
| Proteção do crédito | Tratamento necessário para análise de crédito ou prevenção a fraudes | Consulta de CPF de clientes para análise de crédito antes de venda a prazo | Base específica para esse contexto — não se aplica de forma genérica a outros tratamentos |
Como o gestor identifica e registra a base legal de cada dado
A identificação da base legal acontece durante o mapeamento de dados pessoais — é uma das colunas do inventário. Para cada dado, o gestor responde: por que a empresa pode usar esse dado? A resposta deve apontar para uma das hipóteses acima.
Para a maioria dos dados do back-office, a resposta é relativamente direta:
- Dados de funcionários para a folha de pagamento e obrigações trabalhistas — obrigação legal.
- Dados de clientes para execução de serviços contratados e emissão de nota fiscal — execução de contrato e obrigação legal.
- Dados bancários de fornecedores para pagamento — execução de contrato.
- E-mail para envio de newsletter comercial — consentimento (com opt-in registrado).
Quando a situação não se encaixa claramente em nenhuma hipótese, ou quando envolve dados sensíveis, compartilhamento com terceiros ou marketing em escala, é o momento de acionar o assessor jurídico ou DPO. O gestor não precisa — e não deve — fazer a interpretação jurídica de situações ambíguas sozinho.
O gestor identifica a base legal para cada dado durante o mapeamento, marca na planilha de inventário e aciona o assessor jurídico nas situações menos óbvias. A maioria dos casos de uma empresa pequena se resolve com as bases de contrato, obrigação legal e, para marketing, consentimento.
O gestor coordena o preenchimento do campo de base legal em cada área durante o levantamento, consolida o inventário e submete os casos ambíguos ao jurídico externo. Com mais canais de marketing e mais parceiros, o uso do interesse legítimo e do consentimento tende a ser mais frequente e a exigir análise especializada.
O DPO e o jurídico definem e revisam as bases legais de forma sistemática. O gestor administrativo garante que cada novo processo ou sistema que entra em operação passe pela revisão de privacidade antes de ir ao ar.
Situações que sempre pedem análise especializada
Há situações em que o gestor administrativo não deve definir a base legal sem apoio do assessor jurídico ou DPO. Tentar resolver esses casos internamente aumenta o risco de adotar a hipótese errada e criar vulnerabilidades na conformidade.
Dados sensíveis: saúde, biometria, origem racial, dados de crianças. A LGPD prevê hipóteses mais restritas para dados sensíveis, e a escolha equivocada da base legal pode ser uma violação por si só.
Marketing direto e comunicações comerciais: a linha entre consentimento, interesse legítimo e comunicação indesejada é tênue — e contestada pelos titulares com frequência. Especialmente quando envolve compra de listas ou dados captados por terceiros.
Compartilhamento com parceiros ou prestadores: quando dados pessoais de clientes ou funcionários são compartilhados com terceiros, é preciso verificar se há base legal para o compartilhamento e se o contrato com o terceiro inclui as obrigações de operador de dados.
Uso de interesse legítimo: essa base exige uma avaliação de proporcionalidade — o interesse da empresa deve ser legítimo, necessário e não sobrepor de forma desproporcional os direitos e interesses do titular. Essa avaliação é técnica e deve ser documentada.
Sinais de que sua empresa precisa revisar as bases legais do tratamento de dados
Se você se reconhece em três ou mais cenários abaixo, a definição de bases legais provavelmente ainda tem lacunas relevantes.
- A empresa coleta dados de clientes, funcionários e fornecedores sem saber ao certo por que pode usá-los.
- O site pede consentimento para tudo, inclusive para dados que a empresa já pode tratar por contrato ou obrigação legal.
- O inventário de dados — se existir — não tem campo para registrar a base legal de cada tratamento.
- A empresa compartilha dados com parceiros ou prestadores sem verificar se há base legal para o compartilhamento.
- Quando um cliente solicita a exclusão de seus dados, a empresa não sabe se pode ou deve atender — porque não sabe se o dado está em obrigação legal.
Caminhos para identificar e documentar as bases legais do tratamento de dados
A identificação das bases legais pode ser iniciada internamente pelo gestor para os casos mais simples, com apoio especializado para as situações mais complexas.
Usar o inventário de dados como base, identificar a hipótese aplicável para cada tratamento e acionar o assessor jurídico para validar os casos ambíguos.
- Perfil necessário: gestor administrativo com noção básica das hipóteses da LGPD, acesso a assessor jurídico para consultas pontuais.
- Tempo estimado: de 1 a 2 semanas para mapear os casos simples; situações complexas dependem do tempo do assessor jurídico.
- Faz sentido quando: situações simples e típicas — contrato, obrigação legal, consentimento para marketing. Inventário de dados já feito.
- Risco principal: adotar a hipótese errada em situações ambíguas sem análise especializada, especialmente para dados sensíveis e marketing.
Contratar consultoria para revisar o inventário de dados e definir ou validar as bases legais de forma sistemática, com documentação adequada para cada decisão.
- Tipo de fornecedor: Consultoria em LGPD/Compliance, DPO as a Service, Consultoria Jurídica.
- Vantagem: cobertura de situações complexas, documentação das decisões e redução do risco de escolha equivocada da hipótese.
- Faz sentido quando: situações complexas frequentes (dados sensíveis, marketing em escala, múltiplos parceiros), empresa sem acesso regular a assessoria jurídica.
- Resultado típico: inventário completo com bases legais definidas e documentadas, com identificação de situações que precisam de ajuste.
Precisa de apoio para identificar e documentar as bases legais do tratamento de dados da sua empresa?
Se mapear as bases legais do tratamento de dados virou prioridade, o oHub conecta sua empresa, de forma gratuita, a consultores especializados em LGPD, DPO as a Service e assessoria jurídica. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que são bases legais na LGPD?
Bases legais são as hipóteses que autorizam a empresa a tratar dados pessoais. Sem uma base legal válida, o tratamento é irregular — mesmo que a finalidade pareça razoável. A LGPD exige que cada operação de tratamento tenha respaldo em uma das hipóteses previstas, como execução de contrato, obrigação legal, consentimento ou interesse legítimo.
Quais são as bases legais para tratamento de dados pessoais?
As principais bases legais no contexto do back-office são: execução de contrato (dado necessário para cumprir o contrato com o titular), obrigação legal ou regulatória (a lei exige o dado), consentimento (o titular autorizou expressamente), interesse legítimo (finalidade legítima do negócio, desde que proporcional) e proteção do crédito (análise de crédito e prevenção a fraudes). Há outras hipóteses previstas na LGPD — o assessor jurídico ou DPO orienta nos casos não cobertos por estas.
Qual é a diferença entre consentimento e interesse legítimo na LGPD?
Consentimento exige autorização expressa do titular, que pode revogá-la a qualquer momento. Interesse legítimo é uma hipótese para finalidades legítimas do negócio que não dependem de autorização do titular, mas exigem que o interesse da empresa seja proporcional e não sobreponha de forma desproporcional os direitos do titular. O interesse legítimo requer avaliação de proporcionalidade e documentação — situações que pedem análise do DPO ou assessor jurídico.
A empresa precisa de consentimento para tratar todos os dados?
Não. Consentimento é apenas uma das bases legais disponíveis — e não é a mais adequada para dados operacionais. Dados de funcionários para a folha de pagamento têm base em obrigação legal. Dados de clientes para execução de um contrato têm base em execução de contrato. Usar consentimento onde cabe outra base legal cria um problema: se o titular revogar o consentimento, a empresa perde o suporte legal para continuar usando um dado que precisaria de qualquer forma.
Como escolher a base legal correta para cada dado que a empresa trata?
A partir do inventário de dados, o gestor responde para cada dado: por que a empresa precisa desse dado? Se é para cumprir um contrato com o titular, a base é execução de contrato. Se é para cumprir uma exigência legal, é obrigação legal. Se é para enviar comunicações de marketing, é consentimento. Para situações ambíguas, com dados sensíveis ou que envolvam compartilhamento com terceiros, o assessor jurídico ou DPO deve orientar a escolha e documentar a decisão.
Fontes e referências
- Autoridade Nacional de Proteção de Dados (ANPD). Guia de Boas Práticas e Governança — Bases Legais para o Tratamento de Dados Pessoais. Brasília: ANPD. Disponível em: gov.br/anpd.
- Autoridade Nacional de Proteção de Dados (ANPD). Nota de Esclarecimento sobre Consentimento. Brasília: ANPD. Disponível em: gov.br/anpd.
- Brasil. Lei nº 13.709, de 14 de agosto de 2018 — Lei Geral de Proteção de Dados Pessoais. Brasília: Presidência da República. Disponível em: planalto.gov.br.