Capa do Ebook gratuito LGPD e Segurança da Informação: controles técnicos e organizacionais que sustentam conformidade

LGPD e Segurança da Informação: controles técnicos e organizacionais que sustentam conformidade

Novo curso

16 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Bases legais, princípios e critérios de legitimidade no tratamento de dados

Capítulo 2

Tempo estimado de leitura: 14 minutos

+ Exercício

O que são bases legais e por que elas importam

Na LGPD, tratar dados pessoais (coletar, acessar, usar, armazenar, compartilhar, eliminar, entre outras operações) só é legítimo quando existe uma justificativa prevista em lei. Essa justificativa é chamada de base legal. A base legal funciona como o “fundamento jurídico” que autoriza o tratamento para uma finalidade específica, com um escopo e limites definidos. Sem base legal adequada, o tratamento tende a ser considerado irregular, mesmo que a organização tenha boas intenções ou que a atividade pareça “comum” no mercado.

É importante entender que a base legal não é um “carimbo” genérico para qualquer uso de dados. Ela precisa estar conectada a uma finalidade determinada, e o tratamento deve respeitar os princípios da LGPD (como finalidade, adequação e necessidade). Na prática, isso significa que a organização deve ser capaz de explicar: por que está tratando o dado, para que, por quanto tempo, com quem compartilha, quais riscos existem e quais medidas são adotadas para reduzir esses riscos.

Outro ponto essencial: a base legal é escolhida por atividade de tratamento, não por sistema ou por departamento. Um mesmo dado (por exemplo, e-mail) pode ser tratado sob bases legais diferentes dependendo do contexto: envio de nota fiscal (cumprimento de obrigação legal), comunicação sobre o contrato (execução de contrato), marketing (consentimento ou legítimo interesse, conforme o caso), prevenção a fraude (legítimo interesse ou proteção do crédito, dependendo do cenário).

Princípios da LGPD aplicados à legitimidade

Os princípios são critérios que orientam e limitam qualquer tratamento, independentemente da base legal escolhida. Eles também servem como “teste de qualidade” do tratamento: mesmo com base legal, um tratamento pode ser ilegítimo se violar princípios.

Finalidade

O tratamento deve ter propósitos legítimos, específicos e informados ao titular. Exemplo prático: coletar CPF para emissão de nota fiscal tem finalidade clara; coletar CPF “para cadastro” sem explicar para quê é um sinal de finalidade vaga.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

Adequação

O tratamento precisa ser compatível com a finalidade informada e com o contexto. Exemplo: se a finalidade é entregar um produto, pedir dados de saúde do cliente não é adequado.

Necessidade (minimização)

Deve-se limitar o tratamento ao mínimo necessário para atingir a finalidade. Exemplo: para enviar newsletter, normalmente basta e-mail; pedir endereço completo e data de nascimento tende a ser excessivo.

Livre acesso e qualidade dos dados

O titular deve conseguir consultar e acompanhar o tratamento, e os dados devem ser exatos e atualizados. Exemplo: permitir que o cliente atualize telefone e endereço no portal reduz falhas de entrega e riscos de contato indevido.

Transparência

Informações claras, acessíveis e facilmente compreensíveis sobre o tratamento. Exemplo: avisos de privacidade por camada (resumo + detalhes) ajudam a cumprir transparência sem “textos intermináveis”.

Segurança e prevenção

Devem existir medidas para proteger dados e evitar danos. Na legitimidade, isso se conecta ao dever de reduzir riscos e demonstrar diligência. Exemplo: restringir acesso a dados de folha de pagamento apenas ao time de RH e financeiro.

Não discriminação

O tratamento não pode ser usado para fins discriminatórios ilícitos ou abusivos. Exemplo: usar dados de geolocalização para negar atendimento em determinadas regiões sem justificativa legítima pode gerar discriminação indireta.

Responsabilização e prestação de contas

A organização deve demonstrar que cumpre a LGPD. Isso se materializa em registros, evidências e decisões documentadas: por que a base legal foi escolhida, quais controles existem, como o titular é informado e como os direitos são atendidos.

Panorama das bases legais mais usadas (com exemplos)

A LGPD prevê diferentes bases legais. A seguir, as mais frequentes em operações de empresas e órgãos, com exemplos práticos e cuidados de legitimidade.

Consentimento

O titular concorda de forma livre, informada e inequívoca com o tratamento para uma finalidade determinada. É uma base legal útil quando o titular realmente tem escolha e quando a finalidade não se encaixa bem em outras bases.

  • Exemplo: envio de comunicações promocionais por e-mail para não clientes, com opt-in claro.

  • Cuidados: consentimento deve ser granular quando houver finalidades distintas; precisa ser tão fácil revogar quanto conceder; não pode ser “forçado” (por exemplo, condicionar um serviço essencial a consentimento para marketing).

Cumprimento de obrigação legal ou regulatória

Quando uma lei ou norma exige o tratamento. Aqui, a organização não depende de consentimento, mas deve limitar-se ao que a obrigação demanda.

  • Exemplo: retenção de documentos fiscais e registros contábeis pelo prazo legal.

  • Cuidados: documentar qual norma exige o tratamento e qual prazo se aplica; evitar “aproveitar” dados coletados por obrigação legal para finalidades extras não compatíveis.

Execução de contrato ou de procedimentos preliminares

Quando o tratamento é necessário para cumprir um contrato com o titular ou para atender solicitações pré-contratuais feitas pelo titular.

  • Exemplo: tratar endereço para entrega de produto comprado; tratar dados para emitir cobrança e suporte ao cliente.

  • Cuidados: “necessário” é a palavra-chave: se o dado não é essencial para cumprir o contrato, pode ser excesso. Marketing, por exemplo, raramente é necessário para execução do contrato.

Exercício regular de direitos em processo

Permite tratar dados para defesa, prova e exercício de direitos em processos judiciais, administrativos ou arbitrais.

  • Exemplo: armazenar histórico de atendimento e evidências de entrega para se defender de uma reclamação judicial.

  • Cuidados: limitar acesso e escopo; definir critérios de retenção ligados a prazos prescricionais; evitar uso amplo e indefinido de dados sob o argumento genérico de “defesa”.

Proteção da vida ou da incolumidade física

Aplicável em situações em que o tratamento é necessário para proteger vida ou integridade física do titular ou de terceiros.

  • Exemplo: compartilhar dados de emergência com equipe médica em incidente no local de trabalho.

  • Cuidados: base típica de situações excepcionais; não deve ser usada como justificativa para rotinas operacionais comuns.

Tutela da saúde

Tratamentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária, quando necessários para procedimentos de saúde.

  • Exemplo: clínica tratando prontuário para diagnóstico e tratamento.

  • Cuidados: observar regras específicas e sigilo; dados de saúde são sensíveis e exigem rigor adicional.

Legítimo interesse

Permite tratamento quando necessário para atender interesses legítimos do controlador ou de terceiro, desde que não prevaleçam direitos e liberdades fundamentais do titular. É uma base flexível, mas exige análise cuidadosa e documentação, especialmente quando envolve expectativas do titular, impacto e medidas de mitigação.

  • Exemplo: prevenção a fraudes em transações; segurança patrimonial com CFTV em áreas comuns; comunicação com clientes sobre mudanças relevantes no serviço.

  • Cuidados: realizar teste de balanceamento (necessidade, proporcionalidade e impacto); garantir transparência; oferecer opt-out quando aplicável (por exemplo, comunicações não essenciais).

Proteção do crédito

Base voltada a operações de proteção ao crédito, com regras e práticas específicas do setor.

  • Exemplo: consulta a bureaus para análise de risco de inadimplência em concessão de crédito.

  • Cuidados: limitar ao necessário; manter transparência sobre consultas e critérios; evitar decisões automatizadas sem governança adequada quando houver impacto relevante ao titular.

Critérios de legitimidade: como “testar” se o tratamento é válido

Além de escolher uma base legal, é recomendável aplicar critérios práticos para verificar se o tratamento se sustenta. Esses critérios ajudam a reduzir riscos e a produzir evidências de conformidade.

1) Clareza da finalidade e do resultado esperado

Descreva a finalidade em termos operacionais: “enviar boleto mensal” é melhor do que “comunicação”. Pergunte: qual decisão, entrega ou processo depende desse dado?

2) Necessidade do dado e minimização

Liste os campos coletados e justifique cada um. Se não houver justificativa, remova ou torne opcional. Exemplo: data de nascimento pode ser necessária para validação de idade em serviço restrito, mas não para simples cadastro de newsletter.

3) Compatibilidade com expectativas do titular

O titular esperaria razoavelmente esse uso no contexto? Exemplo: um cliente espera contato sobre status do pedido; pode não esperar que seu telefone seja usado para ofertas de parceiros.

4) Proporcionalidade e impacto

Avalie se existe alternativa menos invasiva para atingir a mesma finalidade. Exemplo: para medir audiência, pode ser possível usar dados agregados ou pseudonimizados em vez de identificadores diretos.

5) Transparência e meios de exercício de direitos

Verifique se a informação ao titular é acessível e se há canais para solicitações. A legitimidade enfraquece quando o titular não consegue entender o tratamento ou exercer controle mínimo.

6) Retenção e descarte

Defina prazos: por quanto tempo o dado é necessário para a finalidade e quais obrigações/prazos legais se aplicam. Retenção indefinida é um dos problemas mais comuns.

7) Compartilhamento e cadeia de operadores

Mapeie com quem os dados são compartilhados (operadores e controladores) e por quê. A base legal e a finalidade devem se manter coerentes ao longo da cadeia.

Passo a passo prático para escolher a base legal por atividade

O roteiro abaixo pode ser aplicado em um formulário interno, planilha de inventário de dados ou ferramenta de governança. O objetivo é chegar a uma decisão justificável e consistente.

Passo 1: Defina a atividade de tratamento com precisão

Escreva a atividade como uma frase operacional: “realizar cadastro de cliente para compra online”, “enviar e-mail de recuperação de senha”, “monitorar acesso físico ao prédio”, “analisar inadimplência para concessão de crédito”.

Passo 2: Identifique titulares, dados e fluxo

  • Quem é o titular (cliente, candidato, colaborador, visitante)?

  • Quais dados são tratados (nome, e-mail, CPF, geolocalização, imagem, dados sensíveis)?

  • De onde vêm e para onde vão (coleta, sistemas, integrações, terceiros, armazenamento)?

Passo 3: Determine a finalidade e o “necessário”

Explique a finalidade e marque quais dados são estritamente necessários. Se houver dados “convenientes”, avalie se podem ser removidos, anonimizados ou coletados depois, quando houver justificativa.

Passo 4: Avalie bases legais candidatas (ordem prática)

  • Há obrigação legal/regulatória? Se sim, essa tende a ser a base mais direta.

  • É necessário para contrato ou pedido do titular? Se sim, execução de contrato pode se aplicar.

  • É para exercício regular de direitos? Se ligado a litígio, auditoria defensiva ou prova, considere essa base.

  • É uma situação excepcional de vida/saúde? Use proteção da vida/tutela da saúde quando realmente aplicável.

  • Existe interesse legítimo com baixo impacto e expectativa razoável? Considere legítimo interesse com teste de balanceamento.

  • Se nenhuma se encaixa bem, consentimento é apropriado? Use consentimento quando houver escolha real e gestão de revogação.

Passo 5: Faça o teste de aderência aos princípios

Revise finalidade, adequação, necessidade, transparência, retenção e compartilhamento. Se algum princípio falhar, ajuste o tratamento (reduza dados, mude finalidade, crie opt-out, melhore aviso, limite acesso, revise retenção).

Passo 6: Defina controles operacionais e evidências

Para sustentar legitimidade, registre evidências mínimas:

  • Base legal escolhida e justificativa objetiva.

  • Texto de aviso/termo aplicável (ou referência ao local onde está publicado).

  • Critérios de retenção e descarte.

  • Lista de terceiros/operadores e finalidade do compartilhamento.

  • Responsável interno pela atividade (área e dono do processo).

Passo 7: Revise periodicamente

Mudanças de produto, integrações, novas finalidades e novas análises podem exigir reavaliação. Um tratamento que era necessário pode deixar de ser; um consentimento pode ficar desatualizado; um legítimo interesse pode se tornar desproporcional se o volume de dados crescer.

Como documentar legitimidade: exemplos de registros úteis

Documentação não é burocracia por si só; é o que permite demonstrar conformidade e tomar decisões consistentes. Abaixo, exemplos práticos de como registrar.

Exemplo 1: Matriz simples por atividade

Atividade: Envio de e-mail transacional (confirmação de compra)\nTitular: Cliente\nDados: e-mail, nome, número do pedido\nFinalidade: Confirmar compra e fornecer informações de entrega\nBase legal: Execução de contrato\nRetenção: 5 anos (histórico de pedidos e suporte)\nCompartilhamento: Provedor de e-mail (operador)\nObservações: Opt-out não aplicável para e-mail transacional

Exemplo 2: Registro de consentimento (quando aplicável)

Finalidade: Receber ofertas e novidades por e-mail\nMecanismo: Checkbox desmarcado por padrão\nProva: Data/hora, IP, versão do texto informado\nRevogação: Link de descadastro em todas as mensagens\nRetenção da prova: Enquanto durar o relacionamento + 5 anos

Exemplo 3: Teste de legítimo interesse (modelo enxuto)

Interesse legítimo: Prevenção a fraudes em transações\nNecessidade: Sem análise de padrões, aumenta risco de chargeback e fraude\nImpacto ao titular: Moderado (perfilamento limitado a sinais de fraude)\nMitigações: Minimização de dados, retenção curta, acesso restrito, revisão humana em bloqueios\nTransparência: Aviso de privacidade menciona prevenção a fraudes\nDecisão: Legítimo interesse aprovado

Erros comuns na escolha de base legal (e como corrigir)

Usar consentimento como “padrão” para tudo

Problema: consentimento exige gestão de revogação e pode ser inválido se não houver escolha real. Correção: identificar quando a base correta é contrato, obrigação legal ou legítimo interesse, e reservar consentimento para finalidades opcionais.

Escolher uma base legal “mais conveniente” sem necessidade

Problema: usar execução de contrato para marketing ou para dados não essenciais. Correção: separar finalidades; para marketing, avaliar consentimento ou legítimo interesse com opt-out e transparência.

Finalidades genéricas e avisos pouco claros

Problema: “melhorar experiência” sem explicar como e com quais dados. Correção: detalhar finalidades em linguagem simples e por categoria (ex.: “recomendar produtos com base em compras anteriores”).

Retenção indefinida

Problema: guardar dados “para o caso de precisar”. Correção: definir prazos por finalidade e por obrigação; implementar descarte ou anonimização ao final.

Compartilhamento sem mapeamento

Problema: enviar dados a fornecedores sem clareza de papéis e finalidades. Correção: mapear operadores, formalizar instruções e garantir que o compartilhamento seja compatível com a finalidade e base legal.

Aplicando os conceitos em cenários típicos

Cenário A: Cadastro para compra e entrega

Finalidade: processar pagamento, emitir nota fiscal, entregar produto, prestar suporte. Bases legais comuns: execução de contrato (cadastro, entrega, suporte), obrigação legal (documentos fiscais), exercício regular de direitos (retenção de evidências para defesa). Critério de necessidade: coletar apenas dados essenciais para entrega e faturamento; dados adicionais devem ser opcionais e justificados.

Cenário B: Programa de fidelidade

Finalidade: conceder benefícios, pontuar compras, resgatar vantagens. Base legal comum: execução de contrato (adesão ao programa) para o núcleo do programa. Para comunicações promocionais, avaliar consentimento ou legítimo interesse, dependendo do contexto e da expectativa do participante. Transparência: explicar regras do programa, categorias de dados e lógica de pontuação.

Cenário C: CFTV em ambiente corporativo

Finalidade: segurança patrimonial e de pessoas, investigação de incidentes. Base legal comum: legítimo interesse. Critérios de legitimidade: sinalização clara no local, retenção curta (por exemplo, 15 a 30 dias, salvo incidente), acesso restrito, registro de extrações de imagens, evitar câmeras em áreas sensíveis (como vestiários).

Cenário D: Recrutamento e seleção

Finalidade: avaliar candidato e conduzir processo seletivo. Bases legais possíveis: procedimentos preliminares a contrato (quando o candidato solicita participar do processo), legítimo interesse (organização avaliando adequação), e consentimento em situações específicas (por exemplo, manter currículo em banco de talentos por prazo estendido, se não houver outra justificativa clara). Necessidade: coletar apenas informações relevantes ao cargo; evitar pedir documentos excessivos no início.

Checklist rápido de legitimidade por tratamento

  • Finalidade está descrita de forma específica e compreensível?

  • Base legal escolhida é compatível com a finalidade e com o contexto?

  • Os dados coletados são mínimos para atingir a finalidade?

  • Há transparência suficiente (aviso, termo, comunicação por camada)?

  • Existe critério de retenção e descarte/anonimização?

  • Compartilhamentos estão mapeados e justificados?

  • Há canal para direitos do titular e rotinas para responder?

  • Decisão e justificativa estão registradas (prestação de contas)?

Agora responda o exercício sobre o conteúdo:

Ao definir a base legal na LGPD, qual abordagem está mais alinhada com os critérios de legitimidade descritos?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A base legal deve ser definida por atividade e conectada a uma finalidade determinada, respeitando princípios como finalidade, adequação, necessidade e transparência. Usar uma base genérica por área ou consentimento para tudo fragiliza a legitimidade.

Próximo capitúlo

Mapeamento de dados pessoais e registro do ciclo de vida do tratamento

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store