LGPD Comentada #06: Bases Legais (Parte 2) — Exercício de Direitos, Proteção da Vida, Saúde, Legítimo Interesse e Crédito
Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.
No post anterior, analisamos as cinco primeiras bases legais do Art. 7 da LGPD: consentimento, obrigação legal, políticas públicas, pesquisa e execução de contrato. Agora, completamos o quadro com os incisos VI a X — um conjunto que inclui bases legais de aplicação mais específica, a controversa figura do legítimo interesse e uma base legal que não existe em nenhuma outra legislação de proteção de dados do mundo: a proteção do crédito.
Inciso VI — Exercício regular de direitos
Art. 7, VI — "para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem)"
O Art. 7, VI autoriza o tratamento de dados pessoais quando necessário para o exercício regular de direitos em três esferas processuais: judicial, administrativa e arbitral. A referência expressa à Lei de Arbitragem (Lei 9.307/1996) não é acidental — reflete a crescente importância da arbitragem no cenário jurídico brasileiro.
Escopo de abrangência
A base legal cobre:
- Processos judiciais: todas as jurisdições (cível, criminal, trabalhista, tributária) e instâncias
- Processos administrativos: perante órgãos públicos, agências reguladoras, conselhos profissionais, a própria ANPD
- Procedimentos arbitrais: nos termos da Lei 9.307/1996
A doutrina predominante aceita que o Art. 7, VI abrange também a fase pré-processual — a guarda preventiva de documentos e dados para eventual defesa futura. Se a legislação proibisse a retenção de dados para esse fim, haveria cerceamento do direito de defesa e violação dos princípios constitucionais da ampla defesa e do contraditório.
Na prática
O cenário mais comum é a retenção de dados de ex-empregados. Após o encerramento do contrato de trabalho, a empresa pode manter dados pessoais do ex-colaborador com base no Art. 7, VI, porque o prazo prescricional trabalhista é de 2 anos após a rescisão (para ajuizamento) e 5 anos durante a vigência do contrato. Eliminar esses dados imediatamente após o desligamento privaria a empresa do direito de defesa em eventual reclamação trabalhista.
O mesmo raciocínio se aplica a contratos de consumo (prazo prescricional de 5 anos no CDC), relações tributárias (5 anos para o Fisco constituir crédito) e obrigações civis em geral (prazos variáveis conforme o tipo de pretensão).
Limite importante: esta base legal não autoriza o tratamento de dados para qualquer finalidade que envolva um processo — apenas para o exercício regular de direitos. Usar dados pessoais obtidos em um processo judicial para fins de marketing, por exemplo, excede o escopo.
Inciso VII — Proteção da vida ou da incolumidade física
Art. 7, VII — "para a proteção da vida ou da incolumidade física do titular ou de terceiro"
Esta é a base legal de emergência — aplica-se em situações excepcionais onde a proteção da vida ou da integridade física justifica o tratamento de dados sem consentimento prévio. Seu uso é necessariamente temporário e circunstancial.
Requisitos e limites
- Restringe-se à proteção da vida e da incolumidade física — não abrange riscos exclusivamente psicológicos, patrimoniais ou sociais
- Aplica-se quando o titular não pode dar consentimento (emergências médicas, desastres, situações de risco iminente)
- Não é uma base legal permanente — cessa quando a situação de risco é superada
Na prática
O exemplo clássico é o atendimento de emergência: um paciente inconsciente chega ao hospital e a equipe médica precisa acessar dados de saúde (alergias, tipo sanguíneo, medicamentos em uso) para prestar socorro. Não há tempo nem possibilidade de obter consentimento — e a proteção da vida prevalece.
Aplicação durante a pandemia de COVID-19
A pandemia ofereceu o caso prático mais relevante de aplicação desta base legal em escala. A Lei 13.979/2020 determinou o compartilhamento obrigatório de dados entre administrações públicas e entidades privadas para rastreamento de infectados e grupos de risco, amparando-se no Art. 7, VII. Dados de saúde, deslocamento e contatos foram tratados para fins de vigilância epidemiológica — um tratamento que, em circunstâncias normais, exigiria consentimento específico ou outra base legal mais restritiva.
Inciso VIII — Tutela da saúde
Art. 7, VIII — "para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária"
A palavra-chave neste inciso é exclusivamente. O Art. 7, VIII não é uma base legal genérica para qualquer organização que lide com dados de saúde — é uma base restrita a três categorias de agentes:
- Profissionais de saúde — médicos, enfermeiros, psicólogos, fisioterapeutas e demais profissionais regulados
- Serviços de saúde — hospitais, clínicas, laboratórios, operadoras de planos de saúde (para fins assistenciais)
- Autoridades sanitárias — Anvisa, vigilâncias sanitárias estaduais e municipais
Quem NÃO pode usar esta base legal
Empresas de tecnologia, seguradoras (para fins de subscrição), empregadores, farmácias (para marketing) e qualquer outra organização que não se enquadre nas três categorias acima não podem invocar o Art. 7, VIII. Se uma empresa de RH trata dados de saúde de colaboradores, a base legal será a obrigação legal (Art. 7, II — laudos de saúde ocupacional exigidos pela CLT) ou, em alguns casos, a execução de contrato (Art. 7, V). Não é tutela da saúde.
Relação com dados sensíveis (Art. 11)
O Art. 7, VIII trata de dados pessoais comuns no contexto de saúde. Para dados sensíveis de saúde (diagnósticos, prontuários, histórico clínico), a base legal equivalente é o Art. 11, II, alínea "f" — que mantém a mesma restrição de exclusividade para profissionais e serviços de saúde.
Vedações específicas na área de saúde
A LGPD contém duas vedações expressas para dados de saúde:
- Art. 11, §4º: é vedada a comunicação ou uso compartilhado de dados sensíveis de saúde com objetivo de obter vantagem econômica — exceto para prestação de serviços de saúde, assistência farmacêutica e auxiliares de diagnose e terapia
- Art. 11, §5º: é vedado às operadoras de planos de saúde o tratamento de dados de saúde para seleção de riscos na contratação ou exclusão de beneficiários
Essas vedações revelam a preocupação do legislador com a discriminação baseada em dados de saúde — especialmente no mercado de seguros e planos de saúde.
Inciso IX — Legítimo interesse
Art. 7, IX — "quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais"
O legítimo interesse é a base legal mais flexível — e, por isso mesmo, a mais complexa. Diferentemente das demais bases legais, que se aplicam a situações bem definidas (obrigação legal, contrato, emergência), o legítimo interesse opera por meio de um teste de balanceamento: os interesses do controlador são ponderados contra os direitos e liberdades fundamentais do titular. Se os direitos do titular prevalecem, a base legal não pode ser utilizada.
O Art. 10 da LGPD detalha os requisitos e limites do legítimo interesse — e é o tema do Post #08 desta série, onde faremos o deep dive completo com o teste de proporcionalidade.
Visão geral
Em fevereiro de 2024, a ANPD publicou o Guia Orientativo das Hipóteses Legais de Tratamento de Dados — Legítimo Interesse, seu primeiro guia específico sobre uma base legal individual. O guia apresenta um modelo de teste de balanceamento em três fases:
- Finalidade — o interesse deve ser legítimo, específico e baseado em situações concretas
- Necessidade — apenas os dados estritamente necessários podem ser tratados
- Balanceamento — os interesses do controlador não devem prevalecer sobre os direitos fundamentais do titular
O legítimo interesse não se aplica a dados sensíveis (Art. 11) e exige cautela redobrada quando envolve dados de crianças e adolescentes.
Na prática — quando usar e quando não usar
Uso adequado: envio de ofertas de produtos complementares a clientes existentes, prevenção a fraude, segurança patrimonial (câmeras de vigilância), segurança de redes e sistemas.
Uso inadequado: tratamento de dados sensíveis, venda de listas de dados a terceiros, uso de dados para finalidades que o titular não esperaria, tratamento sem transparência ou possibilidade de opt-out.
Inciso X — Proteção do crédito
Art. 7, X — "para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente"
A proteção do crédito como base legal autônoma é uma exclusividade da LGPD brasileira — nenhuma outra legislação de proteção de dados no mundo inclui esta hipótese. No GDPR europeu, o tratamento de dados para fins de crédito se enquadra no legítimo interesse (Art. 6(1)(f) do Regulamento). A doutrina chama o Art. 7, X de "jabuticaba brasileira", refletindo as particularidades do sistema de proteção ao crédito no Brasil, construído ao longo de décadas por meio do SPC, Serasa e SCPC.
A "legislação pertinente": Lei 12.414/2011 (Cadastro Positivo)
A expressão "inclusive quanto ao disposto na legislação pertinente" remete principalmente à Lei 12.414/2011, que disciplina a formação de bancos de dados com informações de adimplemento — o chamado Cadastro Positivo.
Originalmente, o consumidor precisava solicitar ativamente sua inclusão no Cadastro Positivo (modelo opt-in). Após 7 anos, a adesão voluntária representou menos de 10% dos consumidores. Em 2019, a Lei Complementar 166 alterou o modelo para opt-out: a inclusão passou a ser automática, cabendo ao consumidor solicitar a exclusão.
A Lei 12.414/2011 limita o uso das informações a dois fins: (I) análise de risco de crédito do cadastrado e (II) subsídio à concessão ou extensão de crédito. O gestor do banco de dados pode fornecer a terceiros apenas o score de crédito (sem consentimento) e o histórico de crédito (com autorização específica do cadastrado, conforme Art. 4, IV da Lei 12.414).
Jurisprudência: Serasa e a linha entre proteção do crédito e violação de privacidade
O STJ tem construído jurisprudência relevante sobre os limites da proteção do crédito:
Súmula 550 do STJ (aprovada em 14/10/2015): "A utilização de escore de crédito, método estatístico de avaliação de risco que não constitui banco de dados, dispensa o consentimento do consumidor, que terá o direito de solicitar esclarecimentos sobre as informações pessoais valoradas e as fontes dos dados considerados no respectivo cálculo." A Súmula decorreu do julgamento do REsp 1.419.697/RS (Tema 710), em regime de recurso repetitivo.
REsp 2.133.261-SP (Informativo STJ nº 833, novembro de 2024): a Ministra Nancy Andrighi, na Terceira Turma, estabeleceu que o gestor de banco de dados pode tratar dados pessoais não sensíveis e abrir cadastro sem consentimento prévio (Art. 4, I da Lei 12.414/2011). Porém, a disponibilização indevida de dados pessoais a terceiros gera dano moral presumido (in re ipsa) e responsabilidade objetiva do gestor.
Case real: TJDFT vs. Serasa — venda de dados pessoais
Em 2021, o TJDFT confirmou decisão que determinou a suspensão da comercialização de dados pessoais pela Serasa por meio dos produtos "Lista Online" e "Prospecto de Clientes". A empresa vendia por R$ 0,98 por pessoa dados como nome, endereço, CPF, telefones, localização, perfil financeiro, poder aquisitivo e classe social — de mais de 150 milhões de brasileiros.
A ação civil pública foi proposta pela Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec) do MPDFT. A 2ª Turma Cível manteve a suspensão por unanimidade, com multa de R$ 5.000 por venda efetuada.
Paralelamente, o MPF pediu multa de R$ 200 milhões contra a Serasa pelo vazamento de dados de 223 milhões de brasileiros, além de indenização individual de R$ 30 mil por pessoa afetada.
O caso demonstra que a proteção do crédito — embora seja uma base legal válida para análise de risco — não autoriza a comercialização irrestrita de dados pessoais. A base legal tem limites, e ultrapassá-los transforma tratamento lícito em ilícito.
Na prática
A proteção do crédito autoriza: análise de risco para concessão de crédito, manutenção de cadastros de adimplemento e inadimplemento, cálculo de score de crédito, consultas por concedentes de crédito autorizados.
Não autoriza: venda de dados pessoais para marketing, compartilhamento com empresas sem relação com crédito, uso de dados sensíveis (como dados de redes sociais ou saúde) para fins de score, criação de perfis comportamentais para publicidade.
Quadro comparativo: as 10 bases legais do Art. 7
| Inciso | Base legal | Quem pode usar | Requer consentimento? | Principal limitação |
|---|---|---|---|---|
| I | Consentimento | Qualquer controlador | Sim (é a própria base) | Pode ser revogado; ônus da prova no controlador |
| II | Obrigação legal | Qualquer controlador obrigado por lei | Não | Restrito aos dados exigidos pela norma |
| III | Políticas públicas | Somente administração pública | Não | Não se aplica a empresas privadas |
| IV | Estudos/pesquisa | Órgãos de pesquisa sem fins lucrativos | Não | Anonimização sempre que possível |
| V | Execução de contrato | Partes do contrato | Não | Apenas dados necessários ao contrato |
| VI | Exercício de direitos | Partes em processo/procedimento | Não | Restrito a contexto processual |
| VII | Proteção da vida | Qualquer agente em emergência | Não | Situações excepcionais e temporárias |
| VIII | Tutela da saúde | Profissionais/serviços de saúde | Não | Exclusivo de agentes de saúde |
| IX | Legítimo interesse | Controlador ou terceiro | Não | Teste de balanceamento obrigatório |
| X | Proteção do crédito | Gestores de bancos de crédito | Não | Restrito a análise de risco de crédito |
Conclusão
As dez bases legais do Art. 7 formam um sistema fechado: se o tratamento não se enquadra em nenhuma delas, é ilegal. Não há espaço para criatividade jurídica ou argumentos de conveniência.
As bases legais dos incisos VI a X apresentam particularidades que exigem atenção:
- O exercício de direitos (VI) abrange a guarda de dados para defesa futura, mas limitada aos prazos prescricionais
- A proteção da vida (VII) e a tutela da saúde (VIII) são bases de emergência e saúde, respectivamente, com escopo restrito
- O legítimo interesse (IX) é flexível, mas exige teste de balanceamento documentado — tema do Post #08
- A proteção do crédito (X) é uma inovação brasileira com limites claros que a jurisprudência do STJ está delineando
O ponto mais importante para a prática é que cada atividade de tratamento deve ter uma — e apenas uma — base legal principal. Acumular bases legais "por precaução" não é recomendável: se o controlador indica consentimento como base e o titular revoga, não pode retroativamente alegar legítimo interesse. A escolha deve ser feita de forma consciente, documentada e coerente com a natureza real do tratamento.
A Confidata automatiza o mapeamento de bases legais no inventário de atividades de tratamento, indicando qual hipótese do Art. 7 se aplica a cada operação e alertando quando a base selecionada é incompatível com a categoria de dados. Conheça nossa plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.