Legalitat, equitat i transparència
Aquest primer principi és, possiblement, el més important. Totes les dades personals han de ser processades de manera justa i lícita, i d’una manera totalment transparent. Una organització té la responsabilitat d’informar a cada individu que recopili dades sobre com s’utilitzaran aquestes dades i a qui es transmetrà. La recollida, el tractament i la divulgació de dades s’han de fer d’acord amb la llei.
Limitació del propòsit
La recopilació de dades ha de ser per una raó declarada que sigui legal i transparent, no s’ha de processar de manera que sigui contrària a aquesta finalitat original.
Minimització de dades
Les organitzacions encarregades de recopilar dades estan obligades a assegurar-se que la informació és adequada, pertinent i no excessiva en relació amb el motiu original que es va reunir. L’objecte de les dades també té dret a accedir a qualsevol dada que tinguin sobre ells, en qualsevol format que s’emmagatzemi, tant si es tracta de notes manuscrites, de correus electrònics o de documents formals.
Precisió
Les organitzacions estan obligades a assegurar-se que les dades personals mantingudes siguin exactes i actualitzades. Això vol dir que una organització hauria de revisar la informació continguda sobre individus a intervals regulars i modificar la informació actualitzada o inexacta. Les persones tenen dret a esborrar o destruir dades inexactes sobre elles.
Limitació d’emmagatzematge
Quan les dades d’una persona han complert la seva finalitat, s’ha de suprimir o destruir, llevat que hi hagi altres motius per conservar-la. Les organitzacions haurien de tenir un procés de revisió per netejar bases de dades.
Integritat i confidencialitat
Les dades que té una organització s’han de mantenir segures. El responsable del tractament de dades té la responsabilitat de prendre mesures raonables per garantir la fiabilitat de qualsevol empleat que tingui accés a dades personals. Si un tercer s’utilitza per processar dades, l’organització ha d’assegurar-se que hi hagi un contracte amb el processador de dades que preveu mesures de seguretat adequades.