A Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) estabelece, em seu artigo 7, as hipóteses em que o tratamento de dados pessoais é autorizado. Diferentemente do que muitos presumem, o consentimento não é a única base legal: a LGPD prevê 10 hipóteses distintas, e qualquer uma delas é suficiente para que o tratamento seja lícito — desde que aplicada adequadamente.
Este post descreve cada uma das 10 bases legais do artigo 7, sem opinar sobre disputas interpretativas em curso. Quando há controvérsia doutrinária ou jurisprudencial relevante, indicamos sem tomar partido.
I — Consentimento
O titular consente, de forma livre, informada e inequívoca, com o tratamento de seus dados para finalidade específica. O consentimento pode ser revogado a qualquer tempo, nos termos do artigo 8, §5º da LGPD. A revogação não retroage, mas impõe ao controlador a obrigação de encerrar o tratamento dali em diante.
II — Cumprimento de obrigação legal ou regulatória
O tratamento é necessário para que o controlador cumpra obrigação prevista em lei ou regulação. Empresas que precisam manter registros fiscais, trabalhistas ou de combate à lavagem de dinheiro, por exemplo, podem tratar dados com essa base — independentemente do consentimento do titular.
III — Execução de políticas públicas
A administração pública pode tratar dados pessoais para execução de políticas públicas previstas em leis ou regulamentos. Esta base se aplica exclusivamente a órgãos públicos ou a quem os representa na execução dessas políticas.
IV — Realização de estudos por órgão de pesquisa
Órgãos de pesquisa podem tratar dados para estudos científicos, históricos ou estatísticos, desde que garantida, sempre que possível, a anonimização dos dados. O artigo 7, §4º da LGPD veda o uso dos dados obtidos sob essa base para fins comerciais.
V — Execução de contrato
O tratamento é necessário para a execução de contrato do qual o titular seja parte, ou para procedimentos preliminares relacionados a um contrato solicitado pelo próprio titular. Se você contrata um serviço e fornece seus dados para isso, a empresa pode tratar esses dados para executar o contrato — sem necessidade de consentimento separado.
VI — Exercício regular de direitos em processo judicial, administrativo ou arbitral
Dados podem ser tratados para exercício regular de direitos em processos de qualquer natureza (judicial, administrativo ou arbitral). Isso inclui a fase de tutela de direitos: instrução, comprovação de fatos, apresentação de provas.
VII — Proteção da vida
O tratamento é necessário para proteger a vida ou a incolumidade física do titular ou de terceiro. Esta hipótese é restrita a situações de real risco à vida — não cobre usos genéricos de segurança ou prevenção.
VIII — Tutela da saúde
O tratamento é realizado exclusivamente por profissionais de saúde, serviços de saúde ou autoridade sanitária para procedimentos de saúde, incluindo diagnósticos e tratamentos médicos. A base está associada à prestação de serviço de saúde — não abrange empresas fora desse setor.
IX — Legítimo interesse
O tratamento é necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto quando prevalecerem direitos e liberdades fundamentais do titular que exijam proteção dos dados pessoais. Esta é, provavelmente, a base mais debatida doutrinariamente. O artigo 7, §2º, e o artigo 10 da LGPD detalham os critérios de aplicação: finalidades legítimas, necessidade, razoabilidade e não violação de direitos fundamentais do titular.
Como o CNPJsinal aplica esta base: a plataforma trata dados de CNPJs (pessoas jurídicas) e dados de sócios mascarados (CPF mascarado em conformidade com o padrão Receita Federal) com base no legítimo interesse — viabilizar a verificação pública de empresas brasileiras a partir de fontes públicas oficiais. A política de privacidade completa está em cnpjsinal.com.br/privacidade.
X — Proteção do crédito
O tratamento é necessário para a proteção do crédito, conforme a legislação pertinente (Lei Complementar nº 105/2001, Código de Defesa do Consumidor, legislação bancária). Esta base é comumente usada por birôs de crédito, instituições financeiras e empresas que avaliam risco de crédito.
O que fazer com essa informação
A identificação correta da base legal não é formalidade — é a fundação do tratamento lícito de dados. Uma base legal aplicada incorretamente pode tornar o tratamento ilícito retrospectivamente, gerando obrigações de exclusão e potencial responsabilidade civil e administrativa perante a ANPD.
Para qualquer dúvida sobre qual base legal se aplica ao tratamento específico realizado pela sua empresa, a orientação de um advogado especializado em proteção de dados é indispensável. A ANPD também publica orientações em gov.br/anpd.
Este post descreve o texto literal do art. 7 da LGPD sem opinar sobre disputas interpretativas em curso. Não substitui consultoria jurídica especializada. Para decisões sobre tratamento de dados pessoais, consulte advogado habilitado em proteção de dados.