Artigo 7º: As 10 Permissões Legais para Tratar Dados (Bases Legais)

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito.

§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.

§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.

§ 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.

§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.

O que isso significa na prática?

Este artigo é a espinha dorsal da operação da LGPD. Ele estabelece que você não pode tratar dados pessoais por qualquer motivo que queira. Para cada finalidade de tratamento, sua empresa precisa de uma “permissão” ou “justificativa” legal. Essas justificativas são chamadas de bases legais, e o Artigo 7º lista as 10 hipóteses permitidas para dados pessoais comuns.

As mais utilizadas no dia a dia das empresas são:

1. Consentimento: A mais famosa, mas não a única. É quando o titular autoriza de forma livre, informada e inequívoca o uso de seus dados para um fim específico.

2. Cumprimento de Obrigação Legal: Quando uma outra lei obriga sua empresa a coletar e tratar os dados.

3. Execução de Contrato: Quando o tratamento é essencial para cumprir um contrato com o titular (ex: vender um produto e entregá-lo).

4. Legítimo Interesse: Uma base flexível, mas que exige muito cuidado. Permite o tratamento para finalidades legítimas da empresa (como marketing direto para clientes ou prevenção à fraude), desde que os direitos do titular não se sobreponham a esse interesse. Exige uma análise de ponderação (o “LIA”).

5. Proteção da Vida e Tutela da Saúde: Situações de emergência médica ou para procedimentos de saúde.

É crucial entender que não existe uma base legal mais importante que a outra. A escolha depende do contexto e da finalidade do tratamento. Para cada processo, sua empresa deve identificar e documentar qual base legal está utilizando.

Como se Aplica ao seu Negócio?

Identificar a base legal correta para cada atividade é uma das tarefas mais importantes da adequação à LGPD.

👍 Consentimento: Um visitante se cadastra na sua newsletter para receber promoções. Ele precisa clicar ativamente em uma caixa de seleção (opt-in) que diz claramente “Aceito receber e-mails com novidades e ofertas”.

⚖️ Obrigação Legal: O RH da sua empresa coleta os dados dos funcionários para enviar as informações ao eSocial do Governo Federal. A empresa não pede consentimento para isso, pois é uma obrigação imposta por lei.

✍️ Execução de Contrato: Um cliente compra um software da sua empresa. Você precisa tratar os dados dele para emitir a nota fiscal, processar o pagamento e liberar o acesso ao sistema. Tudo isso faz parte da execução do contrato de venda.

🤔 Legítimo Interesse: Sua empresa analisa o histórico de compras de seus clientes para enviar ofertas personalizadas de produtos similares. Você não precisa de um novo consentimento para isso, mas deve garantir que o cliente possa se opor a esse tratamento (opt-out) e documentar por que seu interesse é legítimo e não fere os direitos do cliente.

🚑 Proteção da Vida: Um funcionário passa mal na empresa e está inconsciente. O RH pode acessar a ficha dele para encontrar um contato de emergência ou informações sobre seu plano de saúde para acionar o socorro.

Transforme a Teoria em Prática.

Escolher a base legal errada pode invalidar toda uma operação de tratamento e expor sua empresa a multas. Como ter certeza de que cada processo, do marketing ao RH, está amparado pela justificativa correta? O MSPA Compass é a ferramenta que te ajuda a mapear suas atividades, conectar cada uma à sua base legal e documentar essa decisão, criando um panorama claro da sua conformidade.