Como Escolher a Base Legal Correta na LGPD: Arts. 7 e 11
Todo tratamento de dados pessoais precisa de uma justificativa jurídica. Sem ela, o tratamento é ilícito — independentemente da finalidade ser legítima ou de o dado ser "público". Essa justificativa é o que a LGPD chama de base legal, e ela é um dos pilares de qualquer programa de conformidade.
O problema é que muitas organizações simplesmente marcam "consentimento" para tudo e seguem em frente. Esse atalho, além de juridicamente incorreto na maioria dos casos, cria um risco real: se o titular revogar o consentimento, o tratamento torna-se imediatamente ilícito — mesmo que houvesse uma base legal mais adequada disponível.
Este guia explica as 10 bases legais do Art. 7 da LGPD (e as bases especiais do Art. 11 para dados sensíveis), como escolher a correta para cada situação e como documentar adequadamente essa escolha.
As 10 bases legais do Art. 7 da LGPD
O Art. 7 da Lei 13.709/2018 estabelece que o tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
| # | Base legal | Descrição prática |
|---|---|---|
| I | Consentimento do titular | O titular autorizou o tratamento de forma livre, informada, inequívoca e para finalidade específica |
| II | Cumprimento de obrigação legal ou regulatória | A lei ou regulamento exige o tratamento (ex.: obrigações fiscais, trabalhistas, sanitárias) |
| III | Execução de políticas públicas | Exclusivo da administração pública; políticas previstas em leis, regulamentos ou contratos |
| IV | Realização de estudos por órgão de pesquisa | Para pesquisa científica ou tecnológica, garantida a anonimização sempre que possível |
| V | Execução de contrato | Necessário para executar contrato do qual o titular é parte, ou para procedimentos pré-contratuais a seu pedido |
| VI | Exercício regular de direitos | Em processo judicial, administrativo ou arbitral — inclusive em contratos |
| VII | Proteção da vida | Para proteger a vida ou a incolumidade física do titular ou de terceiro |
| VIII | Tutela da saúde | Em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária |
| IX | Legítimo interesse do controlador ou de terceiro | Quando necessário para atender interesses legítimos do controlador, exceto se prevalecerem direitos fundamentais do titular |
| X | Proteção do crédito | Para proteção do crédito, conforme legislação pertinente (ex.: Lei 8.078/1990, Serasa, SPC) |
As bases legais do Art. 11 para dados sensíveis
Dados sensíveis são definidos no Art. 5, II da LGPD: dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical ou político-filosófica, dados de saúde ou vida sexual, dados genéticos ou biométricos.
Para dados sensíveis, as bases legais são mais restritivas e estão no Art. 11:
Com consentimento (Art. 11, I): o titular ou seu responsável legal deve consentir de forma específica e destacada para finalidades específicas. O consentimento genérico para dados sensíveis é nulo.
Sem consentimento — apenas nas hipóteses do Art. 11, II:
| Alínea | Hipótese |
|---|---|
| a | Cumprimento de obrigação legal ou regulatória |
| b | Execução de políticas públicas pela administração pública |
| c | Realização de estudos por órgão de pesquisa (com anonimização quando possível) |
| d | Exercício regular de direitos em processo judicial, administrativo ou arbitral |
| e | Proteção da vida ou da incolumidade física do titular ou de terceiro |
| f | Tutela da saúde por profissionais ou serviços de saúde e autoridades sanitárias |
| g | Prevenção à fraude e segurança do titular em processos de identificação e autenticação |
Diferença crítica: o legítimo interesse não consta no Art. 11. Isso significa que dados sensíveis jamais podem ser tratados com base em legítimo interesse — a ANPD confirmou essa vedação em seu Guia Orientativo sobre Legítimo Interesse (2024).
Como escolher a base legal correta: 6 passos
Passo 1 — Defina a finalidade com precisão
A base legal está intrinsecamente ligada à finalidade. Sem finalidade específica, explícita e legítima (Art. 6, I), não há base legal que se sustente. Pergunte: por que precisamos desse dado? Para fazer o quê exatamente?
Finalidades vagas — "melhorar a experiência do usuário" ou "fins de marketing" sem especificação — não atendem ao princípio da finalidade e invalidam qualquer base legal invocada.
Passo 2 — Verifique se há obrigação legal prévia
Se uma lei, decreto, resolução ou regulamento exige o tratamento, a base correta é o Art. 7, II (obrigação legal). Esta é a mais segura: não pode ser revogada pelo titular e não exige consentimento.
Exemplos típicos:
- Dados para eSocial, FGTS, IRRF → obrigação legal
- Prontuários médicos (prazo mínimo legal de 20 anos) → obrigação legal
- Registro de empregados no MTE → obrigação legal
- Dados para nota fiscal eletrônica → obrigação legal
Passo 3 — Verifique se há contrato com o titular
Se o tratamento é necessário para executar um contrato do qual o titular é parte, a base é o Art. 7, V (execução de contrato). Note: o titular deve ser parte do contrato — dados tratados para servir contratos com terceiros não se enquadram aqui.
Exemplos:
- Endereço de entrega de produto comprado online → execução de contrato
- Dados bancários para pagamento de serviço contratado → execução de contrato
- Dados do candidato em processo seletivo (procedimentos pré-contratuais a pedido do titular) → execução de contrato
Passo 4 — Verifique se os dados são sensíveis
Se sim, aplique o Art. 11 em vez do Art. 7. Verifique se há obrigação legal ou uma das hipóteses do Art. 11, II. Se nenhuma se aplicar, será necessário o consentimento específico e destacado (Art. 11, I).
Atenção: Uma empresa de RH que coleta atestados médicos não pode usar "tutela da saúde" (Art. 11, II, f) — essa hipótese é restrita a profissionais de saúde, serviços de saúde e autoridades sanitárias. A base correta, neste caso, é obrigação legal (legislação trabalhista).
Passo 5 — Avalie o legítimo interesse (com cautela)
O legítimo interesse (Art. 7, IX, regulamentado pelo Art. 10) é a base mais flexível e ao mesmo tempo mais arriscada. Ele exige a elaboração de um LIA (Legitimate Interest Assessment) documentado, com três fases segundo o modelo da ANPD (Guia Orientativo 2024):
Fase 1 — Finalidade: O interesse do controlador é concreto, lícito e vinculado a finalidades específicas? Não é especulativo?
Fase 2 — Necessidade: O tratamento é estritamente necessário para atingir a finalidade? Há alternativa menos intrusiva à privacidade?
Fase 3 — Balanceamento e salvaguardas: Os interesses do titular prevalecem sobre os do controlador? O titular poderia razoavelmente antecipar esse uso de seus dados? Existem salvaguardas (opt-out, pseudonimização, minimização)?
Se qualquer fase reprovar, o legítimo interesse não pode ser usado.
Vedações absolutas ao legítimo interesse:
- Dados sensíveis (Art. 11 não inclui essa hipótese)
- Dados de crianças e adolescentes (avaliação mais rigorosa — princípio do melhor interesse da criança)
Passo 6 — O consentimento como última opção, não primeira
O consentimento (Art. 7, I) é a base legal mais frágil da LGPD, não a mais segura. Pode ser revogado a qualquer momento (Art. 8, §5), tornando o tratamento ilícito imediatamente. Além disso, exige requisitos rigorosos:
- Livre: sem condicionamento (não pode ser pré-condição para serviço, salvo quando o dado é essencial para o serviço)
- Informado: o titular deve entender exatamente o que está autorizando
- Inequívoco: manifestação afirmativa — caixas pré-marcadas são inválidas
- Para finalidade específica: um consentimento para múltiplas finalidades deve ser granular
Quando o consentimento faz sentido:
- Marketing por email ou SMS (quando não há relação contratual prévia)
- Coleta de dados sensíveis que não se enquadram nas hipóteses do Art. 11, II
- Finalidades que vão além do necessário para executar o contrato
Bases legais na prática: exemplos por setor
| Situação | Base legal correta | Por quê? |
|---|---|---|
| Folha de pagamento | Obrigação legal (II) | eSocial, FGTS, IRRF exigem o tratamento |
| Gestão de contratos com clientes | Execução de contrato (V) | Necessário para cumprir o contrato |
| Cadastro de biometria para acesso | Consentimento específico (Art. 11, I) | Dado sensível — exige consentimento destacado |
| Dados médicos em hospital | Tutela da saúde (Art. 11, II, f) | Profissional de saúde em procedimento médico |
| Prevenção de fraudes em fintech | Legítimo interesse (IX) + Proteção do crédito (X) | Interesse legítimo documentado em LIA |
| Análise de comportamento para marketing | Legítimo interesse (IX) | Com LIA documentado e opt-out disponível |
| Defesa em processo trabalhista | Exercício regular de direitos (VI) | Processo judicial em curso |
| Pesquisa de satisfação (empresa) | Legítimo interesse (IX) | Com LIA documentado |
| Dados de candidatos a emprego | Execução de contrato (V) | Procedimentos pré-contratuais a pedido do titular |
| Conteúdo de newsletter | Consentimento (I) | Comunicação de marketing sem relação prévia |
Erros mais comuns na escolha de base legal
Erro 1 — Consentimento genérico para tudo Além de juridicamente inválido, cria dependência: se o titular revogar, o tratamento para — mesmo que houvesse obrigação legal ou base contratual.
Erro 2 — Usar políticas públicas para entidades privadas O Art. 7, III é exclusivo da administração pública. Empresas privadas não podem invocar essa base.
Erro 3 — Legítimo interesse para dados sensíveis Vedação explícita no Art. 11. Atestados médicos, dados biométricos, informações de saúde nunca podem ser tratados com base em legítimo interesse.
Erro 4 — "Tutela da saúde" fora do contexto médico O Art. 7, VIII e o Art. 11, II, f são restritos a profissionais de saúde, serviços de saúde e autoridades sanitárias. Uma empresa de RH, uma seguradora ou um plano de saúde (operadora) não são "serviços de saúde" para fins desta base.
Erro 5 — Múltiplas bases para a mesma atividade Cada atividade de tratamento deve ter uma base legal principal claramente definida. Invocar duas ou três bases simultaneamente indica que nenhuma está bem fundamentada e gera insegurança jurídica.
Erro 6 — Não rever a base legal quando muda a finalidade O Art. 6, I (princípio da finalidade) proíbe o tratamento para fins incompatíveis com a finalidade original. Se a finalidade muda, a base legal deve ser reavaliada — e o titular deve ser informado (Art. 9, §2).
Como documentar a base legal no ROPA
A base legal deve constar no Registro das Atividades de Tratamento (Art. 37) com o seguinte nível de detalhe mínimo:
Atividade: Cadastro e gestão de colaboradores
Finalidade: Cumprimento de obrigações trabalhistas e previdenciárias
Base legal: Art. 7, II (cumprimento de obrigação legal) — eSocial, FGTS, IRRF, CAGED
Justificativa: A legislação trabalhista brasileira exige a coleta e manutenção destes dados
como condição para admissão, remuneração e desligamento de colaboradores.
Dados sensíveis: Dados de saúde (atestados médicos)
Base legal dados sensíveis: Art. 11, II, a (cumprimento de obrigação legal) — Lei 9.029/95
e legislação trabalhista que permite coleta de atestados
Para o legítimo interesse: o ROPA deve referenciar o LIA documentado, que pode ser solicitado pela ANPD a qualquer momento.
Para o consentimento: manter registro das coletas com timestamp, versão da política de privacidade vigente na época e mecanismo de revogação disponível.
Conclusão
Definir corretamente as bases legais não é burocracia — é a diferença entre um programa de conformidade sólido e um que desmorona sob a primeira fiscalização da ANPD ou o primeiro pedido de um titular.
A sequência correta é: finalidade específica → verificar obrigação legal → verificar base contratual → avaliar legítimo interesse (com LIA) → consentimento como última opção. E documentar tudo no ROPA.
Precisa estruturar as bases legais de cada atividade de tratamento da sua organização? O Confidata organiza seu ROPA com campos de justificativa de base legal, vinculação com o RIPD e alertas quando mudanças de processo exigem revisão da base legal.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.