Vamos ver agora algumas das obrigações dos órgãos públicos quando atuam como controladores.

Os órgãos públicos devem garantir todos os direitos dos titulares de dados e cuidar dos dados sempre observando a boa-fé e os seguintes princípios (art. 6° da LGPD):

- finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

- adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

- necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

- livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

- qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

- transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

- segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

- prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

- não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

- responsabilização e prestação de contas: demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Os órgãos públicos devem, ainda, informar os tratamentos de dados pessoais que realizam e os dados de contato do encarregado, fornecendo informações claras e atualizadas em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.

A LGPD também determina que seja mantido registro das operações de tratamento de dados pessoais realizadas e que o controlador deve comunicar à Autoridade Nacional de Proteção de Dados e ao titular dos dados a ocorrência de incidente de segurança que possa causar risco ou dano relevante aos titulares.