LGPD - Parte IV - Requisitos

Além de observar todos os princípios definidos na LGPD, o controlador ou operador somente poderão realizar o tratamento de dados pessoais desde que seja cumprido, obrigatoriamente, uma das seguintes hipóteses:

I - Com o consentimento do titular

O consentimento deve ser fornecido pelo titular de forma clara e inequívoca (nada de letras miúdas em meio a um “termo de uso” gigantesco), sendo que no momento do consentimento, as finalidades do tratamento devem estar definidas.
Caso o controlador deseje alterar as finalidades originais, o titular deve ser informado e deve consentir novamente.
E ainda, após o consentimento ser fornecido, o titular pode revogar tal consentimento a qualquer momento, sendo necessário que o controlador cesse os tratamentos a partir daquele momento.

II - Para obrigações legais

Caso exista alguma obrigação legal que requeira que o controlador faça algum tratamento de dados pessoais, é possível que ele o faça nestes casos sem a necessidade de o titular consentir.
Um exemplo pode ser a regulamentação que obriga empresas a manter informações de notas fiscais por 5 anos, incluindo os dados do comprador.

III - Pela administração pública

Órgãos públicos podem fazer o tratamento de dados sob este requisito desde que as atividades e políticas públicas estejam previstas em lei, contratos, regulamentos, etc.
E da mesma forma que em outros requisitos, as finalidades devem ser definidas e informadas ao titular com clareza.

IV - Para estudos e pesquisar

Órgão públicos e privados podem realizar tratamento de dados para fins de pesquisas ou estudos estatísticos, e sempre que possível devem garantir a anonimização dos dados pessoais.

V - Para execução de contratos

O controlador pode fazer o tratamento de dados pessoais quando existir um contrato entre ele e o titular, ou para procedimentos preliminares a tal contrato.

VI - Para exercício do direito

Pode-se realizar o tratamento de dados em processos judiciais, administrativos ou de arbitragem, que envolvam o titular.

VII - Para proteção da vida

Quando o tratamento de dados for necessário para proteção da vida do titular ou de terceiros, sendo que essa necessidade deve ser comprovada pelo controlador.

VIII - Para tutela da saúde

Tratamentos decorrentes de procedimentos realizados por profissionais da saúde ou por entidades sanitárias.

IX - Para atender interesses legítimos do controlador

Esse é um requisito mais genérico para o tratamento de dados, e por isso pode ser problemático.
Para que o tratamento seja feito sob este requisito, é necessário que o controlador identifique de forma inequívoca seus interesses no tratamento, demonstrando que o tratamento é realmente necessário para se atingir os objetivos.
E, é claro, esses interesses não devem violar nenhum outro dispositivo legal, seja da LGPD ou de outras legislações.

X - Para proteção do crédito

Pode-se realizar o tratamento de dados para atividades que visam a proteção de dados, como por exemplo a manutenção e consulta em bases de dados como do SPC e Serasa.

No próximo artigo, tratarei sobre os direitos que a LGPD determina para o titular dos dados


Compartilhe: Twitter - Facebook - LinkedIn