Um guia prático de GDPR Bases Legais Explicadas
TL;DR — Resposta rápida
5 min de leituraO Artigo 6 do GDPR fornece seis bases jurídicas: consentimento, contrato, obrigação legal, interesses vitais, tarefa pública e interesses legítimos. Escolha a base que realmente se adapta ao propósito antes de iniciar o processamento.
Este guia explica GDPR Bases Legais Explicadas na prática, com foco em decisões de analytics que respeitam a privacidade.
Nos termos do GDPR, o processamento de dados pessoais só é lícito se pelo menos uma base legal se aplicar. As seis bases jurídicas estão listadas no Artigo 6 do GDPR: consentimento, contrato, obrigação legal, interesses vitais, tarefa pública e interesses legítimos.
A escolha de uma base jurídica não é um exercício burocrático. Afeta a redação da transparência, os direitos do usuário, as opções de retirada, os direitos de objeção e se o processamento é defensável.
1. Consentimento
O consentimento aplica-se quando uma pessoa dá livremente uma indicação específica, informada e inequívoca de concordância. Deve ser tão fácil retirar quanto dar. Caixas pré-marcadas, silêncio, inatividade e consentimento agrupado não funcionam.
Use o consentimento quando as pessoas tiverem uma escolha real, como e-mails de marketing opcionais ou cookies não essenciais. Não use o consentimento quando a pessoa não tiver alternativa prática, como quando um funcionário é solicitado a consentir com o processamento principal de HR.
Para cookies e rastreamento, lembre-se de que o consentimento do ePrivacy pode ser necessário mesmo antes da análise da base legal do GDPR. Se os cookies analíticos forem opcionais, geralmente necessitam de consentimento prévio na Europa, a menos que se aplique uma isenção restrita.
2. Contrato
O contrato aplica-se quando o processamento é necessário para executar um contrato com a pessoa ou para tomar as medidas solicitadas antes de celebrar um contrato.
Exemplos:
- Processar um endereço de entrega para entregar um pedido.
- Criação de uma conta para que o usuário possa acessar um serviço pago.
- Processamento de detalhes de pagamento de uma assinatura.
Não cobre o processamento que seja meramente útil para o negócio. A publicidade comportamental não é necessária para entregar uma conta SaaS. A análise do produto pode dar suporte ao serviço, mas geralmente precisa de uma análise separada.
3. Obrigação Legal
A obrigação legal se aplica quando UE ou a lei do estado membro exige o processamento. Os exemplos incluem registros fiscais, obrigações legais trabalhistas, retenção contábil, triagem de sanções em alguns contextos ou resposta a solicitações regulatórias legais.
A obrigação deve vir da lei, não de um contrato ou de uma política interna. Se um contrato de fornecedor estipular que você deve coletar determinados dados de marketing, isso não é uma obrigação legal GDPR.
4. Interesses vitais
Os interesses vitais aplicam-se quando o processamento é necessário para proteger a vida de alguém. É estreito e raro em operações comerciais normais.
Os exemplos podem incluir informações médicas de emergência ou resposta a crises. Geralmente não é relevante para análise de sites, marketing ou integração de SaaS.
5. Tarefa Pública
A tarefa pública aplica-se quando o tratamento é necessário para uma tarefa realizada no interesse público ou sob autoridade oficial. É utilizado principalmente por organismos públicos ou organizações privadas que exercem funções oficiais nos termos da lei.
A maioria das empresas privadas não pode utilizar tarefas públicas para processamento comercial de rotina.
Flowsery
Teste gratuito
Painel em tempo real
Rastreamento de metas
Rastreamento sem cookies
6. Interesses legítimos
Os interesses legítimos podem aplicar-se quando o responsável pelo tratamento ou um terceiro tem um interesse legítimo, o tratamento é necessário para esse interesse e os direitos e liberdades da pessoa não o prevalecem.
Isso requer um teste de equilíbrio. Uma avaliação típica de interesses legítimos pergunta:
- Qual é o interesse legítimo?
- O tratamento é necessário para esse interesse?
- Qual é o impacto nos indivíduos?
- Que salvaguardas reduzem esse impacto?
- As pessoas podem razoavelmente esperar esse processamento?
- Eles podem objetar facilmente?
Exemplos potenciais incluem prevenção de fraudes, segurança de rede, prospecção básica de B2B ou análises próprias limitadas em alguns contextos. Mas interesses legítimos não são uma frase mágica para rastrear. Publicidade entre sites, perfis invasivos, inferências confidenciais e compartilhamento inesperado de dados são muito mais difíceis de justificar.
Bases Legais e Direitos Individuais
A base jurídica altera os direitos disponíveis:
| Base jurídica | Consequência prática |
|---|---|
| Consentimento | O usuário pode retirar o consentimento |
| Contrato | O processamento deve ser necessário para o contrato |
| Obrigação legal | A exclusão pode ser limitada pelas leis de retenção |
| Interesses vitais | Uso de emergência restrito |
| Tarefa pública | Podem aplicar-se direitos de oposição |
| Interesses legítimos | O usuário tem o direito de contestar |
Você deve informar às pessoas a base legal em seu aviso de privacidade.
Exemplos de análise
Google Analytics baseado em cookie
Uma configuração web típica do GA4 usa cookies para distinguir usuários e sessões, como o Google explica em sua documentação sobre cookies GA4. Na Europa, isso geralmente levanta questões de consentimento ePrivacy antes que o cookie analítico seja definido. A base legal do GDPR depende do design do processamento, dos termos do fornecedor, das transferências e se os recursos de publicidade estão habilitados.
Análise agregada sem cookies
Uma ferramenta sem cookies que evita identificadores, armazenamento IP, impressão digital, reutilização de publicidade e cargas úteis de eventos pessoais pode reduzir ou evitar o processamento de dados pessoais, dependendo da implementação. Mesmo assim, a organização deve documentar a finalidade, as categorias de dados, a retenção e a função do fornecedor.
Análise de produto dentro de uma conta
A análise de produtos autenticados geralmente processa dados pessoais no nível da conta. O contrato pode cobrir eventos necessários à prestação do serviço, enquanto interesses legítimos podem abranger segurança ou melhoria do produto. Os usos sensíveis ou opcionais podem precisar de consentimento ou de uma base diferente.
Erros Comuns
- Escolher o consentimento porque parece mais seguro e, em seguida, tornar o serviço inutilizável se o consentimento for recusado.
- Utilizar contrato para processamento que só é útil para marketing.
- Utilizar interesses legítimos sem teste de equilíbrio.
- Esquecer as regras ePrivacy para cookies e armazenamento do dispositivo.
- Alterar finalidades posteriormente sem reavaliar a compatibilidade.
- Falha na atualização do aviso de privacidade quando as ferramentas mudam.
A base jurídica correta é aquela que se adapta honestamente ao tratamento. Se nenhuma base servir, a resposta não é uma formulação criativa. A resposta é parar ou redesenhar o processamento.
Documente a escolha
Para cada finalidade de processamento, registre a base escolhida e uma frase explicando por que ela se enquadra. Isso é especialmente importante para recursos de análise, marketing e AI, onde as equipes geralmente herdam suposições de ferramentas antigas. Um registro curto é mais fácil de manter do que um memorando longo que ninguém atualiza.
Lista de verificação de registros com base legal
Para cada finalidade de análise, anote a base jurídica e por que ela se enquadra: medição de audiência de sites públicos, pixels de marketing, telemetria de produtos, prevenção de fraudes, análise de contas e diagnósticos de suporte podem precisar de uma análise diferente. Não reutilize uma base para toda a pilha.
Verifique também as regras ePrivacy antes da execução das tags. Mesmo quando interesses legítimos de GDPR podem ser discutíveis para análises limitadas, armazenamento de dispositivos, cookies, pixels, SDKs ou acesso semelhante ainda podem exigir consentimento, a menos que uma isenção restrita se aplique na jurisdição relevante.
Este artigo foi útil?
Diga-nos o que pensa!
Antes de ir...
Flowsery
Analytics orientado para receitas para o seu site
Rastreie cada visitante, fonte e conversão em tempo real. Simples, poderoso e totalmente conforme com o RGPD.
Painel em tempo real
Rastreamento de metas
Rastreamento sem cookies
Artigos relacionados
Um guia prático de consentimento para rastreamento
Aprenda como consentimento para rastreamento afeta analytics com foco em privacidade, qualidade de medição e decisões práticas para o site.
Um guia prático de 7 principios do GDPR
Os 7 princípios do GDPR moldam tudo, desde o processamento legal até os limites de armazenamento. Este guia explica o que cada princípio significa na prática.
Um guia prático de acordo de processamento de dados
Aprenda como acordo de processamento de dados afeta analytics com foco em privacidade, qualidade de medição e decisões práticas para o site.