As informações sobre o tratamento de dados pessoais estão previstas no capítulo II da Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), e no capítulo III do Decreto nº 4.922-R/2021 (Política Estadual de Proteção de Dados Pessoais e da Privacidade do Poder Executivo Estadual - PEPD).

O dado pessoal é aquele que possibilita a identificação, direta ou indireta, da pessoa viva, como por exemplo:

- o nome e apelido;
- o endereço de uma residência;
- um endereço de correio eletrônico;
- o número de um cartão de identificação;
- dados de localização, como por exemplo, a função de dados de localização no celular;
- um endereço IP (protocolo de internet);
- testemunhos de conexão (cookies);
- o identificador de publicidade do seu telefone;
- os dados detidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca.

Dentre os dados pessoais, há aqueles que estão sujeitos a condições de tratamento específicos, ou seja, que exigem maior atenção: sobre crianças e adolescentes; e os “sensíveis”, que são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.

O tratamento de dados pessoais no âmbito do Poder Executivo Estadual deverá ser realizado para o atendimento de suas finalidades públicas, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

Em estrita observância e cumprimento de suas finalidades públicas, os agentes de tratamento poderão tratar dados pessoais, inclusive os dados pessoais sensíveis, com dispensa de consentimento dos respectivos titulares.

A execução de atividades que ultrapassem as funções públicas condiciona-se à obtenção de consentimento dos titulares dos dados pessoais, na forma do art. 8º da LGPD.

O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

- mediante o fornecimento de consentimento pelo titular;
- para o cumprimento de obrigação legal ou regulatória pelo controlador;
- pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da LGPD;
- para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
- para a proteção da vida ou da incolumidade física do titular ou de terceiro;
- para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
- para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;      
- quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades - fundamentais do titular que exijam a proteção dos dados pessoais; ou
- para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Os dados pessoais tratados no âmbito do Poder Executivo Estadual deverão:

- ser mantido em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e acesso das informações pelo público em geral, quando for o caso;

- ser compartilhados somente em razão do atendimento das finalidades específicas de execução de políticas públicas e atribuições legais pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais que orientam a execução desta Política.

Todas as operações realizadas com dados pessoais deverão ser devidamente registradas pelos agentes de tratamento que aplicarão medidas de anonimização de dados, além de adotar medidas que inviabilizem o acesso dos dados pessoais por terceiros não autorizados, sempre que necessário e nos limites técnicos e operacionais de seus serviços de tecnologia da informação.

Mediante a legislação vigente, a proteção de dados passou a ser um compromisso dos cidadãos, do governo e das empresas que utilizam esses dados.