A Lei Geral de Proteção de Dados autoriza o tratamento de dados pessoais nas 10 hipóteses abaixo:
1ª) Quando a organização tiver consentimento do titular;
2ª) Quando necessário para cumprimento de obrigação legal;
3ª) Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
4ª) Quando necessário para atender aos interesses legítimos do controlador ou de terceiro;
5ª) Para proteção do crédito.
6ª) Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
7ª) Para exercício regular de direitos em processo judicial, administrativo ou arbitral;
8ª) Para realização de pesquisa, sempre que possível anonimizado;
9ª) Para proteger a vida ou da incolumidade física do titular ou de terceiro;
10ª) Pela administração pública, para tratamento pela execução das políticas públicas;
Qualquer uma dessas hipóteses autoriza o tratamento de dados pessoais. O consentimento é uma das hipóteses mais trabalhosas, pois exige que seja fornecido por escrito ou outro meio que demonstre a manifestação de vontade do titular, devendo apresentar cláusula destacada, referindo-se as finalidades determinadas.
Autorizações genéricas para o tratamento de dados pessoais são nulas.
Ademais, o titular pode revogar seu consentimento, a qualquer momento, mediante manifestação expressa, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação.
É vedado o tratamento de dados pessoais mediante vício de consentimento, cabendo ao controlador o ônus da prova de que o consentimento foi obtido. Caso as informações tenham conteúdo enganoso ou abusivo para a obtenção do consentimento, este será nulo.
Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios em que pode exercer seus direitos.
Mesmo que a Organização possua o consentimento do titular, conforme determina a lei, ou trate os dados por outra hipótese, é fundamental que o tratamento seja realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Ou seja, é fundamental que haja uma finalidade para o tratamento, sem a qual não haverá a possibilidade de tratar os dados pessoais. Ainda que se tenha o consentimento, deve-se verificar se o tratamento:
• Possui finalidade para propósitos legítimos e específicos;
• Teve sua finalidade explícita e informada ao titular;
• É compatível com a finalidade, de acordo com seu contexto;
• É feito no mínimo necessário para a realização da finalidade, com dados pertinentes, proporcionais e não excessivos.
Caso haja mudança da finalidade para o tratamento, não compatíveis com o consentimento original, a Organização deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.
