O fato de constarem de bancos de dados públicos, como sítes de instituições públicas ou o Diário Oficial, não torna pública a natureza destas informações que, sendo relativas a pessoa natural identificada, ou identificável (dados pessoais), permanecem como uma projeção da personalidade da pessoa a que se referem, que tem legalmente assegurada a titularidade sobre os seus dados pessoais (art. 17, LGPD).

A disponibilização dos dados pessoais pelo Poder Público, quando cabível, tem sempre uma finalidade específica, de atendimento a um determinado interesse público, não tendo o condão de conversão destes dados naquilo a que o Direito denomina “res nullius” (coisa de ninguém). Logo, a publicação levada a efeito pelo Poder Público não corresponde a uma autorização de uso dos dados por terceiros (sequer haveria legitimidade para tal propósito, uma vez que não é a Administração Pública a titular dos dados).

Nem mesmo quando os dados são publicizados pelo próprio titular há permissão para a sua livre utilização por terceiros. Dispõe a Lei (art. 7º, §4º, LGPD) que o tratamento de dados tornados manifestamente públicos pelo próprio titular apenas dispensa a obtenção dos seu consentimento, mas permanecem os deveres de assegurar os direitos dos respectivos titulares e de aplicação dos princípios que norteiam a atividade de tratamento de dados, o que, em última instância, indica que o tratamento deve ser realizado nos termos da LGPD.

O tratamento dos dados coletados em banco de dados público, portanto, sujeita-se à indicação de uma base legal e de finalidade legítima, específica e informada ao titular, bem como à minimização de dados, ou seja, à utilização apenas daqueles adequados e estritamente necessários e suficientes para se alcançar a finalidade legítima pretendida. Toda a operação de tratamento de dados deve estar imbuída de boa fé e transparência.

É preciso também implementar mecanismos que possibilitem ao titular dos dados exercer os direitos assegurados no art. 18 da LGPD, como os de acesso aos dados e retificação daqueles eventualmente incompletos, inexatos ou desatualizados; eliminação dos dados em excesso ou tratados em desconformidade com a Lei; portabilidade; revogação do consentimento, com a eliminação dos dados, dentre outros.

O titular dos dados tem ainda o direito de acesso facilitado às informações relativas ao tratamento dos seus dados de forma clara, adequada e ostensiva (art. 9º, LGPD). Diferentemente daqueles direitos arrolados no art. 18, que são atendidos mediante um requerimento do titular, tem-se aqui um dever de informação ao titular dos dados que deve ser promovido por iniciativa do responsável pelo tratamento (controlador). A lei apresenta um rol não exaustivo das informações a serem franqueadas, como a finalidade, a forma e a duração do tratamento de dados; a identidade do controlador e um canal de contato; se há compartilhamento dos dados com outrem, para quais finalidades e quais as responsabilidades de cada agente de tratamento de dados envolvido na operação; os direitos do titular, elencados no art. 18, como o de se opor ao tratamento de dados.

Quando o tratamento de dados se baseia no consentimento, estas informações são prestadas previamente – muitas empresas utilizam a política de privacidade para este fim. Mas o tratamento de dados sob base legal diversa, nomeadamente quando os dados são coletados sem o conhecimento do titular, exige a iniciativa do controlador para a comunicação ao titular de que utiliza os seus dados e de que forma eles são tratados.

A mera coleta da informação constitui já uma operação de tratamento de dados pessoais. 

Logo, a utilização dos dados disponibilizados em bancos públicos de dados, para que seja lícita, deve atender às diversas disposições da LGPD.