A LGPD estabelece em seu artigo 7º dez hipóteses que autorizam o tratamento de dados pessoais. Diferentemente do que muitas organizações presumem, o consentimento não é a única — nem sempre a mais adequada — base legal disponível. A escolha correta da base legal é uma decisão jurídica fundamental que impacta toda a operação de tratamento de dados.
As Dez Bases Legais
O artigo 7º da LGPD elenca as seguintes hipóteses: consentimento do titular; cumprimento de obrigação legal ou regulatória; tratamento pela administração pública para políticas públicas; realização de estudos por órgão de pesquisa; execução de contrato ou procedimentos preliminares; exercício regular de direitos em processo judicial, administrativo ou arbitral; proteção da vida ou da incolumidade física; tutela da saúde; legítimo interesse do controlador; e proteção do crédito.
Cada base legal possui requisitos específicos e limitações próprias. O controlador deve avaliar qual é a mais apropriada considerando a natureza dos dados, a finalidade do tratamento e o contexto da relação com o titular.
Consentimento: Quando Utilizar
O consentimento deve ser livre, informado, inequívoco e referir-se a finalidades determinadas. Ele pode ser revogado a qualquer momento, o que traz implicações operacionais significativas. O consentimento é mais adequado quando o titular tem genuína liberdade de escolha e quando não há outra base legal aplicável. Não é recomendável utilizar o consentimento como base para tratamentos essenciais à prestação de um serviço contratado, pois sua revogação inviabilizaria a relação contratual.
Legítimo Interesse: Flexibilidade com Responsabilidade
O legítimo interesse (art. 7º, IX) é frequentemente considerado a base legal mais flexível, mas também é a que exige maior diligência. O controlador deve realizar um teste de proporcionalidade, avaliando a legitimidade do interesse, a necessidade do tratamento, e o balanceamento entre os interesses do controlador e os direitos e expectativas do titular.
A ANPD recomenda a elaboração de um Relatório de Legítimo Interesse (LIA — Legitimate Interest Assessment) para documentar essa análise. Embora não seja expressamente exigido pela lei, esse documento é uma ferramenta essencial de accountability.
Execução de Contrato e Obrigação Legal
A execução de contrato (art. 7º, V) autoriza o tratamento necessário para o cumprimento de obrigações contratuais ou para procedimentos pré-contratuais a pedido do titular. Já o cumprimento de obrigação legal ou regulatória (art. 7º, II) permite o tratamento quando há determinação normativa, como obrigações trabalhistas, fiscais ou regulatórias setoriais.
Orientações Práticas
A escolha da base legal deve ser feita antes do início do tratamento e documentada no registro de operações. Não é admissível trocar de base legal quando a originalmente escolhida se revela inadequada, sem uma justificativa legítima. Recomenda-se mapear todas as operações de tratamento e associar a cada uma a base legal correspondente, criando assim um inventário de dados que demonstre conformidade com a legislação.
Alessandro Casoretti Lavorante
Prof. Me. pela USP
Advogado especializado em Direito Digital, IA e Startups. Mestre em Direito Civil pela USP. Autor do livro "Responsabilidade Civil por Inteligência Artificial".