Para que se possa realizar o tratamento de dados pessoais é preciso que seja definida a finalidade específica do uso dos dados. Essa finalidade deve ser informada ao titular e só é permitida a utilização dos dados necessários e suficientes para atingir a finalidade.

Todo o tratamento deve ser adequado à finalidade informada e deve se limitar ao mínimo necessário para alcançar esse fim.

Além disso, é preciso que o tratamento se enquadre em alguma das hipóteses legais do art. 7° da Lei 13.709/2018, como, por exemplo:

- cumprimento de obrigação legal ou regulatória pelo controlador;

- execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

- exercício regular de direitos em processo judicial ou administrativo;

- proteção da vida;

- atendimento dos interesses legítimos do controlador; ou

- por fornecimento de consentimento pelo titular.

No que diz respeito aos órgãos públicos, a LGPD prevê ainda que o tratamento de dados pessoais deverá ser realizado para o atendimento de sua finalidade pública, sempre na busca do interesse público e com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

Os órgãos públicos devem sempre ser transparentes quanto ao tratamento de dados pessoais e fornecer informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades.

Vale lembrar que, salvo nos casos previstos no artigo 26 da LGPD, é vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso.