A Lei Geral de Proteção de Dados (Lei 13.709/2018), conhecida como LGPD, regula como organizações tratam dados pessoais no Brasil. Define princípios (finalidade, necessidade, transparência), bases legais para o tratamento, direitos do titular e obrigações do controlador e do operador.
Para o setor público, a LGPD aplica-se integralmente — com bases legais específicas, como execução de políticas públicas e cumprimento de obrigação legal. Não há isenção pelo fato de ser ente público; há adaptação de bases legais ao interesse público.
A fiscalização cabe à ANPD, que pode aplicar advertência, multa e outras sanções administrativas. A jurisprudência ainda está em formação, mas a tendência é de fiscalização crescente.