As 10 bases legais da LGPD que autorizam o tratamento de dados pessoais

As chamadas bases legais da LGPD são as dez hipóteses em que a Lei 13.709/2018¹ permite que seja realizado o tratamento de dados pessoais não sensíveis.

Tratamento é toda operação realizada com dados pessoais (coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração).

Dados pessoais não sensíveis são qualquer informação relacionada a uma pessoa natural identificada ou identificável.

Assim, as bases legais da LGPD esclarecem em quais casos uma empresa ou pessoa física pode realizar o tratamento de dados pessoais não sensíveis.

Tais hipóteses estão listadas no art. 7º da LGPD e são as seguintes:

• Consentimento do Titular
• Cumprimento de Obrigação Legal ou Regulamentar
• Execução de Políticas Públicas
• Realização de Estudos por Órgão de Pesquisa
• Execução de Contrato ou Procedimentos Preliminares Relacionados a Contrato
• Exercício Regular de Direitos em Processo Judicial, Administrativo ou Arbitral
• Proteção da Vida ou da Incolumidade Física do Titular ou de Terceiro
• Tutela da Saúde, Exclusivamente, em Procedimento Realizado por Profissionais da Área da Saúde, Serviços de Saúde ou Autoridade Sanitária
• Legítimo Interesse do Controlador ou de Terceiro
• Proteção ao Crédito

Neste artigo, vamos explorar detalhadamente as 10 bases legais da LGPD para fornecer uma compreensão clara e prática de cada hipótese, facilitando a aplicação correta e segura da lei.

Vale ressaltar que essas dez hipóteses aplicam-se apenas ao tratamento de dados pessoais não sensíveis.

Em outra oportunidade, comentaremos as bases legais do art. 11, voltadas para o tratamento de dados pessoais sensíveis (informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural).

Esclarecido este ponto, comecemos pela hipótese mais famosa, o consentimento do titular.

1. Consentimento do Titular: a mais famosa das bases legais da LGPD

Entre as dez bases legais da LGPD, sem dúvidas o consentimento do titular dos dados pessoais é a hipótese mais estudada, comentada e talvez até a mais utilizada na prática.

Apesar disso, vale lembrar desde já que não existe uma hierarquia ou ordem de preferência entre as dez hipóteses. O agente de tratamento deve escolher a que mais se adapta ao caso concreto, de acordo com as características que veremos a seguir.

Nas palavras de Marcela Mattiuzzo e Paula Pedigoni Ponce²

“A definição de qual é a base legal apropriada para fundamentar determinado tratamento de dados pessoais passa por uma reflexão em concreto, a partir das características particulares dos dados pessoais tratados e das finalidades para tratamento. Em outras palavras, não existe uma hierarquia entre bases legais, mas sim base legal mais ou menos adequada a determinado tratamento de dados pessoais.” 

O  art. 5º, XII, da LGPD define consentimento como a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. 

Assim, o consentimento do titular deve ser:

• Livre: O titular deve ter a liberdade de escolher se deseja ou não fornecer seus dados, sem ser coagido ou induzido a isso.
• Informado: O titular deve ser claramente informado sobre quais dados estão sendo coletados, por que estão sendo coletados, como serão utilizados, e com quem serão compartilhados.
• Inequívoco: O consentimento deve ser uma ação afirmativa clara do titular, que não deixe dúvidas sobre sua aceitação.

Para que o consentimento seja considerado válido, algumas exigências devem ser cumpridas:

• Clareza e Simplicidade: As informações fornecidas ao titular devem ser claras e de fácil compreensão, evitando jargões técnicos e legais complexos.
• Finalidade Específica: O consentimento deve ser solicitado para uma finalidade específica. Não vale o agente de tratamento dizer que a finalidade é algo como “melhorar a experiência do usuário”. Consentimentos genéricos ou abrangentes não são permitidos.
• Facilidade de Revogação: O titular deve ter a facilidade de revogar seu consentimento a qualquer momento, de maneira simples e sem ônus. O mesmo grau de facilidade que ele teve para dar o consentimento deve ser o que ele terá para revogar o consentimento.
• Registro do Consentimento: O agente de tratamento deve manter registros que comprovem que o consentimento foi obtido de forma adequada, com todas as informações necessárias.

O consentimento deve ser utilizado com cuidado para garantir que todas as exigências da LGPD sejam cumpridas, evitando possíveis sanções e garantindo a segurança de todos os envolvidos.

Como há muito o que se falar sobre esta hipótese legal, optamos por dedicar futuramente um artigo próprio tratando apenas do consentimento.

Vale apenas frisar mais uma vez que o consentimento não é obrigatório para o tratamento de dados pessoais. Ele não é nem mesmo superior às demais bases legais da LGPD, não havendo uma ordem de preferência entre os dez incisos do art. 7º.

2. Cumprimento de Obrigação Legal ou Regulamentar

A segunda das bases legais da LGPD é a do cumprimento de obrigação legal ou regulatória.

Esta hipótese permite que os agentes realizem o tratamento de dados pessoais não sensíveis quando necessário para cumprir uma obrigação imposta por lei ou norma regulamentadora de lei.

O objetivo aqui é garantir que os agentes de tratamento possam operar em conformidade com as leis e regulamentos aplicáveis ao seu setor específico sem precisar obter o consentimento do titular dos dados.

Por exemplo, toda empresa que contrata um funcionário está tratando os dados pessoais dele no momento da admissão.

Visto que as empresas são obrigadas pelo art. 41 da CLT (Consolidação das Leis do Trabalho³) a manter o registro dos respectivos trabalhadores, elas não precisam obter o consentimento para tratar esses dados.

Isso não significa uma liberação geral para a empresa tratar os dados do jeito que quiser. É preciso seguir os 11 princípios da LGPD e restringir-se ao que realmente é exigido pela lei ou regulamento.

3. Execução de Políticas Públicas: uma das bases legais da LGPD exclusivas do Poder Público

A LGPD aplica-se tanto ao setor público quanto ao privado. No entanto, nem todas as bases legais da LGPD podem ser utilizadas pelos dois setores.

A terceira base legal permite o tratamento de dados pessoais não sensíveis pela administração pública para a execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.

Neste caso, o agente de tratamento necessariamente precisa ser integrante da administração pública de qualquer dos três poderes e de qualquer esfera (federal, estadual, distrital ou municipal). Além disso, ele precisa observar as disposições do Capítulo IV da LGPD, dedicado ao tratamento de dados pelo Poder Público.

No caso de entidades da administração indireta como empresas públicas e sociedades de economia mista, a aplicação desta base legal depende do regime de concorrência em que elas atuam.

Se atuam em regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal⁴, terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares, não podendo usar a base legal da execução de políticas públicas.

Já se estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público, podendo usar esta terceira base legal.

Exemplos de políticas públicas fortemente baseadas no tratamento de dados pessoais são os programas de assistência social.

Pense em um cenário no qual o governo implementa programas de assistência social, como o Bolsa Família, para apoiar famílias de baixa renda. 

Neste caso, ele precisa tratar dados pessoais, como nome, endereço, renda e composição familiar para identificar beneficiários elegíveis e gerenciar a distribuição de benefícios.

4. Realização de estudo por órgão de pesquisa

Órgão de pesquisa, nos termos da LGPD, é órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.

A quarta das bases legais da LGPD permite que esses órgãos de pesquisa realizem o tratamento de dados pessoais quando necessário para a realização de estudos garantida, sempre que possível, a anonimização dos dados pessoais.

Anonimização é a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento para que um dado perca a possibilidade de associação, direta ou indireta, a uma pessoa específica.

Esta base legal é fundamental para fomentar o avanço científico e tecnológico, permitindo que pesquisadores conduzam estudos essenciais para o desenvolvimento social, econômico e científico do país.

Observe-se que a hipótese não permite que empresas tratem dados pessoais para fazer pesquisas, por exemplo, para lançar um novo produto. 

A base legal é de uso exclusivo por órgãos de pesquisa que incluam em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.

Os agentes de tratamento aqui serão órgãos públicos como o IBGE e as universidades públicas ou ainda instituições privadas dedicadas a pesquisas.

Caso a pesquisa envolva o tratamento de dados pessoais sensíveis, o agente de tratamento precisa ainda seguir as disposições dos arts. 11 a 13 da LGPD.

A lei também permite que, no caso de pesquisas, os dados pessoais não sejam eliminados após o término de seu tratamento, podendo ser conservados, de preferência, de forma anonimizada.

5. Execução de Contrato ou Procedimentos Preliminares Relacionados a Contrato

A quinta das bases legais da LGPD permite o tratamento de dados pessoais não sensíveis quando necessário para a execução de um contrato no qual o titular dos dados é parte. 

Ela também pode ser usada antes do acordo, justamente para a realização de procedimentos preliminares relacionados a um contrato, a pedido do titular dos dados.

O exemplo clássico é o de um contrato de compra e venda. Imagine que um cliente compra um produto online e a empresa precisa tratar seus dados para processar a compra e entrega.

Neste exemplo, a empresa necessita obter informações como nome, endereço de entrega e dados de pagamento para confirmar o pedido, processar o pagamento e enviar o produto.

O agente de tratamento precisa ficar atento para cumprir os princípios da LGPD, especialmente os de finalidade, adequação e necessidade (usar os dados apenas para o que for necessário para executar o contrato).

Assim como ocorre na base legal do consentimento, quando a hipótese for a de execução de contrato, o titular pode solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da ANPD, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.

6. Exercício Regular de Direitos em Processo Judicial, Administrativo ou Arbitral

A sexta das bases legais da LGPD permite o tratamento de dados pessoais quando necessário para a defesa ou exercício regular de direitos em processos judicial, administrativo ou arbitral.

Esta base legal garante que as partes envolvidas em litígios possam usar dados pessoais para fundamentar suas alegações, defender seus direitos e cumprir com as obrigações processuais.

Por exemplo, se uma empresa está envolvida em uma disputa judicial com um ex-funcionário, ela pode tratar dados pessoais como registros de desempenho, e-mails e histórico de emprego, para construir sua defesa e apresentar evidências ao tribunal.

A mera qualificação da parte contrária em uma petição inicial, quando se trata de uma pessoa natural, já é um tratamento de dados pessoais. Não faria sentido ter que obter o consentimento da outra parte até para qualificá-la.

7. Proteção da Vida ou da Incolumidade Física do Titular ou de Terceiro

A base legal da proteção da vida ou da incolumidade física do titular ou de terceiro permite o tratamento de dados pessoais quando necessário para proteger a vida e a integridade física das pessoas. 

Esta base é essencial para situações de emergência e outras circunstâncias em que a segurança e a saúde das pessoas estão em risco.

Imagine, por exemplo, que você vê um homem se acidentando na rua. Se você pega a carteira dele para obter informações sobre o nome dele e assim conseguir entrar em contato com alguém da família, esse tratamento de dados pessoais está coberto pela sétima das bases legais da LGPD.

Da mesma forma, em caso de uma catástrofe como uma enchente, autoridades de resgate podem tratar dados pessoais das pessoas afetadas, como localização, condições de saúde e necessidades específicas, para coordenar esforços de resgate, assistência e alocação de recursos.

Esta base legal relaciona-se bastante com a oitava das bases legais da LGPD, que trata da tutela da saúde.

8. Tutela da Saúde, Exclusivamente, em Procedimento Realizado por Profissionais da Área da Saúde, Serviços de Saúde ou Autoridade Sanitária

A oitava das bases legais da LGPD permite o tratamento de dados pessoais quando necessário para a proteção da saúde.

Diferente da base legal anterior, neste caso a LGPD só autoriza que o agente de tratamento seja um desses três:

• Profissionais da área da saúde (médicos, enfermeiros, psicólogos, fisioterapeutas etc.)
• Serviços de saúde (Hospitais, Clínicas, Consultórios etc.)
• Autoridade sanitária (Anvisa, Ministério da Saúde, Secretarias estaduais e municipais de saúde etc.)

Busca-se aqui proteger a saúde do titular dos dados em procedimentos como atendimento médico e hospitalar, programas de imunização, monitoramento epidemiológico e outros.

A diferença entre a sétima e a oitava bases legais da LGPD

Pode haver certa confusão entre as bases legais da LGPD referentes à Proteção da Vida ou da Incolumidade Física e a Tutela da Saúde, mas se trata de casos distintos.

No caso da proteção da vida, qualquer um pode ser o agente de tratamento. Esta base é aplicada em situações de emergência ou perigo iminente, em que a vida ou a integridade física do titular dos dados pessoais ou de terceiros estão em risco.

Nessa sétima das bases legais da LGPD, o foco está na proteção imediata e emergencial, envolvendo qualquer um que precise intervir para proteger a vida ou integridade física. A necessidade de agir rapidamente e de forma eficiente é um fator crucial.

Já no caso da tutela da saúde, apenas profissionais da área da saúde, serviços de saúde e autoridades sanitárias podem ser os agentes de tratamento. Além disso, o caso concreto precisa ser um procedimento relacionado à proteção da saúde do titular dos dados.

Esta base é voltada para a prestação de serviços de saúde e proteção da saúde pública de forma planejada e sistemática, em procedimentos realizados pelos agentes citados.

Aspecto	Sétima Base Legal: Proteção da Vida ou da Incolumidade Física	Oitava Base Legal: Tutela da Saúde
Finalidade	Proteção imediata da vida ou integridade física em situações de emergência.	Prestação de serviços de saúde e proteção da saúde pública de forma sistemática e planejada.
Entidades Envolvidas	Qualquer entidade que possa intervir em situações de emergência, incluindo, mas não se limitando a, profissionais de saúde.	Exclusivamente profissionais de saúde, serviços de saúde ou autoridades sanitárias.
Tipo de Tratamento	Tratamentos necessários em situações de emergência ou risco iminente.	Tratamentos planejados e sistemáticos voltados para a tutela da saúde.
Exemplos de Situações	Atendimentos de emergência Resgates em desastres naturais Notificações de contatos em epidemias	Consultas médicas Campanhas de vacinação Estudos epidemiológicos

9. Legítimo Interesse: uma das bases legais da LGPD mais polêmicas

A penúltima das bases legais da LGPD autoriza o tratamento de dados pessoais quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Esta é uma das bases legais da LGPD que mais desperta discussões, tanto que a ANPD lançou um Guia Orientativo para o Legítimo Interesse⁵.

Embora seja amplamente utilizado, sobretudo no contexto europeu, o legítimo interesse exige uma avaliação cuidadosa para garantir que os interesses do titular sejam respeitados.

Esta base legal oferece uma certa flexibilidade, permitindo que empresas e organizações tratem dados pessoais para uma variedade de finalidades legítimas, desde que haja um equilíbrio entre os interesses do controlador e os direitos do titular dos dados.

Por exemplo, imagine uma instituição financeira que utiliza sistemas de monitoramento para detectar atividades suspeitas nas contas dos clientes.

Nesse caso, o legítimo interesse permite que a instituição possa tratar dados pessoais e transacionais dos clientes para identificar e prevenir fraudes, garantindo a segurança dos ativos financeiros dos clientes.

Veja que um interesse genérico como “obter lucro” não pode ser utilizado como legítimo interesse, visto que toda empresa comercial visa ao lucro e assim a base legal poderia ser usada em qualquer caso para justificar um tratamento de dados.

O art. 10 da LGPD dispõe que o legítimo interesse só pode fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

• Apoio e promoção de atividades do controlador; e
• Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos da LGPD.

A lei reforça que só os dados pessoais estritamente necessários para a finalidade pretendida podem ser tratados e que devem ser adotadas medidas para garantir a transparência do tratamento de dados.

Além disso, a ANPD pode solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu legítimo interesse, observados os segredos comercial e industrial.

Legitimate Interests Assessment (LIA) ou Teste de Balanceamento

O Legitimate Interests Assessment (LIA), ou teste de balanceamento, é um procedimento que ajuda as organizações a avaliar se o tratamento de dados pessoais com base no legítimo interesse é justificável e equilibrado.

A ANPD recomenda que o “controlador não deve realizar o tratamento com base na hipótese legal do legítimo interesse caso o teste de balanceamento conclua pela prevalência dos direitos e liberdades fundamentais e legítimas expectativas dos titulares”.

Na redação do art. 10 acima citado, é possível verificar quais elementos devem ser, necessariamente, analisados e considerados para a utilização do legítimo interesse.

Assim, o teste de balanceamento é essencial para assegurar que o legítimo interesse do controlador ou de terceiros não se sobreponha aos direitos e liberdades dos titulares dos dados. O LIA geralmente é composto de três partes principais: a finalidade, a necessidade e o balanceamento/salvaguardas.

Modelo de Teste de Balanceamento

O Guia Orientativo da ANPD traz em seu Anexo II um modelo de teste de balanceamento, que pode ser seguido por qualquer agente de tratamento que queira se certificar de estar usando a base legal do legítimo interesse de forma adequada.

De forma simplificada, o teste possui as seguintes fases:

1. Finalidade do Legítimo Interesse

• Finalidade (Purpose Test): Identificar a natureza dos dados pessoais e a aplicabilidade da hipótese legal do legítimo interesse ao tratamento dos dados pessoais, mediante a avaliação da legitimidade do interesse, ou seja, se este é compatível com o ordenamento jurídico, baseado em uma situação concreta e vinculado a uma finalidade legítima, específica e explícita. 
• Perguntas a serem feitas: Qual é o legítimo interesse que se está perseguindo? Esse interesse é legalmente justificado e adequado ao contexto, de acordo com o disposto na LGPD?

2. Necessidade do Tratamento de Dados

• Necessidade (Necessity Test):  Identificar se o tratamento baseado no legítimo interesse é necessário para atingir as finalidades do passo anterior, além de ponderar medidas de minimização do uso de dados pessoais. 
• Perguntas a serem feitas: O tratamento de dados é realmente necessário para alcançar esse interesse? Existem alternativas menos intrusivas que poderiam ser usadas para alcançar o mesmo objetivo, considerando os princípios da LGPD?

3. Balanceamento entre Interesses e Direitos dos Titulares e Salvaguardas

• Balanceamento e Salvaguardas (Balancing Test): Avaliar os riscos e os impactos sobre os direitos dos titulares dos dados com base no interesse e finalidades identificados nas fases anteriores, além de balancear esses riscos com as salvaguardas a serem adotadas e com a garantia de acesso claro e preciso aos titulares acerca das informações relativas ao tratamento dos seus dados.
• Perguntas a serem feitas: Quais são os potenciais impactos do tratamento de dados sobre os titulares? Os direitos e liberdades dos titulares são respeitados? Que medidas de mitigação estão em vigor para minimizar qualquer impacto negativo?

Após avaliar a finalidade, a necessidade e o equilíbrio, a empresa pode concluir se o tratamento de dados pode se justificar pela nona das bases legais da LGPD.

O teste não é explicitamente obrigatório na LGPD, mas sua realização é altamente recomendada pela ANPD e considerada uma prática exemplar para demonstrar conformidade quando o tratamento de dados pessoais é baseado na base legal de legítimo interesse.

No Guia Orientativo do Legítimo Interesse, a ANPD escreve que “o tratamento de dados com respaldo no legítimo interesse deve ser precedido de um teste de balanceamento que considere, de um lado, os interesses do controlador ou de terceiro e, de outro, os direitos e liberdades fundamentais dos titulares”.

Assim, recomenda-se que os agentes de tratamento realizem o teste de balanceamento, de preferência utilizando o próprio modelo disponibilizado no Anexo II do guia da ANPD.

Ao seguir um processo estruturado e documentado, as organizações podem assegurar que estão cumprindo as exigências da LGPD e protegendo os direitos dos titulares dos dados.

10. Proteção ao Crédito

Boa parte das bases legais da LGPD são as mesmas do GDPR (Regulamento Geral de Proteção de Dados da União Europeia). A última delas, no entanto, é uma criação brasileira: a proteção ao crédito.

Quem acompanhou a tramitação do projeto de lei que resultou na LGPD afirma que a última das bases legais da LGPD surgiu por pressão de bancos e outras instituições financeiras.

Esta última base legal permite o tratamento de dados pessoais quando necessário para assegurar a proteção e a análise de crédito, o que é essencial para o funcionamento dos mercados de crédito e financeiro. 

Estão cobertas atividades relacionadas à análise de crédito, à prevenção de fraudes, à gestão de risco de crédito e ao desenvolvimento de políticas de concessão de crédito. A proteção ao crédito é uma prática comum em instituições financeiras, empresas de crédito, e organizações que oferecem crédito ao consumidor.

Por exemplo, ao avaliar a solicitação de empréstimo de um cliente, o banco pode tratar dados pessoais como histórico de crédito, informações financeiras, e comportamento de pagamento, para determinar a capacidade de crédito e o risco associado à concessão do empréstimo.

Apesar da permissão, é essencial que as organizações que tratam dados para proteção ao crédito adotem práticas transparentes e seguras, garantindo a conformidade com a LGPD e a proteção dos direitos dos titulares dos dados. 

Ao seguir essas diretrizes, é possível assegurar que os dados pessoais sejam tratados de maneira ética e conforme as exigências não apenas da LGPD, mas também de leis específicas como a Lei do Cadastro Positivo⁶, contribuindo para a confiança e a integridade do sistema de crédito.

Conclusão: o uso correto das bases legais da LGPD

Compreender as 10 bases legais da LGPD é essencial para os agentes de tratamento que desejam operar de maneira responsável e em conformidade com a legislação brasileira de proteção de dados. 

Como vimos, cada base legal oferece um fundamento específico para o tratamento de dados, desde o consentimento do titular até a proteção ao crédito, proporcionando um arcabouço jurídico robusto que garante a segurança e a privacidade dos dados pessoais.

Frise-se novamente que as 10 bases legais da LGPD não possuem uma hierarquia: nenhuma é mais importante do que a outra. O agente de tratamento deve adequar uma das bases de acordo com o caso concreto, evitando inclusive a escolha de duas ou mais bases legais.

A correta aplicação dessas hipóteses não apenas assegura a conformidade com a LGPD, mas também fortalece a confiança dos titulares dos dados nas práticas das organizações, sobretudo quando há o correto cumprimento dos princípios da LGPD.

Em um cenário no qual a privacidade e a segurança dos dados são cada vez mais valorizadas, as organizações que investem em conformidade com a LGPD se destacam não apenas pela legalidade de suas operações, mas também pela confiança e lealdade que constroem junto aos seus clientes e parceiros. 

Ao compreender e aplicar corretamente as bases legais da LGPD, as empresas podem navegar no complexo ambiente regulatório de maneira eficiente e segura, contribuindo para um mercado mais transparente e seguro para todos.

Foto por picjumbo.com

1. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União: seção 1, Brasília, DF, 15 ago. 2018.
2. MATTIUZZO, Marcela. PEDIGONI, Paula. O legítimo interesse e o teste da proporcionalidade: uma proposta interpretativa. Revista Internet e Sociedade. Disponível em: <https://revista.internetlab.org.br/o-legitimo-interesse-e-o-teste-da-proporcionalidade-uma-proposta-interpretativa/>. Acesso em: 23 maio 2024.
3. BRASIL. Decreto-lei nº 5.452, de 1º de maio de 1943. Consolidação das Leis do Trabalho (CLT). Diário Oficial da União: seção 1, Rio de Janeiro, RJ, 9 ago. 1943.
4. BRASIL. Constituição da República Federativa do Brasil. Brasília, DF: 1988.
5. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Guia Orientativo: Hipóteses Legais de tratamento de dados pessoais – Legítimo Interesse. Brasília, DF: ANPD, 2024.
6. BRASIL. Lei Complementar nº 166, de 8 de abril de 2019. Altera a Lei nº 12.414, de 9 de junho de 2011, que disciplina a formação e consulta a bancos de dados com informações de adimplemento, para formação de histórico de crédito (Lei do Cadastro Positivo). Diário Oficial da União: seção 1, Brasília, DF, 9 abr. 2019.