A base legal é o alicerce jurídico que justifica cada operação de tratamento de dados pessoais. A LGPD prevê 10 bases legais no art. 7º, sendo as mais relevantes para PMEs: Consentimento (o titular autoriza de forma livre e inequívoca), Execução de contrato (necessário para cumprir o contrato com o titular), Cumprimento de obrigação legal (ex: guarda de documentos fiscais) e Legítimo interesse (quando há interesse real do controlador sem prevalecer sobre direitos do titular). Dados sensíveis têm bases mais restritas Dado sensível — saúde, raça, biometria, religião, dados genéticos e de crianças — tem bases legais próprias no art. 11, mais restritas que as gerais. O consentimento deve ser específico e destacado. Tratar dados sensíveis com base legal inadequada é infração grave. O erro mais comum das PMEs Tratar dados sem definir ou documentar a base legal — o que torna o tratamento ilegal mesmo que o dado seja "inofensivo". Cada finalidade de tratamento precisa de uma base legal correspondente: a mesma base não cobre todas as operações da empresa. O teste de balanceamento do Legítimo Interesse Legítimo interesse exige que o tratamento seja necessário, proporcional e que os direitos do titular não se sobreponham. É necessário fazer o teste de balanceamento (LIA — Legitimate Interest Assessment) e documentar. Sem esse documento, o legítimo interesse fica juridicamente frágil em fiscalizações.