Suporte de TI, hospedagem e tecnologia sustentável para empresas
(51) 98143-8470 suporte@itcservice.com.br
ITC Service ITC Service Vila Eunice Velha, Cachoeirinha - RS, 94910-001
WhatsApp
Notícia 6 min de leitura

Bases legais LGPD: quando cada hipótese se aplica (com exemplos para empresas)

Art. 7º e 11 da LGPD explicados na prática: consentimento, contrato, legítimo interesse, obrigação legal e mais — com exemplos reais para PMEs e TI.

Bases legais LGPD: quando cada hipótese se aplica (com exemplos para empresas)

Por que bases legais importam

Toda empresa que trata dados pessoais precisa de uma justificativa jurídica — a chamada base legal. Tratar dados “porque sempre foi assim” ou “porque o sistema pede” não basta. A LGPD lista hipóteses nos artigos 7º (dados comuns) e 11 (dados sensíveis).

Escolher a base errada expõe a empresa: consentimento revogado interrompe marketing; legítimo interesse exige teste de balanceamento; contrato não cobre finalidades extras. Este artigo traduz cada base em cenários que TI, jurídico e gestão reconhecem no dia a dia.

Visão geral da lei: LGPD: guia completo para empresas — lei, princípios, direitos e ANPD. Implementação técnica: LGPD na prática para PMEs: checklist de 12 pontos que TI precisa implementar. Texto oficial do site: Política de Privacidade ITC.

Bases legais para dados pessoais comuns (art. 7º)

I — Consentimento do titular

Titular concorda de forma livre, informada e inequívoca para finalidade específica.

Exemplos: newsletter marketing; cookies de analytics e remarketing no site; participação voluntária em pesquisa de satisfação; uso de foto em depoimento no site.

TI: banner de cookies com opt-in; double opt-in em formulários; registro de data/hora do consentimento.

Atenção: consentimento pode ser revogado a qualquer momento. Não use como base se houver alternativa menos intrusiva.

II — Cumprimento de obrigação legal ou regulatória

Lei ou norma exige guardar ou tratar o dado.

Exemplos: retenção de notas fiscais e dados fiscais; registros trabalhistas (eSocial, FGTS); guarda de logs por provedor conforme Marco Civil (quando aplicável).

TI: política de retenção alinhada ao jurídico; backup com prazo definido.

III — Execução de políticas públicas

Tratamento para administração pública — raro em empresas privadas, salvo contratos com órgãos públicos.

IV — Estudos por órgão de pesquisa

Pesquisa com anonimização sempre que possível. Empresas privadas usam raramente; universidades e institutos, sim.

V — Execução de contrato ou procedimentos preliminares

Dados necessários para celebrar ou cumprir contrato com o titular, ou para atender pedido antes do contrato.

Exemplos: CPF e endereço para emitir proposta e nota; dados de entrega em e-commerce; cadastro de usuário em SaaS contratado; suporte técnico ao cliente com acesso remoto autorizado.

TI: CRM com dados mínimos para venda; tickets de help desk; logs de acesso ao sistema do cliente durante suporte.

VI — Exercício regular de direitos em processo

Judicial, administrativo ou arbitral.

Exemplos: guardar e-mails e contratos para defesa em ação trabalhista; histórico de cobrança em disputa comercial.

VII — Proteção da vida ou incolumidade física

Exemplos: compartilhar contato de emergência em acidente de trabalho; dados de saúde em situação de risco iminente (com cuidado — dados sensíveis preferem art. 11).

VIII — Tutela da saúde

Procedimentos por profissionais ou entidades sanitárias — clínicas, hospitais, planos (com regras específicas).

IX — Legítimo interesse do controlador ou de terceiro

Base flexível, mas não é “passe livre”. Exige:

  • Finalidade legítima e específica.
  • Necessidade — não há meio menos invasivo.
  • Teste de balanceamento — direitos do titular vs. interesse da empresa.
  • Transparência — informar o titular no aviso de privacidade.
  • Direito de oposição em certos casos.

Exemplos que costumam se qualificar: prevenção a fraude em transações; segurança de rede e detecção de intrusão; cobrança amigável de cliente inadimplente; melhoria de produto com dados agregados/anônimos.

Exemplos que geralmente NÃO se qualificam sozinhos: marketing invasivo sem opt-in; monitoramento excessivo de funcionários; venda de lista de contatos.

TI: logs de firewall para segurança; antispam; analytics first-party com pseudonimização e documentação LIA (legitimate interest assessment).

X — Proteção do crédito

Consulta a bureaus, negativação e análise de crédito conforme legislação específica (ex.: CDC, regulamentação de cadastros).

Bases legais para dados sensíveis (art. 11)

Dados sensíveis exigem proteção reforçada. Hipóteses principais:

  • Consentimento específico e destacado — não vale o consentimento genérico do termo de uso.
  • Obrigação legal — ex.: certos registros regulatórios.
  • Execução de políticas públicas — administração pública.
  • Estudos por órgão de pesquisa — com anonimização.
  • Exercício regular de direitos — processos.
  • Proteção da vida — emergência.
  • Tutela da saúde — profissionais/entidades sanitárias.
  • Garantia de prevenção à fraude e segurança do titular — em processos de identificação (ex.: biometria em banco, com regras ANPD).

Na prática corporativa: evite coletar sensíveis se não for estritamente necessário. RH com atestados médicos, diversidade ou filiação sindical demanda política específica e acesso restrito.

Tabela rápida: atividade → base legal usual

AtividadeBase legal frequente
Formulário de contato no siteConsentimento ou execução de contrato (pré-venda)
E-mail marketingConsentimento (opt-in)
Folha de pagamentoObrigação legal + contrato trabalho
Monitoramento de segurança (logs)Legítimo interesse + segurança
Google Analytics com cookiesConsentimento
Cobrança de fatura vencidaExecução de contrato / proteção crédito
Câmera biométrica na portariaConsentimento ou hipótese art. 11 — avaliar com jurídico
Descarte de HD com wipe certificadoLegítimo interesse / obrigação contratual LGPD

Consentimento: requisitos e armadilhas

  • Deve ser destacado de outras cláusulas quando for única base.
  • Silêncio ou caixa pré-marcada não vale para marketing.
  • Revogação deve ser tão fácil quanto o consentimento.
  • Crianças e adolescentes: regras especiais (art. 14) — consentimento de responsável.

No site ITC, cookies opcionais só carregam após aceite no banner — veja Política de Cookies.

Legítimo interesse: como documentar o LIA

Registre em documento interno:

  1. Qual o interesse legítimo?
  2. O tratamento é necessário?
  3. Qual impacto ao titular?
  4. Quais salvaguardas (criptografia, minimização, prazo)?
  5. Titular pode se opor?

Isso sustenta auditoria e resposta à ANPD.

Operadores e subprocessadores

Quando a base é contrato com o titular, mas o tratamento é feito na AWS, Google ou ITC Hosting, o operador deve seguir instruções do controlador. Cláusulas de proteção de dados são obrigatórias na relação B2B — não apenas no aviso ao consumidor final.

Erros comuns de PMEs

  • Usar “consentimento” no termo de uso genérico para tudo.
  • Marketing B2B sem verificar opt-out e base adequada.
  • RH guardando atestado médico em pasta pública na rede.
  • Legítimo interesse sem documentação para CFTV ou keylogger.

Próximos passos

Mapeie cada sistema (ERP, e-mail, site, WhatsApp) com sua base legal. Publique aviso de privacidade. Alinhe TI aos controles do LGPD na prática para PMEs: checklist de 12 pontos que TI precisa implementar. A ITC Service apoia empresas no RS com segurança, hospedagem e descarte — fale conosco.