Bases legais da LGPD na prática: qual usar em cada situação

"Preciso pedir consentimento para tudo?" Se você já fez essa pergunta, saiba que ela é a dúvida mais comum entre donos de pequenas empresas que começam a adequação. E a resposta surpreende: não. Na maioria das operações do dia a dia, pedir consentimento é a escolha errada.

Isso acontece porque as bases legais da LGPD são 10, e o consentimento é apenas uma delas. A Lei Geral de Proteção de Dados exige que todo uso de dado pessoal tenha uma justificativa prevista em lei, mas oferece dez caminhos diferentes para isso. Escolher o caminho certo simplifica a adequação inteira. Escolher o errado cria retrabalho, fragiliza a operação e pode até gerar multa.

Neste guia, você vai conhecer as 10 bases legais em linguagem simples, ver exemplos reais de pequenas empresas e usar uma tabela prática para decidir qual base aplicar em cada situação. No final, um passo a passo para registrar tudo do jeito que a Autoridade Nacional de Proteção de Dados (ANPD) espera.

O que são as bases legais da LGPD?

As bases legais da LGPD são as hipóteses previstas na lei que autorizam empresas e organizações a tratar dados pessoais. Estão listadas no artigo 7º da Lei 13.709/2018 e são 10 ao todo. Toda coleta, uso ou compartilhamento de dados precisa se apoiar em pelo menos uma delas. Sem base legal, o tratamento é irregular.

Vale explicar os termos. "Tratamento" é a palavra que a lei usa para praticamente qualquer operação com dados pessoais: coletar, guardar, consultar, compartilhar e até apagar. A lei também chama as bases legais de "hipóteses de tratamento". São nomes diferentes para a mesma ideia: a justificativa legal por trás de cada uso de dados.

Duas regras valem para qualquer empresa. Primeiro, a base legal precisa ser definida antes de o tratamento começar, e não depois que alguém questiona. Segundo, não existe hierarquia entre as bases: nenhuma vale mais que outra. A situação concreta é que define qual se aplica.

Para o seu negócio, isso significa uma coisa prática: cada uso de dados na sua operação precisa de uma resposta clara para a pergunta "com que autorização eu faço isso?". Este artigo existe para você responder essa pergunta sem precisar de um dicionário jurídico.

Quais são as 10 bases legais da LGPD?

O artigo 7º da Lei 13.709/2018 lista as 10 bases legais que autorizam o tratamento de dados pessoais:

1. Consentimento: o titular autorizou de forma livre, informada e inequívoca. Exemplo: cadastro voluntário em uma newsletter.
2. Obrigação legal ou regulatória: a lei manda guardar ou informar. Exemplo: dados de funcionários na folha de pagamento.
3. Execução de políticas públicas: exclusiva da administração pública, para serviços e políticas de governo.
4. Estudos por órgão de pesquisa: pesquisas acadêmicas e estatísticas, com anonimização sempre que possível.
5. Execução de contrato: dados necessários para cumprir um contrato com o titular, incluindo a fase de proposta. Exemplo: endereço para entregar o pedido.
6. Exercício regular de direitos: uso de dados em processo judicial, administrativo ou arbitral. Exemplo: guardar o contrato para se defender em uma disputa.
7. Proteção da vida: situações de emergência que envolvem a segurança física de alguém. Exemplo: informar dados de um cliente ao hospital após um acidente.
8. Tutela da saúde: procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária. Exemplo: prontuário de paciente em uma clínica.
9. Legítimo interesse: interesse legítimo da empresa, desde que respeite os direitos e as expectativas do titular. Exemplo: enviar ofertas para quem já é cliente.
10. Proteção do crédito: análise e cobrança de crédito. Exemplo: consultar o CPF no birô antes de vender a prazo.

A lista parece longa, mas aqui vai uma boa notícia: para o dia a dia de uma pequena empresa privada, quatro dessas bases resolvem quase tudo. Vamos chegar nelas em instantes.

Antes, porém, precisamos desmontar o mito que mais atrapalha a adequação. Para quem quiser se aprofundar em cada hipótese, a cartilha de finalidade e hipóteses legais do governo federal é uma referência oficial.

O mito do consentimento: por que ele não é a melhor base para quase nada

Considere um cenário comum. Cláudia tem uma loja de roupas em Curitiba e, ao ouvir falar da LGPD, colocou um aviso no caixa: "autorizo o uso dos meus dados para emissão de nota fiscal". Três meses depois, um cliente pediu para "revogar a autorização".

Cláudia entrou em pânico: como emitir a nota sem os dados? A cena é ilustrativa, mas acontece todos os dias em alguma empresa brasileira.

O erro de Cláudia foi pedir consentimento para algo que nunca dependeu dele. Emitir nota fiscal é obrigação legal: a empresa precisa dos dados porque a legislação fiscal exige, e o cliente não tem como "desautorizar" o cumprimento da lei.

Esse exemplo revela por que o consentimento é a base legal mais frágil das 10:

• Pode ser revogado a qualquer momento. O artigo 8º da LGPD garante ao titular o direito de voltar atrás por procedimento gratuito e facilitado.
• A prova é sua. Se questionada, a empresa é quem precisa demonstrar que o consentimento foi dado corretamente.
• Autorizações genéricas são nulas. "Concordo com o uso dos meus dados" não vale; a finalidade precisa ser específica.

A regra prática é direta: consentimento é a base certa para o que é opcional para o titular. Se a operação depende do dado para funcionar, procure outra base. E quando o consentimento for mesmo a escolha certa, um termo de consentimento bem estruturado protege a empresa.

As 4 bases legais que resolvem o dia a dia da sua empresa

Na prática, a operação de uma pequena empresa privada gira em torno de quatro bases legais. Entenda cada uma e você terá resolvido a maior parte da sua adequação.

Execução de contrato

Cobre os dados necessários para entregar o que o cliente comprou ou contratou, incluindo a fase anterior à venda, como orçamentos e propostas.

Rafael, por exemplo, vende suplementos em um e-commerce. Nome, CPF e endereço do cliente são indispensáveis para faturar e entregar o pedido. Ele não precisa pedir permissão para usar esses dados: sem eles, o contrato simplesmente não se cumpre.

Atenção ao limite: a base cobre o necessário ao contrato, e nada além. Usar o mesmo cadastro para enviar propaganda é outra finalidade, que exige outra base legal.

Obrigação legal ou regulatória

Sempre que uma lei ou norma manda sua empresa guardar ou informar dados, essa é a base. Nota fiscal, folha de pagamento, eSocial, prazos de guarda trabalhista e fiscal: tudo isso entra aqui.

O raciocínio é simples: você não pede permissão para cumprir a lei. Por isso, pedidos de exclusão de dados fiscais, por exemplo, podem ser negados de forma legítima enquanto o prazo legal de guarda estiver correndo.

Legítimo interesse: o mais flexível e o mais mal usado

O legítimo interesse autoriza tratamentos que beneficiam a empresa sem ferir direitos e expectativas do titular. É a base clássica para enviar ofertas a quem já é cliente, manter câmeras de segurança ou prevenir inadimplência.

Flexibilidade, porém, tem preço: o legítimo interesse exige uma avaliação prévia. A ANPD publicou em fevereiro de 2024 um guia orientativo sobre legítimo interesse que estrutura essa análise. Traduzindo o teste em quatro perguntas:

1. A finalidade é legítima? Precisa ser lícita e concreta, não uma vaga "melhoria de serviços".
2. O tratamento é necessário? Use apenas os dados estritamente indispensáveis para o objetivo.
3. O titular esperaria por isso? Pondere o impacto: o uso não pode surpreender nem prejudicar a pessoa.
4. Há salvaguardas? Transparência sobre o uso e uma forma fácil de o titular se opor, como o descadastro em um clique.

Voltando ao Rafael: quando ele quis avisar os clientes sobre um lançamento, aplicou o teste. Finalidade concreta, só nome e e-mail de quem já comprou, expectativa razoável de quem é cliente e link de descadastro em todo envio. Documentou a análise em meia página e ganhou uma base sólida para o marketing.

Dois alertas finais. Documente o teste, porque a ANPD pode pedir essa avaliação e até um relatório de impacto. E legítimo interesse não vale para dados sensíveis, como veremos adiante.

Consentimento: a base certa para o que é opcional

Depois de tudo o que vimos, o consentimento encontra seu lugar verdadeiro: tratamentos que só existem se o titular quiser. Newsletter para quem nunca comprou, cookies de publicidade no site, uso de fotos de clientes em redes sociais.

Para valer, o consentimento precisa ser livre, informado, inequívoco e ligado a uma finalidade específica. Caixinha pré-marcada não vale, e silêncio não é consentimento.

Qual base legal usar? Tabela prática por situação

Agora a parte que nenhuma lista de definições entrega: a decisão. A tabela abaixo mostra a base legal indicada para as situações mais comuns de uma pequena empresa.

Um aviso honesto: a tabela orienta o caso típico. Situações específicas, como compartilhamento com terceiros ou dados de crianças, podem mudar a análise. Na dúvida em cenários complexos, vale uma conversa com um especialista.

Dados sensíveis têm bases legais próprias (artigo 11)

Tudo o que vimos até aqui vale para dados pessoais comuns. Quando o assunto é dado sensível, como saúde, biometria, religião ou opinião política, a LGPD muda as regras no artigo 11.

Duas mudanças importam para a sua empresa. A primeira: se a base for consentimento, ele precisa ser específico e destacado, ou seja, separado dos demais aceites e apontando finalidades determinadas.

A segunda é a que mais pega empresas de surpresa: o rol do artigo 11 é próprio, e legítimo interesse e proteção do crédito ficam de fora. Sem consentimento, o dado sensível só pode ser tratado em hipóteses como obrigação legal, políticas públicas, pesquisa, exercício regular de direitos, proteção da vida, tutela da saúde e prevenção à fraude na segurança do titular.

Veja o caso do relógio de ponto biométrico, comum em empresas com 30 ou 40 funcionários. Digital é dado biométrico, portanto sensível. A empresa não usa "legítimo interesse" ali: o registro de jornada se apoia no cumprimento de obrigação legal trabalhista. Errar esse enquadramento compromete a defesa da empresa em uma fiscalização.

Se a sua operação envolve saúde, biometria ou dados de crianças, redobre o cuidado nessa classificação antes de definir as bases legais.

Como definir e registrar a base legal de cada tratamento

Conhecer as bases é metade do caminho. A outra metade é aplicar e documentar. Quatro passos resolvem:

1. Liste os tratamentos da sua empresa. Cadastro de clientes, site, RH, atendimento, câmeras: levante onde os dados entram e para que servem. Esse levantamento é o mapeamento de dados, o primeiro passo de qualquer adequação.
2. Aplique a ordem de avaliação para cada tratamento. Alguma lei exige esse dado? Use obrigação legal. É necessário para entregar o contrato? Execução de contrato. Cabe um interesse legítimo que passe no teste das quatro perguntas? Legítimo interesse. Só então, se o tratamento for opcional, recorra ao consentimento.
3. Registre a base de cada tratamento. A escolha precisa constar do seu inventário de dados, também chamado de registro de tratamento. É esse documento que a ANPD espera encontrar em uma fiscalização.
4. Revise quando a operação mudar. Novo canal de vendas, novo fornecedor ou nova finalidade pedem nova análise.

Se fazer isso em planilha parecer trabalhoso, dá para automatizar. O mapeamento automatizado de dados do DataSafu guia o levantamento e já registra a base legal e a finalidade de cada tratamento, gerando um inventário pronto para comprovar a conformidade.

Erros comuns ao escolher a base legal

Apenas 4% das pequenas e médias empresas brasileiras estão preparadas para a LGPD, e os erros de base legal estão entre os mais frequentes. Os cinco que mais aparecem:

• Pedir consentimento para tudo. Gera retrabalho e cria o risco absurdo de um cliente "revogar" a nota fiscal.
• Usar legítimo interesse como coringa. Sem o teste documentado, a base não se sustenta diante de questionamento.
• Trocar de base depois do não. Se o titular revoga o consentimento, a empresa não pode "descobrir" outra base para continuar o mesmo tratamento. A escolha vem antes.
• Não documentar nada. Base legal sem registro é base que não existe para a fiscalização.
• Ignorar as regras dos dados sensíveis. Biometria e saúde seguem o artigo 11, não o artigo 7º.

E o risco não é teórico. Em 7 de julho de 2023, a ANPD aplicou a primeira multa por descumprimento da LGPD justamente a uma microempresa, a Telekall Infoservice, que usou uma lista de telefones para disparar mensagens sem nenhuma base legal válida. Foram duas multas simples de R$ 7.200, somando R$ 14.400, mais uma advertência. Para um negócio pequeno, é um valor que dói, e a origem foi exatamente o tema deste artigo.

Perguntas frequentes sobre as bases legais da LGPD

Quais são as 10 bases legais da LGPD?

Consentimento, obrigação legal, políticas públicas, estudos por órgão de pesquisa, execução de contrato, exercício regular de direitos, proteção da vida, tutela da saúde, legítimo interesse e proteção do crédito. Todas estão no artigo 7º da Lei 13.709/2018.

Qual a diferença entre os fundamentos e as bases legais da LGPD?

Os fundamentos, listados no artigo 2º, são os valores que inspiram a lei, como privacidade e livre iniciativa. As bases legais, no artigo 7º, são as autorizações concretas para tratar dados no dia a dia. Fundamento é princípio; base legal é permissão.

Existe uma base legal mais importante que as outras?

Não. A LGPD não estabelece hierarquia entre as 10 bases. A escolha depende da situação concreta de cada tratamento, e o consentimento não é "superior" às demais, ao contrário do que muita empresa supõe.

O que é a prova de legítimo interesse?

É a avaliação documentada que demonstra o teste: finalidade legítima, necessidade, expectativas do titular e salvaguardas. A ANPD recomenda registrar essa análise e pode solicitar o documento, além de um relatório de impacto em casos de maior risco.

Posso usar mais de uma base legal para o mesmo dado?

O mesmo dado pode aparecer em tratamentos diferentes, cada um com sua base. O e-mail do cliente serve à entrega do pedido (execução de contrato) e ao envio de ofertas (legítimo interesse). O que não funciona é empilhar bases na mesma finalidade "por garantia": defina uma base principal para cada tratamento.

O que acontece se eu tratar dados sem base legal?

O tratamento é irregular e a empresa fica sujeita às sanções da ANPD, que vão de advertência a multa de até 2% do faturamento, limitada a R$ 50 milhões por infração. Nosso guia de multas da LGPD detalha as penalidades e os casos reais.

Conclusão

As bases legais da LGPD deixam de ser um tema intimidador quando você entende a lógica: toda operação com dados precisa de uma autorização definida antes de começar, e o consentimento é só uma das 10 opções, quase sempre a mais frágil. Obrigação legal, execução de contrato e legítimo interesse com teste documentado sustentam a maior parte do dia a dia de uma pequena empresa. Dados sensíveis seguem regras próprias, e tudo precisa estar registrado no seu inventário.

O próximo passo natural é olhar para a sua operação: liste os tratamentos, aplique a ordem de avaliação e registre as bases legais escolhidas. Se quiser fazer isso com orientação e sem planilhas, faça o diagnóstico da sua empresa no DataSafu. Em poucos minutos, você descobre onde está na adequação e qual base legal ainda falta definir.