Conforme a Lei Geral de Proteção de Dados o tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

1. Quando houver consentimento do titular:sempre que o titular concordar com o tratamento de seus dados o agente está liberado para realizá-lo. Porém, é importante dizer que para que o consentimento seja válido ele deve ser livre, informado e inequívoco, ou seja, o titular tem que ser informado sobre a finalidade do tratamento; tem que ter a possibilidade de concordar ou não sem ser pressionado ou prejudicado em caso de negativa; e tem que dar o consentimento de forma expressa;
2. Para o cumprimento de obrigação legal ou regulatória pelo controlador:muitas vezes a pessoa ou a empresa solicitam dados pessoais não porque querem, mas sim porque a lei os obriga a ter ou informar esses dados. Por exemplo, quando você realiza uma compra, seja em uma loja, seja pela internet, é necessário fornecer ao vendedor o CPF. Não é que o vendedor precise ou queira essa informação para realizar a venda, mas para tanto ele é obrigado a colocar o CPF do comprador na nota fiscal. Portanto, sempre que o vendedor pedir o CPF do cliente ele estará cumprindo obrigação legal e, portanto, o tratamento de dados está autorizado pela LGPD.
3. Quando a Administração Pública precisar realizar o tratamento ou o uso compartilhado dos dados para executar políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres:várias ações do governo dependem da identificação das pessoas e, portanto, do tratamento de dados pessoais. Em muitos casos essas ações são voltadas para uma determinada parcela da sociedade, como, por exemplo, a vacinação de crianças até determinada idade. A vacinação é uma atividade que faz parte de uma política de saúde pública e para que ela seja realizada com sucesso é necessário confirmar se todas as crianças que estão sendo vacinadas estão na faixa etária para a qual a campanha é dirigida. Assim, será possível que se coletem os dados e até mesmo cópia dos documentos das crianças que forem levadas para vacinação.
4. Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais:estudos científicos pressupõem a disponibilização de dados e sua análise, para que se possa chegar a uma conclusão. Por ser uma atividade importante para o desenvolvimento da sociedade, a LGPD permite que os órgãos de pesquisa realizem tratamento de dados, independentemente da ciência ou do consentimento de seus titulares.

Porém, alguns limites foram impostos pela lei. Os órgãos de pesquisa aos quais é permitido o tratamento de dados são apenas os públicos ou as empresas privadas que não tenham fins lucrativos, e mesmo assim aquelas que tenham como missão a pesquisa básica ou aplicada de caráter histórico, cientifico, tecnológico ou estatístico.

Além disso, sempre que a identificação do titular do dado não for necessária para a pesquisa, ela deve ser realizada com dados anonimizados, como forma de proteção da privacidade dos titulares. A anonimização é conceituada pela LGPD como a utilização de meios técnicos para desassociar os dados do indivíduo. Com isso apesar de os dados serem usados para a pesquisa, por meio deles não será possível identificar o titular.

5. Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido dele:se uma pessoa contrata um serviço que envolva necessariamente o tratamento de dados, como o armazenamento de dados em nuvem, por exemplo, o agente de tratamento estará autorizado a realizar as operações necessárias, desde que o titular concorde. A diferença aqui é que o titular não poderá retirar o consentimento antes do término do contrato, pois o combinado deve ser cumprido.
6. Exercício regular de direitos em processo judicial, administrativo ou arbitral:o detentor de dados pessoais pode se utilizar deles para fazer prova em seu favor em processos judiciais, administrativos ou arbitral. Imagine que um cliente ingresse com uma ação judicial contra um banco, alegando que está sendo cobrado indevidamente. O banco poderá apresentar o contrato assinado pelo cliente para comprovar que a cobrança é devida, ainda que dele constem dados pessoais e que o cliente não tenha consentido com a sua divulgação.
7. Proteção da vida ou da incolumidade física do titular ou de terceiro:como vimos em outro tópico, nenhum direito é absoluto, mesmo que seja um direito fundamental. A LGPD protege a privacidade das pessoas, mas reconhece que outros direitos devem se sobrepor a ela, como a vida e a incolumidade física. Assim, se alguém estiver correndo risco de morte, de se machucar ou ter uma piora em sua saúde e para salvar-lhe for necessário acessar seus dados pessoais, essa operação está autorizada pela LGPD. Por exemplo: se uma pessoa chega ferida e inconsciente a um hospital, o médico poderá requisitar o prontuário que o paciente tenha em uma clínica ou consultório médico.
8. Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária:Sempre que houver uma situação que envolva a saúde de alguém ou a saúde pública, os profissionais e serviços de saúde (como clínicas e planos de saúde) e as autoridades sanitárias (como a Vigilância Sanitária e a ANVISA) poderão realizar o tratamento de dados pessoais. O tratamento, e dentre eles o compartilhamento, dos dados será possível, ainda que tenha o objetivo de lucro, mas desde que seja feito também em benefício do titular dos dados. É proibido que as operadoras de planos de saúde utilizem os dados para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.
9. Para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais:essa é a cláusula mais aberta que permite o tratamento dos dados independentemente do consentimento dos titulares. Esse fundamento possibilita que a empresa faça o tratamento dos dados de que ela dispõe para o desenvolvimento de suas atividades. A análise do legítimo interesse deve ser feita diante do caso concreto, mas a LGPD prevê duas situações que, de antemão, caracteriza como legítimo interesse: 1) apoio e promoção de atividades do controlador e 2) proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais. É importante saber que para que o tratamento de dados seja feito com esse fundamento, é necessário que o agente demonstre que o interesse dele é legítimo, que o tratamento realizado é necessário para o objetivo e que foram adotados todos os cuidados para não contrariar a LGPD ou violar qualquer direito dos titulares.
10. Proteção do crédito, inclusive quanto ao disposto na legislação pertinente:assim como na questão relativa à saúde, a LGPD reconhece que a proteção do crédito deve se sobrepor ao direito à privacidade, não em virtude dos interesses de credores ou de instituições financeiras, mas para proteger o mercado e a economia pública. Por isso instituições como o SERASA podem manter bancos de dados com diversas informações, incluindo dados pessoais, e compartilhá-los com lojistas e outras instituições, sem que para isso o titular precise concordar.