Pular para o conteúdo
NexGuard NexGuard

Consentimento, legítimo interesse ou contrato? Descomplicando as bases legais da LGPD

Toda vez que sua empresa usa um dado de cliente, precisa de uma justificativa legal pra isso. Escolher a errada dá dor de cabeça. Vou te mostrar como acertar.

Guilherme Ferreira 5 min de leitura

Tem uma pergunta que parece chata, mas é a base de toda a LGPD: por que a sua empresa pode usar os dados daquele cliente? "Porque ele me deu" não é resposta suficiente. A lei exige que você tenha uma justificativa legal pra cada uso que faz, e isso tem um nome técnico: base legal.

A parte boa é que existem dez bases legais previstas na lei. A parte que confunde todo mundo é escolher a certa. E olha, escolher errado não é detalhe: pode inviabilizar todo um tratamento de dados no dia em que alguém questionar. Então vamos às três que mais aparecem na vida de uma empresa SaaS.

Consentimento: quando você precisa de um "sim" claro

Consentimento é exatamente o que parece. O cliente diz "sim, pode usar meus dados pra isso". Mas tem pegadinha: esse sim precisa ser livre, informado e específico.

Traduzindo: nada de caixinha já marcada, nada de "ao usar o site você concorda com tudo", nada de esconder a permissão no meio de um textão. E, principalmente, se a pessoa pode dizer sim, ela também pode mudar de ideia e dizer não depois. Você precisa estar preparado pra respeitar isso.

Use consentimento pra coisas como: enviar e-mail de marketing, instalar cookies não essenciais, compartilhar dados com parceiros pra ofertas. Ou seja, situações em que o tratamento não é obrigatório pro serviço funcionar.

Execução de contrato: o que é necessário pra entregar o serviço

Essa aqui é a mais subestimada, e provavelmente a que você mais deveria usar.

Pensa assim: se o cliente contratou seu SaaS, você obviamente precisa dos dados dele pra entregar aquilo que foi prometido. O e-mail pra ele logar, o cartão pra cobrar a assinatura, o nome pra emitir a nota fiscal. Nada disso precisa de consentimento separado, porque é simplesmente necessário pra cumprir o contrato.

O erro clássico é pedir consentimento pra coisas que já estão cobertas pela execução do contrato. Aí você cria um problema do nada: se a pessoa "retirar o consentimento", você fica numa situação esquisita, porque na verdade nem precisava dele.

Legítimo interesse: o coringa que virou muleta

Ah, o legítimo interesse. Virou o "vale-tudo" da LGPD, e é aí que mora o perigo.

A ideia é legítima (sem trocadilho): existem usos de dados que beneficiam sua empresa, não prejudicam o cliente e ele razoavelmente esperaria que acontecessem. Por exemplo, usar dados de navegação pra prevenir fraude, ou analisar uso do produto pra melhorá-lo.

O problema é que muita gente usa o legítimo interesse como desculpa pra justificar qualquer coisa, inclusive o que claramente deveria ser consentimento. E isso não cola. Pra usar essa base de verdade, você precisa fazer um teste de equilíbrio, documentado, mostrando que o seu interesse não atropela os direitos da pessoa. Sem esse documento, o legítimo interesse é só uma palavra bonita que não te protege.

O guia rápido pra não errar

Antes de usar qualquer dado, faça três perguntas. Esse dado é obrigatório pra entregar o que o cliente contratou? Então é execução de contrato. O cliente precisa concordar ativamente e poder mudar de ideia? Então é consentimento. É um uso que beneficia o negócio, que a pessoa esperaria, e você consegue provar que é justo? Então pode ser legítimo interesse, desde que documentado.

E quando ainda assim a dúvida bater, lembre da regra de ouro: na incerteza, a base mais frágil é quase sempre o legítimo interesse mal justificado. Não se apoie nele só por ser conveniente.

Por que isso importa de verdade

Pode parecer burocracia, mas tem consequência prática. No dia em que um cliente exigir explicações, ou a ANPD bater na porta, você vai precisar mostrar exatamente qual base legal sustenta cada uso de dado. Quem escolheu certo responde em minutos. Quem chutou passa semanas tentando remendar, e às vezes descobre que estava tratando dados sem amparo nenhum.

Onde a gente entra nessa história

Na NexGuard, a gente traduz esse juridiquês pra dentro da sua operação. Mapeamos cada dado que sua empresa coleta, identificamos a base legal correta pra cada uso e deixamos tudo documentado do jeito que a ANPD espera ver. Sem modelo genérico copiado da internet, e sim adequação ao que a sua empresa faz de verdade.

Se você nunca olhou pra isso com calma, provavelmente tem pelo menos um tratamento apoiado na base errada agora mesmo. Melhor descobrir com a gente do que com uma notificação.

👉 Quer saber se sua empresa está usando as bases legais certas? Fale com a NexGuard e faça um diagnóstico de LGPD sem dor de cabeça.

#lgpd
Continue lendo

Artigos relacionados

LGPD

ISO 27001 e SOC 2: por onde começar (e o que cada uma realmente exige)

Um cliente grande pediu sua certificação e você travou? Calma. Vou explicar a diferença entre ISO 27001 e SOC 2 e por onde começar sem pânico.

5 min de leitura
LGPD

Serasa, R$ 200 milhões de multa e o motivo pelo qual a sua empresa pode ser a próxima

O Ministério Público pediu R$ 200 milhões de multa contra a Serasa. A Caixa foi condenada a até R$ 60 bilhões. Entenda em 3 minutos por que a sua empresa pode ser a próxima.

3 min de leitura
Aplicar na prática

Quer aplicar isso na sua empresa?

Marque um diagnóstico gratuito. Em 15 minutos identificamos os pontos críticos do seu ambiente e desenhamos um plano executável.

Mensagem recebida.

Vamos responder em até 8h úteis. Para urgências, use o WhatsApp.

Ao enviar, você concorda com nossa política de privacidade.