§ V · LGPD · Art. 7º + Art. 11

Bases legais · a coluna vertebral da LGPD.

Todo tratamento de dados pessoais pela Lei 13.709/18 precisa de uma base legal explícita. O Art. 7º lista 10 pra dados comuns; o Art. 11 lista 5 pra dados sensíveis. Consentimento é só uma delas · a maioria das operações comerciais se sustenta em outras.

As 10 bases do Art. 7º · dados comuns.

A hierarquia prática das bases legais não segue a ordem numérica. Prefira execução de contrato (V) · obrigação legal (II) · legítimo interesse (IX) com LIA · consentimento (I) como último recurso. Bases III, IV, VI, VII, VIII, X são específicas e não servem pra operações comerciais comuns.

  1. Consentimento (I) · manifestação livre, informada e inequívoca · revogável a qualquer momento · específica por finalidade
  2. Obrigação legal (II) · cumprimento de lei/regulação · ex: CLT, CTN, PLD
  3. Administração pública (III) · políticas públicas em lei · raramente se aplica a empresa privada
  4. Estudos por órgão de pesquisa (IV) · anonimização obrigatória sempre que possível
  5. Execução de contrato (V) · contrato ou procedimentos preliminares · base principal em e-commerce e SaaS
  6. Exercício de direitos (VI) · processo judicial, arbitral, administrativo
  7. Proteção da vida (VII) · incolumidade física · emergências médicas
  8. Tutela de saúde (VIII) · exclusivo pra profissionais de saúde/autoridade sanitária
  9. Legítimo interesse (IX) · exige LIA documentado · antifraude, prevenção, segurança
  10. Proteção do crédito (X) · bureau de crédito · SCR · Score

As 5 bases do Art. 11 · dados sensíveis.

Dados sensíveis (origem racial, convicção religiosa, opinião política, saúde, orientação sexual, biometria, filiação sindical) têm regime mais rigoroso. Art. 11 limita a 5 bases legais mais estritas:

  • Consentimento específico e destacado · não pode estar em bloco com outros tratamentos
  • Obrigação legal/regulatória do controlador
  • Administração pública · execução de políticas
  • Estudos por órgão de pesquisa · anonimização sempre que possível
  • Exercício regular de direitos em processo ou proteção da vida

LIA · legítimo interesse documentado.

O Teste de Legítimo Interesse (LIA, Legitimate Interest Assessment) é exigência prática da ANPD pra validar base Art. 7º IX. Sem LIA documentado, legítimo interesse não prevalece em fiscalização. Estrutura mínima do LIA tem 3 fases:

01 · Finalidade legítima

Interesse é específico, real e atual? Exemplo: antifraude em e-commerce = legítimo. "Marketing em geral" = vago demais.

02 · Necessidade

Não há alternativa menos invasiva? Poderia usar base diferente (consentimento, contrato)? Minimização Art. 6º III.

03 · Ponderação

Interesse do controlador × direitos do titular. Expectativa razoável do titular? Proteções técnicas (opt-out, anonimização)?

Perguntas que estão no ar

Bases legais · dúvidas frequentes.

Consentimento é sempre necessário?
Não. Consentimento é base residual — use quando nenhuma outra base se aplica. Em SaaS B2B, execução de contrato (V) cobre a maioria dos casos.
Marketing por email precisa de consentimento?
Depende. Marketing pra clientes ativos sobre produtos similares pode se sustentar em legítimo interesse (IX) com LIA. Marketing pra leads novos exige consentimento (I) ou execução de contrato (V).
Posso usar legítimo interesse sem LIA?
Em tese sim, mas fragiliza a defesa. ANPD já indicou em Res. e decisões que LIA é boa prática obrigatória. Sem documento, a base não se sustenta em fiscalização.
Dados biométricos podem ter base diferente de consentimento?
Sim, mas é raro. Art. 11 aceita obrigação legal (SCAN biometria trabalhista?), execução de políticas públicas ou exercício regular de direitos. Biometria em produtos comerciais quase sempre = consentimento específico + destacado.
Preciso documentar a base legal de cada operação?
Sim. É o atributo 02 do ROPA (Art. 37). Cada operação tem base específica citada por inciso. Operações com base errada são agravantes em dosimetria (Res. 4/2023).
Posso mudar a base legal depois?
Com cuidado. Mudança deve ser comunicada ao titular + registrada em nova DPIA se houver alto risco. Mudar de consentimento pra legítimo interesse sem consulta ao titular é problemático.
§ Leituras relacionadas

Clusters relacionados.

§ CLUSTER ROPA Art. 37 Base legal é coluna obrigatória do registro. § CLUSTER DPIA / RIPD DPIA analisa adequação da base pra alto risco. § CLUSTER Direitos do titular Art. 18 · direitos variam conforme base legal usada.