LGPD Comentada #05: Bases Legais (Parte 1) — Consentimento, Obrigação Legal, Políticas Públicas, Pesquisa e Contratos
Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.
Toda atividade de tratamento de dados pessoais precisa de um fundamento jurídico. Sem ele, o tratamento é ilegal — independentemente de quão legítima seja a intenção do controlador. A LGPD não funciona como um regime de proibição genérica com exceções; ela funciona como um regime de autorização condicionada: o tratamento é permitido, desde que se enquadre em uma das hipóteses taxativamente previstas no Art. 7.
Este é o primeiro de dois posts dedicados às bases legais. Aqui, analisamos os incisos I a V do Art. 7: consentimento, obrigação legal ou regulatória, políticas públicas, estudos por órgão de pesquisa e execução de contrato. No próximo post, cobriremos os incisos VI a X.
O Art. 7: natureza taxativa das bases legais
O caput do Art. 7 da Lei 13.709/2018 estabelece:
"O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:"
A palavra-chave é somente. As dez hipóteses listadas no Art. 7 formam um rol taxativo — não é possível criar bases legais por analogia, interpretação extensiva ou conveniência operacional. Se a atividade de tratamento não se encaixa em nenhuma das dez hipóteses, não há como torná-la lícita sem modificar a própria atividade.
Essa estrutura é semelhante à do GDPR europeu, que lista seis bases legais no Art. 6(1). A LGPD foi além, incluindo quatro bases adicionais — entre elas a proteção do crédito (Art. 7, X), exclusiva do ordenamento brasileiro.
Um equívoco recorrente é tratar o consentimento como a base legal "padrão" ou "mais segura". Na realidade, o consentimento é uma das opções mais frágeis operacionalmente: pode ser revogado a qualquer momento, exige prova de obtenção pelo controlador e, se obtido de forma genérica, é nulo. Na maioria dos cenários empresariais, bases como obrigação legal ou execução de contrato são mais adequadas e estáveis.
Vejamos cada uma das cinco primeiras hipóteses.
Inciso I — Consentimento do titular
Art. 7, I — "mediante o fornecimento de consentimento pelo titular"
O consentimento é a base legal mais conhecida, mas também a mais exigente. O Art. 8 detalha os requisitos (tema do Post #07 desta série), mas vale destacar os pontos centrais:
- Deve ser livre, informado e inequívoco — o titular precisa entender o que está autorizando
- Deve se referir a finalidades determinadas — autorizações genéricas são nulas (Art. 8, §4º)
- Se por escrito, deve constar de cláusula destacada das demais (Art. 8, §1º)
- O ônus da prova de que o consentimento foi obtido corretamente recai sobre o controlador (Art. 8, §2º)
- Pode ser revogado a qualquer momento, por procedimento gratuito e facilitado (Art. 8, §5º)
Na prática
O consentimento funciona bem quando o titular tem genuína liberdade de escolha e a relação não envolve desequilíbrio de poder. Exemplos típicos: inscrição em newsletter, participação em programas de fidelidade opcionais, coleta de dados para pesquisa de satisfação voluntária.
Funciona mal quando há assimetria de poder (relação empregatícia, por exemplo) ou quando o titular não tem alternativa real (aceitar os termos para usar um serviço essencial). Nesses cenários, o consentimento pode ser considerado viciado — e, portanto, nulo.
Case real: Telekall Infoservice — primeira multa da ANPD
Em julho de 2023, a ANPD aplicou sua primeira sanção financeira contra a microempresa Telekall Infoservice (Processo nº 00261.000489/2022-62). A empresa vendia listas de contatos de WhatsApp para campanhas eleitorais nas eleições municipais de 2020 em Ubatuba (SP), sem qualquer base legal — não havia consentimento dos titulares nem qualquer outra hipótese do Art. 7 que amparasse o tratamento.
A multa foi de R$ 14.400 (R$ 7.200 por violação do Art. 7 da LGPD + R$ 7.200 por violação do Art. 5 do Regulamento de Fiscalização). O valor, limitado a 2% do faturamento por se tratar de microempresa, pode parecer baixo — mas o precedente é significativo: a ANPD confirmou que tratamento sem base legal configurada é infração sancionável.
Inciso II — Obrigação legal ou regulatória
Art. 7, II — "para o cumprimento de obrigação legal ou regulatória pelo controlador"
Esta é, na prática, uma das bases legais mais utilizadas no Brasil — e uma das mais seguras, porque não depende da vontade do titular. Quando uma lei ou regulamento obriga o controlador a tratar dados pessoais, o controlador não apenas pode como deve fazê-lo. Recusar-se a tratar dados exigidos por lei não é proteção de privacidade; é descumprimento de obrigação legal.
Obrigações legais mais comuns
O Brasil possui um vasto conjunto de obrigações que exigem tratamento de dados pessoais:
Obrigações trabalhistas e previdenciárias:
| Obrigação | Legislação | Dados tratados |
|---|---|---|
| eSocial | Decreto 8.373/2014 | Nome, CPF, salário, férias, afastamentos, contribuições — unificou 15 obrigações acessórias |
| FGTS | Lei 8.036/1990 | Dados financeiros e trabalhistas para recolhimento |
| CAGED/RAIS | Incorporados ao eSocial | Admissões, demissões, vínculos |
| Registro de empregados | CLT, Art. 41 | Dados cadastrais, documentais e funcionais |
Obrigações fiscais e tributárias:
| Obrigação | Legislação | Dados tratados |
|---|---|---|
| IRRF | CTN (Lei 5.172/1966) + RIR (Decreto 9.580/2018) | CPF, rendimentos, retenções |
| NF-e / NFC-e | Ajuste SINIEF 7/2005 | CPF/CNPJ do consumidor |
| DIRF | Instrução Normativa RFB | Rendimentos pagos e retenções |
Obrigações setoriais:
- Saúde: prontuários médicos com guarda de 20 anos (Resoluções CFM)
- Financeiro: obrigações perante o Banco Central (Lei 4.595/1964)
- Mercado de capitais: obrigações perante a CVM (Lei 6.385/1976)
Na prática
O ponto crucial é identificar qual obrigação legal fundamenta o tratamento. Não basta alegar genericamente que "a lei exige" — é necessário apontar o dispositivo legal específico. Um controlador que trata dados de empregados para o eSocial deve documentar que a base legal é o Art. 7, II, com referência ao Decreto 8.373/2014.
A obrigação legal também define os limites do tratamento: os dados devem ser apenas os exigidos pela norma. Coletar dados além do que a obrigação determina não está amparado por esta base legal — o excedente precisaria de outra hipótese.
Inciso III — Políticas públicas pela administração pública
Art. 7, III — "pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei"
Este inciso contém uma restrição que muitas organizações ignoram: ele é exclusivo da administração pública. Empresas privadas não podem invocar o Art. 7, III como base legal para tratamento de dados, mesmo que estejam executando atividades de interesse público ou participando de programas governamentais.
Requisitos cumulativos
Para que um órgão público utilize esta base, três condições devem estar presentes:
- Sujeito ativo: deve ser a administração pública (direta ou indireta)
- Finalidade: execução de políticas públicas
- Fundamento: a política deve estar prevista em leis, regulamentos, contratos, convênios ou instrumentos congêneres
O Capítulo IV da LGPD (Arts. 23 a 30) impõe obrigações adicionais ao poder público — entre elas, informar a hipótese de tratamento, a base legal e a finalidade de forma clara.
Na prática
Programas como Bolsa Família, CadÚnico, SUS (Sistema Único de Saúde) e o próprio eSocial (quando operado pelo governo) exemplificam o uso desta base legal. A administração pública trata dados de milhões de cidadãos para executar políticas públicas, sem necessidade de consentimento individual.
A eventual participação de empresas privadas na execução de políticas públicas só pode ocorrer sob a tutela de pessoa jurídica de direito público, conforme análise do Art. 26, §1º da LGPD — e a empresa privada atua como operadora, não como controladora autônoma.
Case real: ADI 6387 — STF e dados do IBGE
Em maio de 2020, o STF suspendeu por unanimidade a MP 954/2020, que obrigava operadoras de telefonia a compartilhar dados pessoais (nomes, telefones, endereços) de todos os seus clientes com o IBGE durante a pandemia. A relatora, Ministra Rosa Weber, destacou que a medida provisória não apresentava mecanismos técnicos ou administrativos para proteger os dados de acessos não autorizados, violando o direito à intimidade e ao sigilo de dados.
A decisão é historicamente relevante: o STF reconheceu, pela primeira vez, o direito fundamental autônomo à proteção de dados pessoais no Brasil — antes mesmo da LGPD entrar em vigor. A ADI 6387 demonstrou que nem mesmo o poder público, com finalidade estatística legítima, pode tratar dados pessoais sem salvaguardas adequadas.
Inciso IV — Estudos por órgão de pesquisa
Art. 7, IV — "para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais"
Esta base legal tem aplicação restrita, porque a LGPD define "órgão de pesquisa" de forma específica no Art. 5, XVIII:
"órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico"
Três restrições fundamentais
-
Sem fins lucrativos: empresas privadas com fins lucrativos não podem usar esta base legal, mesmo que tenham pesquisa em seus objetivos estatutários. O Guia Orientativo da ANPD sobre Tratamento de Dados para Fins Acadêmicos e Pesquisa (publicado em 26 de junho de 2023) confirmou essa interpretação.
-
Anonimização sempre que possível: a lei não exige anonimização absoluta — reconhece que há situações em que ela é inviável (pesquisas longitudinais, por exemplo). Mas quando for possível, é obrigatória.
-
Sede no Brasil: o órgão deve ser legalmente constituído sob leis brasileiras e ter sede e foro no país.
Na prática
Universidades públicas, institutos de pesquisa como Fiocruz, IBGE e IPEA, e organizações privadas sem fins lucrativos com pesquisa em seu estatuto podem utilizar esta base. Uma empresa de tecnologia que realiza pesquisa de mercado, por exemplo, não se enquadra — precisará de outra base legal (consentimento ou legítimo interesse, conforme o caso).
Inciso V — Execução de contrato
Art. 7, V — "quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados"
Esta é a base legal mais natural para relações contratuais diretas entre o controlador e o titular. Se existe um contrato e o tratamento de dados é necessário para cumpri-lo, o consentimento adicional é desnecessário — e, na maioria dos casos, seria até redundante.
Requisitos
Três condições são cumulativas:
- O titular é parte do contrato — contratos entre empresas (B2B) sem envolvimento direto do titular como parte não se enquadram automaticamente
- O tratamento é necessário — dados coletados além do necessário para a execução contratual precisam de outra base legal
- A pedido do titular — o contrato ou procedimento preliminar deve ter sido iniciado pelo titular ou com sua participação ativa
Procedimentos preliminares
O Art. 7, V abrange também os procedimentos preliminares relacionados a contrato, o que inclui:
- Orçamentos e propostas comerciais
- Análise de crédito pré-contratual
- Due diligence para celebração de contrato
- Preenchimento de cadastro para contratação
- Análise de documentação para seguros
Há duas correntes interpretativas sobre a expressão "a pedido do titular": a restritiva entende que se aplica tanto à execução quanto aos procedimentos preliminares; a menos restritiva entende que qualifica apenas os procedimentos preliminares. A redação do Art. 6(1)(b) do GDPR europeu, que serviu de modelo, sugere a segunda interpretação.
Na prática
Um e-commerce que processa dados de entrega para enviar um produto comprado pelo cliente usa o Art. 7, V. Uma operadora de telecomunicações que trata dados cadastrais para manter a linha telefônica ativa usa o Art. 7, V. Um banco que analisa dados financeiros do cliente para aprovar um empréstimo solicitado usa o Art. 7, V (procedimento preliminar).
O limite é a necessidade: se o e-commerce coleta dados de navegação do cliente para personalizar anúncios, isso vai além da execução do contrato de compra e venda — e precisará de outra base legal.
Como escolher a base legal correta
A escolha da base legal não é arbitrária — ela deve refletir a natureza real da relação entre controlador e titular e a finalidade efetiva do tratamento. Alguns critérios práticos:
| Situação | Base legal mais adequada |
|---|---|
| Lei obriga o controlador a tratar os dados | Art. 7, II — Obrigação legal |
| Dados necessários para cumprir contrato com o titular | Art. 7, V — Execução de contrato |
| Órgão público executando política pública | Art. 7, III — Políticas públicas |
| Pesquisa acadêmica por instituição sem fins lucrativos | Art. 7, IV — Estudos por órgão de pesquisa |
| Nenhuma das anteriores se aplica e o titular tem liberdade de escolha | Art. 7, I — Consentimento |
Erros comuns na escolha de base legal
| Erro | Risco | Correção |
|---|---|---|
| Usar consentimento quando há obrigação legal | Titular revoga consentimento e controlador fica sem base — mas a obrigação legal persiste | Mapear obrigações legais e usá-las como base quando aplicáveis |
| Empresa privada invocando "políticas públicas" | Base legal inexistente para entes privados | Usar outra base legal (contrato, legítimo interesse ou consentimento) |
| Usar "execução de contrato" para dados não necessários ao contrato | Tratamento excede a base legal | Separar os dados: os necessários ao contrato ficam no Art. 7, V; os adicionais precisam de outra base |
| Não documentar a base legal escolhida | Impossibilidade de demonstrar conformidade | Registrar a base legal no ROPA para cada atividade de tratamento |
Case real: Meta e a escolha inadequada de base legal
Em julho de 2024, a ANPD suspendeu cautelarmente a nova política de privacidade da Meta que autorizava o uso de dados pessoais publicados em suas plataformas para treinamento de sistemas de IA generativa (Despacho Decisório nº 20/2024/PR/ANPD). A Meta havia escolhido o legítimo interesse como base legal, mas a ANPD considerou a escolha inadequada porque: (a) o tratamento poderia envolver dados sensíveis; (b) não havia expectativa razoável dos titulares de que dados compartilhados anos antes seriam usados para treinar IA; (c) havia limitações excessivas ao exercício de direitos; e (d) ausência de salvaguardas para dados de crianças e adolescentes.
A multa por descumprimento foi fixada em R$ 50.000 por dia. Em agosto de 2024, a Meta apresentou um plano de conformidade e a medida cautelar foi revogada — com a restrição de não usar dados de menores de 18 anos para treinamento de IA. O caso ilustra que a escolha de base legal é uma decisão técnico-jurídica com consequências reais, não uma formalidade burocrática.
Conclusão
As cinco primeiras bases legais do Art. 7 cobrem a maioria dos cenários de tratamento de dados no Brasil. A obrigação legal e a execução de contrato são as mais estáveis e previsíveis; o consentimento é o mais flexível, mas também o mais frágil. As políticas públicas são exclusivas do poder público. Os estudos por órgão de pesquisa têm requisitos institucionais específicos.
A lição central é que a base legal deve ser escolhida antes do início do tratamento, não depois. Documentá-la no registro de operações (ROPA) e vinculá-la a cada atividade de tratamento é o que separa um programa de conformidade real de uma conformidade de fachada. E, como os casos da Telekall e da Meta demonstram, a ANPD está verificando — e sancionando — a ausência ou inadequação de base legal.
No próximo post, analisaremos os incisos VI a X: exercício regular de direitos, proteção da vida, tutela da saúde, legítimo interesse e proteção do crédito — incluindo a base legal exclusivamente brasileira que não existe no GDPR.
A Confidata permite vincular a base legal correta a cada atividade de tratamento no inventário, com alertas automáticos quando a base selecionada é incompatível com o tipo de dado ou finalidade. Conheça nossa plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.