O tratamento de dados pessoais cujo acesso deve ser público, deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização, podendo ocorrer mediante as seguintes hipóteses legais:
- sob consentimento do titular, o que pode ser feito por meio de documento assinado pelo titular anexado ao processo
- para cumprimento de obrigação legal ou regulatória pelo controlador, nos casos em que a lei ou normativa admite tal hipótese;
- pela administração pública, para tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
- para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- quando necessário para execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular;
- para exercício regular de direitos em processo judicial, administrativo ou arbitral (Lei nº 9.307/1996);
- para proteção da vida ou da incolumidade física do titular ou de terceiro;
- para tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- quando necessário para atender interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
- para proteção do crédito.
Tratamento de Dados pelo Poder Público
No caso dos Órgãos Públicos, o tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para atendimento de finalidade pública, para interesse público, com objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
- sejam informadas as hipóteses para o tratamento, previsão legal, finalidade, procedimentos e práticas, em veículos de fácil acesso, preferencialmente sítios eletrônicos, o que já é realizado dentro do SEI, durante a criação de processos e documentos;
- Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, devendo atender a finalidades de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados;
- É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado;
- A comunicação ou o uso compartilhado será informado à autoridade nacional e dependerá de consentimento do titular, exceto nos casos previsto nesta lei;
- A autoridade nacional poderá solicitar aos órgãos e às entidades do poder público operações e informações sobre tratamento de dados pessoais, e poderá emitir parecer técnico para garantir o cumprimento desta Lei.
O tratamento de dados pessoais também pode ser necessário em documentos com publicidade obrigatória, tais como contratos, convênios, acordos, termos de compromisso etc.