O seu tratamento só é permitido:
• Sob controlo da autoridade pública competente, como o Ministério Público, os tribunais ou entidades policiais no âmbito das suas funções legais. Na prática, isto significa que uma instituição de investigação, como uma universidade, não pode assumir a posição de responsável pelo tratamento destes dados. Nestes casos, deve ser realizado um acordo de subcontratação entre a autoridade competente e a universidade, garantindo que esta apenas atua segundo instruções da autoridade.
• Quando o tratamento esteja previsto em lei ou regulamento, nacional ou da União Europeia, desde que sejam estabelecidas garantias adequadas para os direitos e liberdades dos titulares, tais como limites claros de finalidade, prazos definidos de conservação e medidas de segurança técnicas e organizativas robustas.