Tratamento de dados: escolhendo a base legal na LGPD

A cada dia que passa, a digitalização avança a passos largos e o tratamento de dados pessoais é uma realidade incontornável para empresas e profissionais. 

A Lei Geral de Proteção de Dados (LGPD) é um pilar fundamental desse assunto, porque ela estabelece as diretrizes a fim de que esse tratamento de dados ocorra de maneira ética, transparente e, acima de tudo, respeitando a privacidade dos indivíduos. 

A LGPD exige que cada operação de tratamento de dados tenha um fundamento legal claro, uma “base legal” que a justifique. Sem essa base, o tratamento é considerado irregular e pode acarretar sérias consequências legais e de reputação.

Dentro do vasto leque de fundamentos legais oferecidos pela LGPD, duas bases costumam gerar mais dúvidas e discussões no ambiente corporativo: o consentimento e o legítimo interesse

Afinal, como escolher a base legal adequada sob a LGPD

Essa é, portanto, uma pergunta constante para profissionais que lidam diariamente com informações pessoais. 

A boa notícia é que, embora o tema possa parecer complexo, a LGPD e os guias da Autoridade Nacional de Proteção de Dados (ANPD) oferecem caminhos claros para essa decisão. 

Neste artigo, o objetivo é desvendar essa questão de maneira prática, auxiliando a compreender quando e como escolher a base legal adequada sob a LGPD, especialmente no que tange ao consentimento e ao legítimo interesse.

A essência das bases legais LGPD

Para começar, é fundamental entender o que são as bases legais e por que elas são tão importantes para a conformidade. Pense na construção de um edifício: ele precisa de um alicerce sólido para se manter de pé com segurança. 

As bases legais funcionam exatamente como esse alicerce para o tratamento de dados. Elas garantem que cada etapa — desde a coleta e o armazenamento até o uso e o compartilhamento — esteja em total conformidade com a lei, protegendo assim a privacidade e os direitos dos titulares.

A LGPD, por sua vez, lista dez bases legais, cada uma com suas particularidades e campos de aplicação. Entre elas, destacam-se:

  • Consentimento: Conforme será detalhado, é o “sim” livre, informado e inequívoco do titular dos dados para uma finalidade específica de tratamento de dados.
  • Execução de contrato ou procedimentos preliminares: Permite o tratamento de dados necessário para firmar ou cumprir um contrato com o titular.
  • Cumprimento de obrigação legal ou regulatória: Quando a legislação exige que se trate determinados dados.
  • Exercício regular de direitos em processo judicial, administrativo ou arbitral: Para defender-se em litígios ou para exercer direitos em processos.
  • Proteção da vida ou incolumidade física do titular ou de terceiro: Em situações de emergência que envolvam risco à vida ou à integridade física.
  • Tutela da saúde: Realizado por profissionais de saúde ou autoridades sanitárias para fins de prevenção ou assistência à saúde.
  • Execução de políticas públicas: Para a administração pública, na execução de suas atribuições legais.
  • Estudos por órgão de pesquisa: Para a realização de estudos por órgãos de pesquisa, preferencialmente com anonimização dos dados.
  • Proteção ao crédito: Para análise de risco de crédito, conforme legislação específica.
  • Legítimo Interesse: Uma base mais flexível, que permite o tratamento de dados quando há um interesse legítimo do controlador (a organização que trata os dados) ou de terceiros, sem que isso ofenda os direitos e liberdades fundamentais do titular.

Como se pode notar, o foco principal neste artigo será o consentimento e legítimo interesse, as duas bases que, por sua natureza, mais demandam uma análise cuidadosa na hora de decidir como escolher a base legal adequada sob a LGPD.

Consentimento e transparência andam lado a lado

O consentimento é, sem dúvida, a base legal mais transparente e, para muitos, a mais segura. Ele representa a autonomia do titular sobre seus próprios dados. No entanto, para ser válido sob a LGPD, o consentimento precisa de características muito específicas:

  • Livre: O titular deve ser capaz de dar seu consentimento sem qualquer tipo de pressão, coerção ou ameaça de consequências negativas. De fato, a liberdade de escolha é a essência aqui.
  • Informado: Antes de consentir, o titular precisa saber exatamente para que seus dados serão usados, quais dados serão coletados, por quanto tempo serão mantidos e por quem. A linguagem deve ser clara, simples e fácil de entender, evitando jargões técnicos que dificultem a compreensão.
  • Inequívoco: Não pode haver margem para dúvidas sobre a vontade do titular. Ou seja, um “sim” ativo, como o clique em uma caixa de seleção “Li e concordo” ou a assinatura de um termo, é fundamental. Silêncio, caixas pré-marcadas ou inação não são considerados consentimento válido pela lei.
  • Para finalidades específicas: O consentimento não pode ser genérico. Consequentemente, cada finalidade para o tratamento de dados deve ser claramente especificada. Não é permitido pedir um “cheque em branco” para o uso dos dados, o que implicaria em uma violação do princípio da finalidade.

Quando escolher consentimento? 

Marketing direto e envio de newsletters: Se uma empresa deseja enviar comunicações promocionais, informativos ou ofertas personalizadas, o tratamento de dados para essa finalidade quase sempre requer o consentimento do indivíduo. É vital que o cliente “opte por” receber esses materiais, demonstrando seu interesse.

  • Compartilhamento de dados com terceiros: Ao propósito de compartilhar os dados do seu cliente com parceiros, como outras empresas ou prestadores de serviços, o consentimento se torna uma base legal primordial, a menos que haja outra base legal clara que justifique o compartilhamento (como um contrato ou uma obrigação legal).
  • Coleta de dados sensíveis: Dados que revelam origem racial ou étnica, convicções religiosas, opiniões políticas, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos são considerados sensíveis pela LGPD

O tratamento de dados sensíveis exige um rigor ainda maior, e o consentimento é a regra geral, por mais que existam exceções bem específicas (por exemplo, em situações de proteção da vida ou da saúde, ou cumprimento de obrigação jurídica).

Ademais, um ponto importante sobre o consentimento é a capacidade do titular de revogá-lo a qualquer momento. 

A LGPD garante que a revogação seja tão fácil quanto conceder o consentimento, e o tratamento de dados baseado nessa autorização deve ser interrompido imediatamente após a revogação. 

Este é um direito fundamental e irrenunciável do titular.

Legítimo interesse: o equilíbrio necessário no tratamento de dados 

Esta é a base que mais exige um julgamento cuidadoso e um senso apurado de equilíbrio por parte do controlador. 

Ela permite o tratamento de dados pessoais quando existe um interesse legítimo da organização que trata os dados ou de terceiros, mas sem que isso ofenda os direitos e liberdades fundamentais dos titulares. 

O Guia Orientativo da ANPD sobre Legítimo Interesse é uma ferramenta indispensável para navegar por essa complexidade.

Para utilizar o legítimo interesse de maneira segura e em conformidade com a LGPD, a ANPD recomenda a realização de um Teste de Legítimo Interesse (TLI)

Este é um processo estruturado que ajuda a avaliar se o uso dessa base legal é apropriado. O Teste de Legítimo Interesse se divide em três etapas que devem ser documentadas e revisadas:

Teste de finalidade (legitimidade)

  • Qual é o interesse legítimo específico para o tratamento de dados? 

    Seja o mais claro e específico possível ao descrever esse interesse. Pode ser para melhorar um produto, prevenir fraudes, garantir a segurança dos sistemas, ou otimizar um serviço existente.

    • O tratamento de dados é necessário para alcançar essa finalidade?

    Ou seja, existem outras formas menos invasivas de atingir o mesmo objetivo? Se sim, elas deveriam ser consideradas e priorizadas. 

    A necessidade implica que o tratamento é proporcional e que não se poderia alcançar o mesmo resultado com menos dados ou de maneira menos intrusiva.

    • Essa finalidade é legítima e está de acordo com as expectativas razoáveis do titular? 

    Este ponto é muito importante. O titular, ao interagir com a organização, esperaria que seus dados fossem tratados dessa forma? A transparência sobre o uso dos dados é vital aqui para evitar surpresas.

    Teste de necessidade (proporcionalidade):

    • Quais dados serão tratados e em que quantidade?

      É fundamental que apenas o mínimo necessário de dados seja coletado para a finalidade pretendida. O princípio da minimização de dados deve ser rigorosamente observado.

      • A forma como os dados serão tratados é proporcional ao objetivo? 

      Evite tratamentos que gerem riscos desnecessários ou que sejam excessivos em relação à finalidade. Pondere sobre a intensidade do tratamento e seu impacto na privacidade.

      • Existe uma alternativa menos invasiva para alcançar o mesmo objetivo? 

      Novamente, se houver uma forma de atingir a mesma finalidade com menor impacto à privacidade do titular, essa alternativa deve ser preferida. A prioridade é sempre o menor impacto.

      Teste de equilíbrio (ponderação)

      • Como o tratamento de dados impacta os direitos e liberdades dos titulares? 

        Pense em riscos como discriminação, perda de privacidade, vigilância indevida, danos financeiros ou danos à reputação. 

        O Guia da ANPD, na página 52, detalha quais direitos e garantias podem ser afetados, como liberdade de expressão, locomoção, não discriminação, intimidade, integridade física e moral.

        • Os direitos e liberdades fundamentais dos titulares prevalecem sobre os interesses do controlador ou de terceiro? Este é o cerne do Teste de Legítimo Interesse

        Se o risco para o titular for muito alto e não houver salvaguardas adequadas, o legítimo interesse pode não ser a base legal mais adequada. A balança deve pender para o lado da privacidade do titular.

        • Quais salvaguardas serão implementadas para mitigar os riscos identificados? 

        Isso inclui medidas de segurança robustas (técnicas e organizacionais), anonimização ou pseudonimização dos dados sempre que possível, transparência ativa sobre o tratamento de dados (por meio de avisos de privacidade claros e acessíveis) e a disponibilização de canais fáceis para os titulares poderem exercer seus direitos (como o opt-out ou a oposição ao tratamento).

        Quando escolher legítimo interesse? 

        Em diversas situações, esta base se mostra útil, desde que o Teste de Legítimo Interesse seja bem-sucedido e documentado:

        • Prevenção de fraudes e segurança de redes e sistemas: O tratamento de dados para identificar comportamentos suspeitos, proteger sistemas contra ataques cibernéticos e garantir a integridade das operações é um exemplo clássico de legítimo interesse, por proteger a empresa e seus usuários.
        • Melhoria de produtos e serviços: Analisar dados de uso para entender como as pessoas interagem com um produto ou serviço e identificar pontos de melhoria é frequentemente justificado pelo legítimo interesse, especialmente se os dados forem anonimizados ou pseudonimizados quando possível, minimizando o impacto na privacidade.
        • Atividades de suporte ao cliente: Utilizar dados para oferecer um atendimento mais eficiente, personalizado e resolver problemas com agilidade é um interesse legítimo que beneficia ambas as partes.
        • Análise de desempenho e métricas internas: Para entender o funcionamento do negócio, otimizar processos e tomar decisões estratégicas baseadas em dados agregados e desidentificados, este tratamento é vital para a gestão.
        • Comunicação transacional: O envio de informações importantes sobre um serviço já contratado, como confirmações de compra, atualizações de status de pedidos ou avisos de segurança, geralmente se enquadra no legítimo interesse, porque é esperado pelo titular e essencial para a prestação do serviço.

        É fundamental reiterar que a transparência é um pilar inegociável ao usar o legítimo interesse. 

        O titular deve ser informado que seus dados estão sendo tratados com base nessa hipótese legal e, deve ter a oportunidade de se opor a esse tratamento de dados (exercer seu direito de oposição), o que é um direito fundamental.

        Consentimento OU legítimo interesse? 

        É fundamental desmistificar a ideia de que consentimento e legítimo interesse representam um dilema excludente. Na verdade, em muitas situações, as bases legais da LGPD podem se complementar. 

        Por exemplo, uma empresa pode ter o consentimento explícito de um cliente para enviar e-mails de marketing, mas, ao mesmo tempo, utilizar o legítimo interesse para monitorar a segurança de sua plataforma e prevenir acessos não autorizados ou fraudes. 

        São finalidades distintas que exigem bases distintas.

        Entendeu?

        A chave para como escolher a base legal adequada sob a LGPD reside na análise individual de cada operação de tratamento de dados. Não existe uma solução única para todos os casos, e a generalização pode levar a não conformidade. 

        A escolha da base legal exige uma análise cuidadosa dos riscos envolvidos, da finalidade específica do tratamento, do tipo de dado que será manipulado e, acima de tudo, do impacto potencial sobre os direitos e liberdades dos titulares.

        Por isso, contar com apoio jurídico especializado é a melhor opção para entender do tratamento de dados no seu negócio.

        Conclusão

        Em síntese, a LGPD não foi criada para burocratizar as operações ou para impedir o fluxo de dados, mas sim para humanizar e responsabilizar a forma como as organizações lidam com os dados pessoais. 

        O tratamento de dados sob a ótica da LGPD é um compromisso contínuo com a privacidade, a segurança e a ética.

        Ao entender o consentimento e o legítimo interesse, e ao aplicar o Teste de Legítimo Interesse de maneira rigorosa e transparente, as empresas e profissionais estarão não só cumprindo a lei, mas também construindo uma relação de confiança e respeito com os titulares dos dados. 

        Assim, garantimos que as informações pessoais sejam tratadas com a devida diligência, ética e responsabilidade. Este é, portanto, o caminho para uma cultura de proteção de dados sólida e duradoura no Brasil, refletindo o compromisso de um escritório de advocacia com a segurança jurídica e a ética.

        Se você ficar com dúvidas, é só entrar em contato conosco!

        Codeço Rocha Advogados atende todo o território nacional, com matriz em São Paulo e parceiros por todo Brasil.

        Nosso Endereço

        São Paulo – Capital – Largo Padre Péricles, 145 – 19º andar – Cj. 191/192/193 e 198 – São Paulo – SP – CEP 01156-040

        Contato

        Telefone: (11) 3106-0320

        Whatsapp Instagram Linkedin Facebook

        Políticas de Privacidade

        © 2025 Todos os direitos reservados

        Desenvolvido em parceria pela Gandini Comunicação Jurídica e Starck Web.