Todo o tratamento de dados pessoais tem de assentar numa das seis bases de licitude do artigo 6.º, n.º 1, do RGPD: consentimento, execução de contrato, obrigação legal, interesses vitais, exercício de funções de interesse público e interesse legítimo. Escolher a base certa antes de iniciar o tratamento não é uma formalidade: define os direitos que os titulares podem exercer, o que a organização tem de documentar e a solidez jurídica de todo o tratamento. Não se pode «trocar» de base a meio, nem invocar consentimento e interesse legítimo em alternativa para o mesmo tratamento. Este guia explica as seis bases, dá uma árvore de decisão prática e aponta os erros de escolha mais comuns em Portugal.
Principais conclusões
- Existem seis bases de licitude no artigo 6.º, n.º 1 do RGPD — todas com igual valor.
- A base tem de ser escolhida antes do tratamento e não pode ser alterada arbitrariamente.
- A base escolhida condiciona os direitos dos titulares (por exemplo, a portabilidade só existe no consentimento e no contrato).
- O erro mais comum é pedir consentimento quando existe obrigação legal.
- Para dados sensíveis, é preciso uma base do art. 6.º e uma condição do art. 9.º.
As seis bases de licitude do artigo 6.º
O artigo 6.º, n.º 1, do RGPD enumera as bases. Nenhuma é superior às outras — a «melhor» é a que corresponde à realidade do tratamento.
- a) Consentimento — o titular deu o seu acordo livre, específico, informado e inequívoco. Adequado a marketing e newsletters. Exigente de gerir (ver consentimento RGPD).
- b) Execução de contrato — o tratamento é necessário para um contrato de que o titular é parte, ou para diligências pré-contratuais. Ex.: processar uma encomenda, gerir uma conta.
- c) Obrigação legal — o tratamento é imposto por lei. Ex.: conservar faturas para efeitos fiscais, comunicar dados à Segurança Social.
- d) Interesses vitais — proteger a vida do titular ou de outra pessoa. Raro, sobretudo em emergências médicas.
- e) Interesse público — exercício de funções de interesse público ou de autoridade pública. Base central para o setor público (ver RGPD nos municípios).
- f) Interesse legítimo — o tratamento serve um interesse legítimo do responsável ou de terceiro, desde que não prevaleçam os direitos do titular. Exige um teste de ponderação (ver interesse legítimo RGPD).
Como a base condiciona os direitos
A escolha da base não é neutra: ativa ou desativa direitos dos titulares. Esta é uma das razões pelas quais escolher bem é decisivo.
| Direito | Consentimento | Contrato | Obrigação legal | Interesse legítimo |
|---|---|---|---|---|
| Apagamento | Sim | Condicionado | Não (durante o prazo) | Sim, com oposição |
| Portabilidade | Sim | Sim | Não | Não |
| Oposição | — | — | — | Sim |
| Retirar base | Sim | — | — | — |
Por exemplo, um tratamento baseado em interesse legítimo confere ao titular o direito de oposição (art. 21.º), que não existe da mesma forma nas outras bases; um tratamento baseado em consentimento ou contrato confere portabilidade, que a obrigação legal não confere.
Árvore de decisão prática
Para escolher a base de um tratamento, percorra as perguntas por esta ordem:
- A lei obriga a este tratamento? → Obrigação legal (al. c).
- É necessário para um contrato com o titular? → Execução de contrato (al. b).
- É uma função pública atribuída por lei? → Interesse público (al. e).
- Está em causa a vida de alguém? → Interesses vitais (al. d).
- Existe um interesse legítimo que não prejudica desproporcionadamente o titular? → Interesse legítimo (al. f), com teste de ponderação documentado.
- Nenhuma das anteriores se aplica? → Consentimento (al. a).
O consentimento surge, deliberadamente, no fim: é a base mais frágil de gerir (revogável, com ónus de prova) e só deve ser usada quando nenhuma outra se aplica. Esta ordem evita o erro mais comum, tratado a seguir.
Os erros de escolha mais comuns
Pedir consentimento quando existe obrigação legal. É o erro clássico. Uma empresa pede ao trabalhador consentimento para processar o salário — mas esse tratamento assenta na execução do contrato e em obrigações legais, não no consentimento. Pior: se o consentimento fosse a base, o trabalhador poderia retirá-lo e impedir o processamento, o que é absurdo. O consentimento pedido numa relação de subordinação não é, aliás, «livre».
Invocar duas bases em alternativa. Não se pode dizer «tratamos com base no consentimento e, se este falhar, no interesse legítimo». A base tem de ser escolhida e assumida à partida. Trocar de base quando a primeira é contestada é, para o CEPD, uma prática incorreta.
Esquecer o artigo 9.º nos dados sensíveis. Uma base do artigo 6.º não basta para dados de saúde, biométricos ou outros dados sensíveis. É preciso, cumulativamente, uma condição do artigo 9.º, n.º 2. O caso do Município de Lisboa (coima de 1,25 M€ da CNPD em 2021) ilustra o custo de tratar dados sem fundamento válido — ver o guia sobre coimas RGPD em Portugal.
Documentar a base escolhida
A base de licitude de cada tratamento deve constar do registo de atividades de tratamento e ser comunicada aos titulares na informação dos artigos 13.º e 14.º. Uma organização que não sabe articular a base de cada tratamento não consegue responder a um pedido de exercício de direitos nem a uma fiscalização. Ferramentas como a Legiscope associam automaticamente a base legal a cada tratamento inventariado, o que ajuda a manter a coerência e a evitar os erros de escolha à escala da organização.
A CNPD verifica sistematicamente a base de licitude numa fiscalização: é uma das primeiras perguntas depois de pedir o registo de tratamentos. Um tratamento sem base identificada é ilícito, com a moldura mais elevada do artigo 83.º, n.º 5 (até 20 M€ ou 4%). Não é, por isso, um exercício teórico: é a diferença entre um tratamento defensável e uma infração das mais graves.
Perguntas frequentes
Posso mudar de base legal a meio de um tratamento?
Em regra, não. A base deve ser escolhida antes do tratamento e assumida perante os titulares. Mudar de base porque a primeira foi contestada é uma prática desaconselhada pelo CEPD, salvo se houver uma alteração real na natureza do tratamento.
Qual é a base mais segura?
Não há uma base «mais segura» em abstrato — há a base que corresponde à realidade. O consentimento é frequentemente o mais frágil de gerir por ser revogável. Obrigação legal e execução de contrato são sólidas quando genuinamente aplicáveis.
Preciso sempre de consentimento para tratar dados pessoais?
Não. O consentimento é apenas uma das seis bases. Muitos tratamentos assentam legitimamente em obrigação legal, execução de contrato ou interesse legítimo, sem qualquer consentimento.
Uma base do artigo 6.º chega para tratar dados de saúde?
Não. Para dados sensíveis (art. 9.º, n.º 1), é preciso uma base do artigo 6.º e, cumulativamente, uma condição de exceção do artigo 9.º, n.º 2, como o consentimento explícito ou a medicina do trabalho.
Conclusão
A licitude do tratamento é o ponto de partida de toda a conformidade RGPD: sem uma base válida do artigo 6.º, o tratamento é ilícito, por muito boas que sejam as medidas de segurança. Escolha a base pela realidade do tratamento, não por hábito; reserve o consentimento para quando nenhuma outra base se aplica; e não esqueça a camada adicional do artigo 9.º para dados sensíveis. Documentar bem esta escolha é o que sustenta os direitos dos titulares e a defesa numa fiscalização.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope