Olá, querido(a) aluno(a)!
Neste artigo vamos estudar o art. 7º da Lei nº 13.709/2018 (LGPD), dispositivo responsável por apresentar as hipóteses legais que autorizam o tratamento de dados pessoais. Trata-se de um dos artigos mais importantes da Lei Geral de Proteção de Dados Pessoais para concursos públicos, pois define em quais situações o tratamento de dados pessoais comuns poderá ocorrer de forma lícita.

O domínio desse artigo é indispensável para compreender corretamente a lógica da LGPD. Afinal, a lei não exige consentimento para todo e qualquer tratamento de dados pessoais. O que a LGPD exige é a existência de uma hipótese legal adequada, associada a uma finalidade legítima, específica e informada ao titular.
A Lei Geral de Proteção de Dados Pessoais estabelece que o tratamento de dados pessoais não pode ocorrer de forma livre, intuitiva ou baseada apenas na conveniência do controlador. Para que uma operação de tratamento seja juridicamente válida, é necessário que ela esteja apoiada em uma das hipóteses legais previstas na LGPD.
Nesse contexto, o art. 7º ocupa posição central na estrutura da lei, pois apresenta as hipóteses que autorizam o tratamento de dados pessoais comuns. Essas hipóteses são frequentemente chamadas de bases legais, expressão muito utilizada em provas, documentos de governança, políticas de privacidade e programas de conformidade.
É importante perceber que a existência de uma base legal não elimina a necessidade de observância dos princípios da LGPD. O tratamento deve continuar respeitando finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização. Em outras palavras, a base legal responde à pergunta “por que o dado pode ser tratado?”, mas não autoriza excessos, desvios de finalidade ou coleta desnecessária.
- Consentimento do titular
A primeira hipótese prevista no art. 7º é o tratamento realizado mediante o fornecimento de consentimento pelo titular. O consentimento é a manifestação livre, informada e inequívoca pela qual a pessoa concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Essa base legal é adequada quando o titular tem efetiva possibilidade de escolha. Não se trata de mera formalidade. O titular precisa compreender quais dados serão tratados, para qual finalidade, por quem e em quais condições.
Exemplo: uma plataforma de cursos solicita autorização para enviar comunicações promocionais por e-mail e WhatsApp. O aluno pode se cadastrar no curso sem aceitar o envio de publicidade. Caso aceite, haverá consentimento para aquela finalidade específica.
Perceba que o consentimento não deve ser utilizado como solução automática para qualquer tratamento. Em muitos casos, outra base legal será mais adequada, especialmente quando o tratamento decorre de obrigação legal, execução de contrato ou política pública.
- Cumprimento de obrigação legal ou regulatória pelo controlador
A segunda hipótese autoriza o tratamento quando ele for necessário para que o controlador cumpra uma obrigação prevista em lei ou em norma regulatória.
Nessa situação, o tratamento não depende da vontade do titular, pois decorre de imposição normativa. O controlador deve tratar determinados dados porque a legislação ou a regulação aplicável exige essa conduta.
Exemplo: uma empresa coleta e armazena dados de seus empregados para cumprir obrigações trabalhistas, previdenciárias e fiscais, como envio de informações ao eSocial, recolhimento de FGTS e elaboração da folha de pagamento.
Outro exemplo: uma instituição financeira mantém dados cadastrais de seus clientes para cumprir normas de prevenção à lavagem de dinheiro e identificação de clientes.
A banca pode tentar confundir essa hipótese com consentimento. O ponto central é que, quando há obrigação legal ou regulatória, o titular não “autoriza” o tratamento; a própria norma jurídica impõe ou justifica a operação.
- Execução de políticas públicas pela administração pública
A terceira hipótese permite o tratamento e o uso compartilhado de dados necessários à execução de políticas públicas pela administração pública, quando previstas em leis, regulamentos, contratos, convênios ou instrumentos congêneres.
Essa base legal é própria da atuação estatal. O foco está na realização de finalidades públicas e no cumprimento de competências legais atribuídas ao Poder Público.
Exemplo: um município utiliza dados cadastrais, endereço e composição familiar de cidadãos para executar política pública de assistência social, como concessão de benefício eventual ou inclusão em programa habitacional.
Outro exemplo: um órgão público compartilha dados entre secretarias para operacionalizar uma política de vacinação, desde que haja finalidade pública, previsão normativa e observância dos princípios da LGPD.
Essa hipótese deve ser lida em conjunto com as regras da LGPD sobre tratamento de dados pelo Poder Público, especialmente porque a administração pública não pode tratar dados pessoais de forma genérica. É necessário indicar finalidade pública específica, interesse público e competência legal.
- Realização de estudos por órgão de pesquisa
O art. 7º também permite o tratamento de dados pessoais para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais.
Essa hipótese busca compatibilizar proteção de dados com produção de conhecimento científico, histórico, estatístico e tecnológico. O tratamento deve estar ligado à atividade de pesquisa, e a anonimização deve ser priorizada sempre que viável.
Exemplo: uma universidade pública realiza estudo estatístico sobre evasão escolar, utilizando dados educacionais de alunos. Sempre que possível, os dados devem ser anonimizados para impedir a identificação direta ou indireta dos estudantes.
Outro exemplo: um instituto de pesquisa analisa dados demográficos para compreender padrões de mobilidade urbana, sem divulgar informações que permitam identificar pessoas específicas.
Em provas, é comum a cobrança do trecho “garantida, sempre que possível, a anonimização”. A expressão “sempre que possível” é relevante porque a LGPD não exige anonimização absoluta em todos os casos, mas impõe essa diretriz como regra de proteção.
- Execução de contrato ou procedimentos preliminares relacionados a contrato
Outra base legal importante é o tratamento necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do próprio titular.
Essa hipótese se aplica quando o tratamento dos dados é indispensável para contratar, cumprir obrigações contratuais ou adotar providências antes da celebração do contrato.
Exemplo: uma loja virtual trata nome, CPF, endereço, e-mail e dados de entrega do consumidor para concluir uma compra e enviar o produto adquirido.
Outro exemplo: uma instituição de ensino coleta documentos de um candidato para avaliar sua matrícula, gerar contrato educacional e organizar a prestação do serviço.
O detalhe essencial é que o titular deve ser parte do contrato, e o tratamento precisa ser necessário. Dados que não tenham relação com a execução contratual não devem ser coletados com base nessa hipótese.
- Exercício regular de direitos em processo judicial, administrativo ou arbitral
O art. 7º autoriza o tratamento de dados pessoais quando necessário para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
Essa base legal preserva o direito de ação, o contraditório, a ampla defesa e a produção de provas. A proteção de dados pessoais não pode ser utilizada como obstáculo absoluto ao exercício legítimo de direitos.
Exemplo: uma empresa utiliza registros de ponto, e-mails corporativos e documentos funcionais de um empregado para se defender em uma ação trabalhista.
Outro exemplo: um órgão público apresenta dados constantes de processo administrativo disciplinar para demonstrar a regularidade de sua atuação.
A banca pode cobrar essa hipótese associada à ideia de que a LGPD não impede a utilização de dados pessoais em processos, desde que o tratamento seja necessário, proporcional e vinculado ao exercício regular de direitos.
- Proteção da vida ou da incolumidade física do titular ou de terceiro
A LGPD também autoriza o tratamento de dados pessoais quando necessário para proteger a vida ou a incolumidade física do titular ou de terceiro.
Essa base legal se relaciona a situações de urgência, risco ou proteção de bens jurídicos fundamentais. A finalidade é preservar a vida ou a integridade física, mesmo que não seja possível obter consentimento prévio.
Exemplo: uma pessoa sofre um acidente em via pública, e uma equipe de emergência acessa seus documentos e informações de contato para prestar socorro e localizar familiares.
Outro exemplo: em uma situação de risco físico, um estabelecimento compartilha imagens de câmeras de segurança com autoridade competente para auxiliar na proteção de uma pessoa ameaçada.
Essa hipótese não deve ser banalizada. Ela se aplica a situações em que há vínculo real com proteção da vida ou da integridade física.
- Tutela da saúde
O art. 7º também permite o tratamento de dados pessoais para a tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Essa base legal está ligada à prestação de cuidados em saúde e à atuação sanitária. O termo “exclusivamente” é importante e costuma ser explorado em provas.
Exemplo: uma clínica médica trata dados cadastrais e informações de atendimento de um paciente para realizar consulta, registrar prontuário e acompanhar o tratamento.
Outro exemplo: uma autoridade sanitária trata dados pessoais necessários para monitorar surto epidemiológico, organizar campanhas de vacinação ou adotar medidas de vigilância em saúde.
A tutela da saúde não deve ser confundida com uso comercial de dados de saúde. Quando o tratamento envolver dados pessoais sensíveis, devem ser observadas também as hipóteses do art. 11 da LGPD.
- Legítimo interesse do controlador ou de terceiro
O legítimo interesse permite o tratamento de dados pessoais quando necessário para atender interesses legítimos do controlador ou de terceiro, exceto quando prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Essa base legal exige análise cuidadosa. Não basta afirmar que há interesse do controlador. É necessário demonstrar finalidade legítima, necessidade do tratamento e equilíbrio entre o interesse do agente de tratamento e os direitos do titular.
Exemplo: uma empresa utiliza dados de clientes para prevenir fraudes em sua plataforma, desde que trate apenas os dados necessários e adote medidas de segurança e transparência.
Outro exemplo: uma organização envia comunicação institucional a clientes já existentes sobre atualização de serviço semelhante ao contratado, respeitando o direito de oposição e evitando tratamento excessivo.
Em concursos, o legítimo interesse costuma ser cobrado como uma base legal mais flexível, mas não ilimitada. Ele não prevalece quando os direitos e liberdades fundamentais do titular exigirem maior proteção.
- Proteção do crédito
A décima hipótese do art. 7º autoriza o tratamento de dados pessoais para a proteção do crédito, observada a legislação pertinente.
Essa base legal permite atividades relacionadas à análise de crédito, prevenção de inadimplência, formação de histórico de crédito e funcionamento de sistemas de proteção ao crédito, desde que respeitados os direitos do titular e as normas aplicáveis.
Exemplo: uma instituição financeira consulta informações cadastrais e histórico de pagamento de um consumidor para avaliar a concessão de empréstimo.
Outro exemplo: uma empresa registra informações de inadimplência em banco de dados de proteção ao crédito, observando os requisitos legais, a finalidade específica e a transparência ao titular.
Atenção: proteção do crédito não autoriza exposição indevida, tratamento discriminatório ou manutenção de dados incorretos. O titular continua tendo direitos de acesso, correção e informação.
- Dispensa de consentimento e dados tornados manifestamente públicos pelo titular
O § 4º do art. 7º prevê que é dispensada a exigência de consentimento para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios da LGPD.
Esse dispositivo não significa que dados públicos podem ser utilizados de qualquer forma. A publicidade do dado não elimina a necessidade de finalidade legítima, adequação, necessidade e transparência.
Exemplo: uma pessoa publica voluntariamente seu e-mail profissional em página pública de evento acadêmico. O dado pode ser acessado, mas não deve ser utilizado para finalidade incompatível, como inclusão automática em campanhas comerciais sem base legal adequada.
Outro exemplo: um servidor público tem parte de seus dados funcionais divulgados em portal de transparência. Isso não autoriza o uso desses dados para perseguição, discriminação ou exposição abusiva.
- Compatibilidade de finalidade e tratamento posterior
O § 7º do art. 7º estabelece que o tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular.
Esse ponto reforça a lógica da compatibilidade de finalidade. Mesmo quando o dado já foi tornado público ou teve acesso público, o uso posterior deve ser juridicamente justificável.
Exemplo: dados profissionais publicados por pesquisadores em currículo público podem ser utilizados para compor levantamento acadêmico sobre produção científica, desde que a finalidade seja legítima e compatível. Entretanto, o uso desses mesmos dados para criar perfis comerciais invasivos pode violar a LGPD.
Conclusão
O art. 7º da LGPD é um dos dispositivos mais importantes para provas e para a prática de governança em proteção de dados. Ele apresenta as hipóteses legais que autorizam o tratamento de dados pessoais comuns, mas deve ser interpretado em conjunto com os princípios, direitos dos titulares e deveres dos agentes de tratamento.
Para fins de concurso, o ponto mais importante é compreender que consentimento é apenas uma das bases legais. A LGPD admite várias hipóteses de tratamento, como obrigação legal, execução de contrato, política pública, pesquisa, exercício de direitos, proteção da vida, tutela da saúde, legítimo interesse e proteção do crédito.
A análise correta sempre passa por três perguntas: qual dado será tratado, para qual finalidade e qual base legal justifica esse tratamento. Sem essa correlação, o tratamento tende a ser juridicamente frágil.
Referências
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Brasília, DF: Presidência da República, 2018.
BRASIL. Ministério da Gestão e da Inovação em Serviços Públicos. Secretaria de Governo Digital. Cartilha sobre Finalidade e Hipóteses Legais. Brasília, DF: Governo Digital, 2025.
DONEDA, Danilo. Da privacidade à proteção de dados pessoais. 2. ed. São Paulo: Thomson Reuters Brasil, 2020.
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2021.
Prof. Jósis Alves
Analista de TI no Supremo Tribunal Federal
Instagram: @josisalvesprof @aprovati
![[APROVAÇÃO NÃO ESPERA EDITAL] Promo maio/junho e pós-copa – Cabeçalho](https://blog-static.infra.grancursosonline.com.br/wp-content/uploads/2026/05/06093636/Cabecalho-1238x216-1.webp)
![[APROVAÇÃO NÃO ESPERA EDITAL] Promo maio/junho e pós-copa – Post](https://blog-static.infra.grancursosonline.com.br/wp-content/uploads/2026/05/06093623/Post-730x150-1.webp)