A LGPD estabelece, com base na lei de Acesso à Informação, quais entes públicos estão sujeitos ao regime jurídico especial de tratamento de dados pelo Poder Público. São os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, Judiciário, Ministério Público e Cortes de Contas. Os órgãos públicos integrantes da administração indireta, tais como as autarquias, fundações públicas, empresas públicas, sociedades de economia mista e demais entidades controladas, inclusive os cartórios. O referido regime jurídico especial da LGPD é aplicável a todos os entes federados: Município, Estado, União e Distrito Federal.
Quando o Estado atua por meio de empresas públicas e sociedades de economia mista, que exploram atividades econômicas, concorrendo com empresas privadas, a LGPD prevê que o tratamento de dados pessoais será realizado seguindo o texto legal que tem como destinatários as pessoas jurídicas de direito privado e particulares. Nesse sentido, empresas como a Petrobrás, o Banco do Brasil, a Caixa Econômica Federal e o BNDES não se submetem ao regime de tratamento de dados pessoais aplicável ao Poder Público, mas devem seguir os textos legais que regulam o tratamento de dados pessoais pelas empresas privadas e particulares. Exceção a essa regra ocorre quando esses mesmos entes públicos atuam praticando políticas públicas ou em regime de monopólio. Nesse caso aplica-se o texto que dispõe sobre o tratamento de dados pelo Poder Público.
Existem áreas de atuação do Estado que não estão sujeitas à aplicação da LGPD, ou seja, não se aplica o regime público ou o regime privado da referida lei quando o tratamento de dados pessoais for realizado para fins de: a) segurança pública; b) defesa nacional; c) segurança do Estado; d) atividades de investigação e repressão de infrações penais
O regime jurídico de tratamento de dados pessoais pelo Poder Público impõe dois pressupostos aos entes do Estado que tratam os referidos dados. O primeiro é o atendimento de uma finalidade pública. O tratamento de dados pessoais não pode ser realizado em benefício próprio ou de terceira pessoa, mas deve ser realizado com finalidade pública, para execução de políticas públicas ou cumprimento de atribuições legais do serviço público, nos termos estritos da lei. O segundo pressuposto é a persecução do interesse público, que se trata da busca pela preservação dos direitos e garantias fundamentais do administrado, por ser essa a demanda do bem comum da coletividade. Não se trata de interesse da Administração Pública, mas do interesse em preservar, na maior medida do possível, os dados pessoais do cidadão. Ausentes os referidos pressupostos o tratamento de dados pessoais pelo Poder Público deverá ser considerado indevido, passível de ser interrompido imediatamente, pelo Judiciário e/ou a pedido da Autoridade Nacional de Proteção de Dados.
A lei Geral de Proteção de Dados impõe ao Poder Público uma série de obrigações específicas, a começar por reforçar o dever de transparência. Nesse sentido, o Poder Público deve: a) informar as hipóteses em que realiza o tratamento de dados pessoais; b) a previsão legal e finalidade do tratamento, de forma clara; c) tudo isso deve ser feito em veículos de fácil acesso, preferencialmente em sítios eletrônicos; d) deve indicar um encarregado de proteção de dados. Além disso a Autoridade Nacional de Proteção de Dados poderá dispor sobre as formas de publicidade das operações de tratamento de dados realizadas pelo Poder Público. Os prazos para exercícios dos direitos dos titulares de dados estão previstos na lei de Acesso à Informação, lei do Habeas Data e lei do Processo Administrativo. A ANPD pode solicitar informações do Poder Público, estabelecer normas complementares e, no caso de infração à LGPD, pode enviar informes com medidas para fazer cessar a infração. Pode também aplicar as multas previstas na regra geral da lei e, ainda, solicitar o relatório de impacto de proteção de dados.
Os dados pessoais devem ser armazenados pelo Poder Público de forma estruturada e em formato aberto, de modo a permitir seu acesso por outros órgãos ou entes públicos, inclusive mediante a integração de sistemas, desde que observadas determinadas premissas técnicas, previstas em rol taxativo: execução de políticas públicas, a prestação de serviços públicos, a descentralização da atividade pública, a disseminação e o acesso das informações pelo público em geral, respeitados os princípios previstos na lei.
É vedado ao Poder Público compartilhar dados com empresas privadas, exceto: a) em casos de execução descentralizada de atividade pública, que exija transferência de dados para fins específicos; b) nos casos em que os dados forem acessíveis publicamente, desde que não haja desvio de finalidade; c) quando houver previsão legal ou a transferência for respaldada em contrato ou convênio; d) para prevenção de fraudes e irregularidades. Excetuadas as referidas hipóteses, a transferência e/ou compartilhamento de dados depende do consentimento, com comunicação à Autoridade Nacional de Proteção de Dados.
Merece atenção especial a possibilidade de compartilhamento de dados pessoais pelo Poder Público nos casos em que os dados forem acessíveis publicamente. O acesso público aos dados pessoais não implica salvo conduto para o compartilhamento desses dados de forma indiscriminada. Isso porque o artigo 7º §3º da LGPD prevê que o tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justifiquem sua disponibilização. Ausentes esses requisitos, mesmo sendo os dados pessoais acessíveis publicamente, será necessário o consentimento do titular dos dados para a operação de tratamento, com notificação para a ANPD.