Todo tratamento de dados pessoais deve ser fundamentado no que a LGPD chama de "bases legais": hipóteses que permitem aos agentes realizarem operações de tratamento de dados pessoais em conformidade com a Lei. Sendo assim, os agentes de tratamento devem determinar previamente a base legal que tornará o tratamento de dados legítimo.
Todas as bases legais são igualmente importantes e cada agente deve escolher aquela que melhor dialoga com suas finalidades. Por exemplo, ao entrar no fluxo da Quanto, é solicitado a Você o seu Consentimento (base legal) - ou seja, você deve autorizar que utilizemos seus dados bancários para oferecermos nossos serviços.
Outro exemplo de base legal é o "cumprimento de obrigação legal ou regulatória": por estarmos submetidos às normas do Banco Central, somos legalmente obrigados a armazenar e fornecer alguns dados seus para cumprirmos as obrigações legais impostas às instituições credenciadas no Banco Central. Percebe-se, então, que cada operação distinta exige uma base legal específica que a justifique.