As bases legais para o tratamento de dados pessoais e de dados pessoais sensíveis estão indicadas, respectivamente, nos artigos 7º e 11 da LGDP.

• Hipóteses para tratamento de dados pessoais (art. 7º):

I – Consentimento: quando o fornecimento de consentimento pelo titular;

II – Obrigação legal: para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – Execução de políticas públicas: pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;

IV – Estudos por órgãos de pesquisa: para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - Execução de contratos: quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI – Exercício regular de direitos: para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

VII – Proteção da vida: para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII – Tutela da saúde: para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX – Interesse legítimo: quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X – Proteção de crédito: para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

• Hipóteses para tratamento de dados pessoais sensíveis (art. 11):

I – Consentimento: quando o titular ou responsável consentir, de forma específica e destacada, para finalidades específicas;

II – Quando for indispensável para:

a) Obrigação legal: para o cumprimento de obrigação legal ou regulatória pelo controlador;

b) Execução de políticas públicas: pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;

c) Estudos por órgãos de pesquisa: para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

d) Exercício regular de direitos: em contratos e processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

e) Proteção da vida: para a proteção da vida ou da incolumidade física do titular ou de terceiro;

f) Tutela da saúde: para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

g) Prevenção à fraude e à segurança: como garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.