Além de observar todos os princípios definidos na LGPD, o controlador ou operador somente poderão realizar o tratamento de dados pessoais desde que seja cumprido, obrigatoriamente, uma das seguintes hipóteses:
I - Com o consentimento do titular
O consentimento deve ser fornecido pelo titular de forma clara e inequívoca (nada de letras miúdas em meio a um "termo de uso" gigantesco), sendo que no momento do consentimento, as finalidades do tratamento devem estar definidas.
Caso o controlador deseje alterar as finalidades originais, o titular deve ser informado e deve consentir novamente.
E ainda, após o consentimento ser fornecido, o titular pode revogar tal consentimento a qualquer momento, sendo necessário que o controlador cesse os tratamentos a partir daquele momento.
II - Para obrigações legais
Caso exista alguma obrigação legal que requeira que o controlador faça algum tratamento de dados pessoais, é possível que ele o faça nestes casos sem a necessidade de o titular consentir.
Um exemplo pode ser a regulamentação que obriga empresas a manter informações de notas fiscais por 5 anos, incluindo os dados do comprador.
III - Pela administração pública
Órgãos públicos podem fazer o tratamento de dados sob este requisito desde que as atividades e políticas públicas estejam previstas em lei, contratos, regulamentos, etc.
E da mesma forma que em outros requisitos, as finalidades devem ser definidas e informadas ao titular com clareza.
IV - Para estudos e pesquisar
Órgão públicos e privados podem realizar tratamento de dados para fins de pesquisas ou estudos estatísticos, e sempre que possível devem garantir a anonimização dos dados pessoais.
V - Para execução de contratos
O controlador pode fazer o tratamento de dados pessoais quando existir um contrato entre ele e o titular, ou para procedimentos preliminares a tal contrato.
VI - Para exercício do direito
Pode-se realizar o tratamento de dados em processos judiciais, administrativos ou de arbitragem, que envolvam o titular.
VII - Para proteção da vida
Quando o tratamento de dados for necessário para proteção da vida do titular ou de terceiros, sendo que essa necessidade deve ser comprovada pelo controlador.
VIII - Para tutela da saúde
Tratamentos decorrentes de procedimentos realizados por profissionais da saúde ou por entidades sanitárias.
IX - Para atender interesses legítimos do controlador
Esse é um requisito mais genérico para o tratamento de dados, e por isso pode ser problemático.
Para que o tratamento seja feito sob este requisito, é necessário que o controlador identifique de forma inequívoca seus interesses no tratamento, demonstrando que o tratamento é realmente necessário para se atingir os objetivos.
E, é claro, esses interesses não devem violar nenhum outro dispositivo legal, seja da LGPD ou de outras legislações.
X - Para proteção do crédito
Pode-se realizar o tratamento de dados para atividades que visam a proteção de dados, como por exemplo a manutenção e consulta em bases de dados como do SPC e Serasa.
No próximo artigo, tratarei sobre os direitos que a LGPD determina para o titular dos dados
Top comments (0)