Como este tema funciona no porte da sua empresa
Maioria do tratamento se justifica por execução de contrato (cliente compra) ou interesse legítimo (retenção, cobrança). Consentimento só quando necessário. Reduz burocracia de ficar pedindo permissão para tudo.
Mix de execução de contrato, obrigação legal (folha de pagamento), e interesse legítimo. Documentação informal (planilha de consentimento, arquivo de comunicação). Começa a aparecer necessidade de mapeamento simples.
Mix de todas as 10 bases. Documentação formal passa a fazer sentido. Mapeamento explícito por base legal para cada tipo de tratamento. Auditoria de conformidade a cada 2 anos é padrão.
Bases legais na LGPD são as 10 hipóteses (artigo 7º da Lei 13.709/18) que permitem uma organização tratar dados pessoais de forma legítima e legal. Consentimento é uma delas — não a única. Identificar qual base se aplica ao seu tratamento reduz necessidade obsessiva de consentimento.
Como isso muda conforme o tipo de negócio
Execução de contrato (compra), interesse legítimo (retenção, cobrança), cumprimento legal (fisco). Raramente precisa consentimento puro. Email de promoção já exige consentimento (interesse legítimo não cobre marketing sem prévia relação).
Execução de contrato (fornecimento), obrigação legal (segurança ocupacional), interesse legítimo (eficiência logística). Possível dado sensível de funcionário (saúde). Base diferente para cada categoria.
Execução de contrato, interesse legítimo (proposta cruzada, retenção), consentimento para marketing. Mais consentimento que comércio porque pode não ter venda imediata antes de tentar contato.
Contrato de prestação, obrigação legal (contábil), interesse legítimo. Menos consentimento. Email B2B é interesse legítimo (já temos relação comercial).
Execução de contrato de SaaS, consentimento para dados complementares (marketing, analytics), interesse legítimo (segurança). Análise de uso é interesse legítimo se necessária ao serviço.
As 10 bases legais do artigo 7º da LGPD
Aqui estão as 10 hipóteses que permitem tratamento de dados sem consentimento prévio (ou com consentimento já obtido implicitamente):
Base 1: Consentimento. Ato voluntário, informado e inequívoco de consentimento prévio. Não pode ser pré-marcado. Silêncio não vale. "Você concorda?" com caixa pré-marcada = inválido. Deve ser ativo ("clique aqui para concordar") ou assinado ("nome completo").
Base 2: Execução de contrato. Tratamento é necessário à execução do contrato. Você compra na loja online. Para entregar, precisamos do seu endereço. Endereço é base 2, não consentimento. Você não precisa "permitir" — é pré-requisito da compra.
Base 3: Obrigação legal. Lei exige tratamento. Folha de pagamento (lei trabalhista), NF-e (lei fiscal), FGTS (lei social). Não precisa consentimento — é obrigatório por lei.
Base 4: Proteção de direito. Você tem direito legítimo que precisa do dado para ser exercido. Você quer recuperar crédito ou processar judicialmente. Dados são necessários. Não precisa consentimento do devedor.
Base 5: Execução de políticas públicas. Governo precisa do dado para política pública. Censo, programa de saúde, subsídio. Não precisa consentimento.
Base 6: Interesse legítimo. Você tem interesse legítimo e esse interesse sobrepesa direitos do titular. Exemplos: retenção de cliente (você quer manter relacionamento; cliente sai ganhando com descontos), anti-fraude (você quer proteger empresa e cliente), eficiência logística (você quer entregar rápido; cliente quer receber rápido). Requer balanceamento: se desvantagem ao titular > vantagem ao tratador, não vale.
Base 7: Interesse público. Entidade pública tratando por interesse público (pesquisa, segurança, saúde pública).
Base 8: Proteção de vida. Dado necessário para proteger vida do titular ou terceiro. Emergência médica, risco iminente de morte.
Base 9: Saúde (artigo 11). Profissional de saúde tratando para saúde. Médico tem seus próprios critérios (sigilo profissional sobrepesa LGPD).
Base 10: Interesse legítimo de terceiro (pesquisa). Pesquisa com metodologia aprovada, não identificação, etc.
Consentimento: quando é obrigatório e quando não é
Consentimento é obrigatório para interesse legítimo fora de lista específica. Isso é confuso — deixa eu explicar melhor.
Se você quer tratar dados por:
Contrato, obrigação legal, proteção de direito, ou interesse público: Não precisa consentimento. Período final.
Interesse legítimo: Requer justificativa. Você tem interesse (retenção, anti-fraude, eficiência). Avalia: interesse do tratador > desvantagem do titular? Se sim, não precisa consentimento explícito. Se em dúvida, peça consentimento (é mais seguro).
Marketing direto não-comercial: Interesse legítimo (você quer falar com cliente, cliente não quer ser incomodado). Reclamação comum: você recebe email de loja dizendo "vimos que você abriu seu carrinho, voltou?". Isso é interesse legítimo (você tem relação preexistente).
Marketing por email para quem não tem relação: Consentimento obrigatório. "Sua empresa oferece software. Eu não sou seu cliente. Você quer enviar email dizendo 'teste nosso software'?" ? consentimento obrigatório.
Erros comuns em bases legais
Erro 1: "Preciso de consentimento para tudo". Falso. Execução de contrato, obrigação legal, interesse legítimo cobrem maioria dos casos. Consentimento é uma das 10 — não a única.
Erro 2: "Interesse legítimo é sempre válido". Falso. Requer balanceamento. Se desvantagem ao titular > vantagem ao tratador, não vale.
Erro 3: "Consentimento pré-marcado vale". Falso. Deve ser ativo e explícito.
Erro 4: "Se tenho interesse legítimo, não preciso avisar". Falso. Aviso prévio é obrigatório em qualquer base.
Erro 5: "Se tem consentimento, posso fazer o que quiser com o dado". Falso. Consentimento autoriza tratamento específico. Mudar finalidade exige novo consentimento.
Sinais de que sua empresa precisa mapear bases legais
Se você se reconhece em três ou mais cenários abaixo, mapeamento é prioridade:
- "Tenho colega que diz que não precisa de consentimento, mas acho que está errado"
- "Meu contador disse que folha de pagamento é base legal automática"
- "Email de marketing: preciso de consentimento ou interesse legítimo basta?"
- "Cookie de rastreamento: qual é a base legal?"
- "Interesse legítimo soa vago. Quando exatamente vale?"
- "Cliente saiu da empresa, posso guardar email para sempre?"
- "Cobrança de inadimplente: precisa de consentimento?"
Caminhos para mapear bases legais na sua empresa
Você pode fazer mapeamento simples sozinho, ou contratar advogado para validação formal. Aqui estão as duas rotas:
Dono ou gerente administrativo lê este artigo, faz mapeamento simples das operações (cliente, fornecedor, folha, fisco, marketing) e associa cada uma à base legal apropriada. Documenta em planilha. Custos: zero além do tempo.
- Perfil necessário: Dono ou gestor administrativo (conhece as operações).
- Tempo estimado: 2-3h para mapeamento simples.
- Faz sentido quando: Você tem operação simples, conhece bem seus processos, quer learning prático.
- Risco principal: Mapeamento incompleto; depois advogado encontra tratamento que esqueceu de documentar.
Advogado LGPD revisa mapeamento, valida interesse legítimo em casos duvidosos, redige documentação formal. Você fica com evidência de conformidade para autoridades.
- Tipo de fornecedor: Advocacia LGPD, Consultoria de conformidade, Consultorias-e-afins.
- Vantagem: Parecer jurídico formal, defesa em auditoria da ANPD, identificação de casos de dúvida.
- Faz sentido quando: Você trata dados sensíveis (saúde, financeiro), tem muitos clientes, quer blindagem completa.
- Resultado típico: Mapeamento formal em 2-3 semanas, relatório com bases para cada tratamento, documentação assinada.
Sua PME já mapeou qual é a base legal para cada tipo de tratamento de dados?
Mapear bases legais reduz ansiedade de LGPD e libera sua PME de solicitar consentimento "só por pedir". Na oHub, você encontra advogados LGPD que ajudam a identificar bases para suas operações e documentar conformidade. Sem custo inicial, sem compromisso.
Encontrar fornecedores de PME no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Preciso de consentimento para tratar dados?
Consentimento é uma das 10 bases — não a única. Execução de contrato, obrigação legal, interesse legítimo cobrem maioria dos casos. Consentimento é obrigatório se você quer tratar por razão que não cabe em nenhuma das outras 9.
Qual é a base legal para processar dado de cliente?
Se é venda: execução de contrato (endereço para entregar) + obrigação legal (fisco exige). Se é retenção (manter contato): interesse legítimo (você quer manter relacionamento; cliente quer promotions).
Marketing por email precisa de consentimento?
Se é para cliente existente: interesse legítimo (já tem relação). Se é para prospect (não comprou): consentimento obrigatório (Lei de Defesa do Consumidor + LGPD).
Pode tratar dado sem consentimento?
Sim, se cabe em uma das 10 bases (contrato, lei, interesse legítimo, direito, etc.). Consentimento é só uma delas.
Qual é a diferença entre consentimento e consentimento livre?
Consentimento livre é aquele onde você não é obrigado a consentir para acessar o serviço. Exemplo: checkout da loja não pode obrigar "marque esta caixa para continuar". Mas pode ter consentimento à entrega (pré-requisito do serviço) sem ser "livre" — é necessário.
Interesse legítimo na LGPD: quando vale?
Quando seu interesse (retenção, anti-fraude, eficiência) > desvantagem do cliente. Retenção com desconto = vale (cliente ganha). Rastreamento sem aviso = não vale (cliente não sabe). Requer balanceamento.
Fontes e referências
- Lei 13.709/18. Lei Geral de Proteção de Dados (LGPD). Artigos 7º e 11 — Bases Legais. Disponível em https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
- Autoridade Nacional de Proteção de Dados (ANPD). Guia de Bases Legais. Gov.br. 2021.
- ANPD. Orientação Técnica sobre Interesse Legítimo. Gov.br. 2021.
- European Data Protection Board (EDPB). Guidelines on Legitimate Interests — Referência Comparativa. 2020.
- Conjur. Jurisprudência sobre Bases Legais na LGPD. Conjur.com.br. 2021–2023.