Como este tema funciona na sua empresa
Coleta dados de clientes básicos (nome, email, telefone). Sem processo formal de consentimento. Não sabe qual base legal se aplica. Risco: LGPD multa. Solução simples: documentar consentimento (checkbox no formulário, email confirmando). Custo: tempo de TI para documentação. Compliance: básica.
Coleta dados diversos: cliente, fornecedor, funcionário. Algumas bases documentadas (consentimento, contrato), outras não (legítimo interesse, obrigação legal não está clara). Auditoria interna começou. Desafio: colocar ordem em bases. Solução: mapeamento de dados e base legal por tipo, documentação, governo. Custo: consultoria legal (R$ 20k-50k).
Coleta massiva: cliente, fornecedor, funcionário, parceiro, concorrente (inteligência). Múltiplas bases legais (todas as 10 bases se aplicam em algum ponto). Compliance robusto: mapeamento de dados, governo de dados, registro de bases, auditorias periódicas. Lawyer dedicado. Custo: R$ 100k-500k/ano (operação + legal + auditoria).
Bases legais da LGPD são os 10 fundamentos legítimos para coletar e processar dados pessoais no Brasil. Lei 13.709/2018 exige que cada tratamento de dados seja baseado em uma delas: consentimento, contrato, obrigação legal, proteção da vida, exercício de direitos, interesse legítimo, dados públicos sensíveis, entre outros[1]. Sem base legal documentada, processamento é ilegal e sujeito a multa até R$ 50M ou 2% da receita bruta anual.
As 10 bases legais da LGPD
1. Consentimento: pessoa consentiu explicitamente (melhor forma: checkbox claro, não pré-marcado). Pode ser revogado. 2. Contrato: dados são necessários para cumprir contrato (ex: endereço para entrega). 3. Obrigação legal: lei exige coleta (ex: CPF para empresa fazer contrato). 4. Proteção da vida: raro; para salvar vida de alguém (ex: emergência médica). 5. Exercício de direitos: dados coletados para exercer direito de pessoa (ex: defesa em processo judicial). 6. Interesse legítimo: empresa tem razão comercial legítima (ex: análise de fraude), sem prejudicar direitos de pessoa. 7-10. Dados sensíveis especiais: consentimento explícito ou obrigação legal (aplicáveis a dados de saúde, religião, biometria, orientação sexual, etc.).
Consentimento: documentação é crítica
Se usa "consentimento" como base, deve: (1) solicitar explicitamente (checkbox claro, não pré-marcado, descrevendo para quê dados são usados). (2) documentar (guardar prova de que pessoa consentiu). (3) permitir revogação (pessoa pode tirar consentimento depois). Exemplo: formulário de cadastro com "Concordo em receber newsletter" + data de consentimento gravada. Sem documentação, não vale — LGPD quer prova. Erro comum: checkbox pré-marcado (inválido) ou descrição vaga ("usaremos seus dados" sem especificar para quê).
Obrigação legal vs. interesse legítimo
Obrigação legal: lei federal/estadual/municipal exige coleta (ex: CPF, CNPJ para contrato; CNH para empresa de transporte). Mais fácil de documentar: cite a lei. Interesse legítimo: empresa tem razão de negócio válida (ex: análise de risco de crédito, detecção de fraude, manutenção de segurança). Mais delicado: deve documentar interesse + justificar por que não prejudica direitos de pessoa. Exemplo: banco coleta histórico financeiro para analisar risco (interesse legítimo válido). Coleta dados genéticos para análise de risco (interesse legítimo inválido — dados muito sensíveis). Auditoria verifica se "interesse legítimo" é realmente legítimo ou apenas desculpa.
Mapeamento de dados: saber o que coleta e por quê
Empresa precisa fazer inventário: que dados coleta? De quem? Quando? Para quê? Qual base legal? Exemplo de mapeamento:
- Cliente (nome, email, telefone): Consentimento (newsletter) + Contrato (entrega) + Interesse Legítimo (análise de churn)
- Funcionário (dados pessoais, salário, gestação): Contrato (emprego) + Obrigação Legal (IR, FGTS) + Interesse Legítimo (gestão de RH)
- Fornecedor (dados de contato, financeiros): Contrato (fatura) + Obrigação Legal (NF-e, IPI) + Interesse Legítimo (análise de risco)
Sem mapeamento, empresa não sabe se está conforme. Multa: LGPD pode auditar e encontrar processamento sem base legal.
Mapeamento simples em planilha: "dados de cliente" + "base legal = consentimento (email marketing)" + "documentação = checkbox site". Revisar anualmente. Se auditado, provar documentação. Custo: tempo interno (8-16 horas).
Mapeamento detalhado: por tipo de dados, por processo (coleta, armazenagem, compartilhamento, exclusão). Cada base legal com registro formal. Consultoria legal valida. Auditoria interna trimestral. Custo: R$ 30k-80k (consultoria + tempo interno).
Sistema de governança de dados: ferramenta centralizada de registro de bases legais, aprovação, audit trail. Lawyer dedicado. Auditoria independente anual. Integração com privacidade/compliance. Custo: R$ 150k-400k/ano (infrastructure + legal + auditorias).
Dados sensíveis: exigências reforçadas
Dados sensíveis (saúde, religião, biometria, orientação sexual, genética, origem étnica) têm proteção maior. Para processar, exige-se: consentimento explícito (ainda mais específico que dados normais) OU obrigação legal. Interesse legítimo não vale para sensíveis. Exemplo: clínica coleta dados de saúde (sensível) para atendimento — base legal é "contrato" ou "obrigação legal" (HIPAA/lei de saúde), não interesse legítimo.
Direito ao esquecimento: impacto prático
LGPD permite pessoa exigir exclusão de dados (direito ao esquecimento). Empresa precisa: (1) deletar dados pessoais. (2) avisar terceiros se dados foram compartilhados. Desafio: dados em backup? Em arquivo histórico (fiscal, legal)? Se lei exige guardar (ex: Sped Fiscal 5 anos), não pode deletar. Solução: ter plano de retenção documentado (guardar 5 anos por obrigação legal, depois deletar). Sem plano, é risco legal.
Sinais de que sua empresa precisa revisar bases legais LGPD
Se você se reconhece em três ou mais cenários abaixo, faça auditoria LGPD agora.
- Não há documento formal listando dados coletados e base legal para cada um
- Newsletter enviada sem prova de consentimento (checkbox não registrado, pré-marcado)
- Dados compartilhados com terceiros sem documentação de contrato ou consentimento
- Não há processo de resposta a direito ao esquecimento (pessoa pediu deletar dados, não soube como responder)
- Dados sensíveis coletados mas não sabe qual base legal se aplica
- Auditoria externa apontou gap em conformidade LGPD
- Empresa não tem responsável por dados/DPO (Data Protection Officer)
Caminhos para estruturar conformidade de bases legais LGPD
Viável se TI pode dedicar recurso e tem suporte legal.
- Perfil necessário: Responsável de privacidade + DPO + TI + legal (ou consultoria ad hoc)
- Tempo estimado: 2-3 meses para mapeamento e documentação
- Faz sentido quando: empresa quer entender posição atual, quer autonomia em decisões
- Risco principal: interpretação incorreta de base legal; falta de expertise jurídica
Recomendado para garantir conformidade e gestão contínua.
- Tipo de fornecedor: Consultoria especializada em LGPD + Lawyer especializado em privacidade
- Vantagem: interpretação jurídica correcta, mapeamento acelerado, auditoria certificada
- Faz sentido quando: auditoria foi feita e encontrou gaps, quer conformidade garantida, compliance é crítico
- Resultado típico: 8-12 semanas, mapeamento completo, documentação formal, governo estruturado
Precisa estruturar bases legais LGPD?
Se sua empresa coleta dados mas não tem clareza sobre base legal (ou mapeamento é desorganizado), o oHub conecta você a especialistas em privacidade e lawyers LGPD que vão fazer auditoria, desenhar mapeamento de bases legais e governo de dados. Em menos de 3 minutos, descreva seu contexto. Receba propostas.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que são as 10 bases legais da LGPD?
Fundamentos para coletar dados pessoais: consentimento, contrato, obrigação legal, proteção da vida, exercício de direitos, interesse legítimo, dados públicos, aplicáveis a contextos específicos. Cada dado precisa de uma base documentada.
Como documentar consentimento para LGPD?
Checkbox claro (não pré-marcado) descrevendo para quê dados são usados. Guardar prova de data/hora que pessoa consentiu. Permitir revogação. Sem documentação, consentimento não vale em auditoria.
Qual é a diferença entre consentimento e interesse legítimo?
Consentimento: pessoa aprova explicitamente. Interesse legítimo: empresa tem razão comercial válida sem prejudicar direitos (ex: análise de fraude). Segundo requer documentação de por quê; consentimento é mais seguro.
Dados sensíveis precisam de qual base legal?
Consentimento explícito (reforçado) ou obrigação legal. Interesse legítimo não vale para sensíveis. Exemplo: saúde exige consentimento claro ou lei específica (HIPAA).
Como responder direito ao esquecimento?
Deletar dados pessoais, avisar terceiros se foram compartilhados. Exceção: se lei exige guardar (ex: fiscal 5 anos), tem que manter por obrigação. Documentar retenção é crítico.
Qual é a multa se não tenho base legal documentada?
Até R$ 50M ou 2% da receita bruta anual (o que for maior). LGPD leva conformidade a sério. Melhor: documentar agora, evitar multa depois.