Bases legais da LGPD — com exemplos para a sua OSC

Toda vez que sua organização trata um dado pessoal, precisa de um motivo previsto na lei para isso. Esse motivo é a base legal. Sem base legal, o tratamento é irregular — mesmo que bem-intencionado. Esta página explica cada uma em linguagem de gente e, principalmente, dá exemplos para você identificar qual usar em cada caso.

💡 Por que isso importa

Escolher a base legal é a decisão que mais confunde — e a que mais protege a sua OSC quando bem feita. A boa notícia: na prática, a maioria das atividades de uma OSC cai em três ou quatro bases. Leia os exemplos abaixo e você vai reconhecer as suas.

⚠️ Atenção — a base mais fácil nem sempre é a certa

Existe a tentação de “pedir consentimento para tudo”. Isso costuma ser um erro: o consentimento pode ser revogado a qualquer momento, e aí você teria de apagar o dado — mesmo que precisasse dele para uma obrigação legal. Para cada atividade, escolha a base mais adequada, não a mais simples.

As bases legais para dados pessoais (Art. 7º)

1. Consentimento

A pessoa autorizou, de forma livre, informada e específica, aquele uso.

📖 Exemplo numa OSC: alguém marca “aceito receber a newsletter” ao se inscrever no site. Use quando o tratamento não é obrigatório para a pessoa e ela pode dizer não sem prejuízo. Lembre: ela pode revogar depois.

2. Cumprimento de obrigação legal ou regulatória

A lei obriga sua OSC a tratar/guardar aquele dado.

📖 Exemplo: guardar documentos fiscais e trabalhistas, prestar contas a um órgão público, manter registros exigidos por lei. Aqui o consentimento não se aplica — você guarda porque a lei manda, independentemente da vontade da pessoa.

3. Execução de políticas públicas

Tratamento necessário para executar uma política pública prevista em lei ou em contrato/convênio com o poder público.

📖 Exemplo: uma OSC que executa um programa social conveniado com a prefeitura e precisa cadastrar os beneficiários conforme o convênio.

4. Realização de estudos por órgão de pesquisa

Tratamento para pesquisa, sempre que possível com dados anonimizados.

📖 Exemplo: um instituto de pesquisa que analisa dados de um projeto para produzir um estudo. Uso restrito a órgãos de pesquisa.

5. Execução de contrato

Dados necessários para cumprir um acordo com a própria pessoa (ou para passos preliminares a pedido dela).

📖 Exemplo: dados de um voluntário para gerir a escala em que ele se inscreveu; dados de um prestador para pagar pelo serviço contratado. O tratamento é necessário para entregar o que foi combinado com aquela pessoa.

6. Exercício regular de direitos

Dados necessários para defender direitos em processo judicial, administrativo ou arbitral.

📖 Exemplo: guardar documentos e mensagens que possam ser necessários para uma defesa em uma ação trabalhista ou cível.

7. Proteção da vida ou da incolumidade física

Para proteger a vida ou a segurança física da pessoa ou de terceiros.

📖 Exemplo: uma OSC de assistência que precisa acionar atendimento de emergência para um beneficiário.

8. Tutela da saúde

Tratamento por profissionais ou serviços de saúde para cuidar da saúde da pessoa.

📖 Exemplo: uma OSC que opera um serviço de saúde e mantém dados clínicos dos atendidos (cuidado: aqui quase sempre há dado sensível — veja abaixo).

9. Legítimo interesse

Um uso razoável e esperado pela pessoa, que não fere seus direitos — e que você documenta o porquê.

📖 Exemplo: enviar a um doador recorrente uma prestação de contas do projeto que ele apoia. Exige cuidado: avalie e registre por que o interesse é legítimo e por que não prejudica a pessoa.

10. Proteção do crédito

Tratamento para proteção do crédito (análise/cobrança).

📖 Exemplo: menos comum em OSCs; aparece em relações financeiras específicas.

E os dados sensíveis?

Dados sensíveis (saúde, religião, origem racial/étnica, opinião política, filiação sindical, vida sexual, biometria, genética) têm bases próprias e mais restritas (Art. 11) — em geral consentimento específico e destacado ou hipóteses como tutela da saúde e proteção da vida.

⚠️ Muitas OSCs tratam dados sensíveis sem perceber — um projeto de saúde, de assistência a um grupo religioso ou a uma minoria, por exemplo. Se é o seu caso, trate esse ponto com cuidado redobrado e, de preferência, com apoio jurídico.

Como escolher, na prática

Um roteiro rápido para a maioria dos casos:

1. A lei me obriga a guardar isso? → Obrigação legal.
2. Preciso disso para cumprir algo combinado com a própria pessoa? → Execução de contrato.
3. É um uso esperado e razoável, que eu consigo justificar sem prejudicar a pessoa? → Legítimo interesse (documente o porquê).
4. É algo opcional, que a pessoa pode recusar sem prejuízo? → Consentimento.
5. É dado sensível? → reveja as bases do Art. 11 (em geral, consentimento específico).

✅ Boas práticas

Registre a base legal de cada atividade no Inventário (ROPA). É lá que essa escolha vira documentação — e o que você mostra a um financiador ou à ANPD se for questionado.

⚠️ Este guia ajuda a identificar a base mais provável, mas não substitui a análise de um profissional jurídico para os casos sensíveis ou de dúvida. Veja o Aviso legal.

Para continuar

• Volte aos Conceitos da LGPD ou siga para o passo a passo da conformidade.
• Aprofunde com a formação em LGPD da RIT — gratuita para as organizações integradas à RIT.