A Lei Geral de Proteção de Dados Pessoais assegura ao titular o direito de que seus dados pessoais sejam tratados somente em conformidade com as regras nela expressas. 

Cabe destacar, inicialmente, que os controladores e operadores deverão observar a boa-fé e diversos princípios elencados no artigo 6º da Lei Geral de Proteção de Dados Pessoais, quais sejam: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e, por fim, responsabilização e prestação de contas. 

Por sua vez, as hipóteses legais de tratamento de dados pessoais estão descritas no artigo 7º da Lei Geral de Proteção de Dados Pessoais, cujo rol é reproduzido abaixo: 

1ª) mediante o fornecimento de consentimento pelo titular, que deverá ser manifestado por escrito ou por outro meio que demonstre a manifestação de vontade do titular, a teor do artigo 8º, "caput", da LGPD; 

2ª) para o cumprimento de obrigação legal ou regulatória pelo controlador; 

3ª) pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; 

4ª) para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; 

5ª) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; 

6ª) para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei n. 9307, de 23 de setembro de 1996 (Lei de Arbitragem); 

7ª) para a proteção da vida ou da incolumidade física do titular ou de terceiro; 

8ª) para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;       

9ª) quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou 

10ª) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. 

Cabe ressaltar que, além de o tratamento somente ser admitido quando presentes uma das hipóteses acima descritas, também é indispensável que seja aferida qual é a finalidade do tratamento dos dados, pois a Lei Geral de Proteção de Dados Pessoais somente permite o tratamento daqueles dados pessoais que realmente sejam necessários, adequados e suficientes para o atingimento dessa finalidade. 

Por sua vez, o legítimo interesse do controlador somente poderá embasar o tratamento de dados pessoais para finalidades que sejam consideradas legítimas, que são avaliadas segundo situações concretas, as quais incluem, sem prejuízo de outras, o apoio e promoção de atividades do controlador, bem como a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, devendo ser respeitadas as legítimas expectativas do titular e seus direitos e liberdades fundamentais. 

Deve ser salientado que se o tratamento dos dados pessoais basear-se no legítimo interesse do controlador, somente aqueles que de fato sejam necessários para a finalidade pretendida poderão ser tratados.