La normativa de protecció de dades estableix alguns principis que sempre caldrà tenir en compte a l’hora de tractar dades personals:

• La minimització i limitació en l’obtenció de dades. Les dades que es recullin han de ser les mínimes, evitant sempre demanar dades que siguin innecessàries. Així doncs, les dades que s’obtenen han d’anar relacionades amb la finalitat de l’obtenció de les dades, sense que aquestes es puguin utilitzar per finalitats diferents d’aquelles per a les quals s’han obtingut.
• L’exactitud de dades. Estableix que a l’organització responsable del tractament de dades no se li podrà imputar la inexactitud de les dades que tracti pels fins pels quals van ser recollides, sempre que hagi adoptat totes les mesures raonables perquè es suprimeixin o rectifiquin sense dilació.
• El deure de confidencialitat. Qui és responsable del tractament de les dades i tota persona que intervingui en qualsevol de les fases del tractament estarà subjecta al deure de confidencialitat, evitant que tercers/es en el tractament hi puguin accedir. Aquest deure és addicional al de secret professional, de conformitat amb la seva normativa aplicable.
• La transparència. Caldrà informar sempre de qui recull les dades, quin és el tractament que se’n farà i quines són les finalitats de l’obtenció de les dades.
• Limitació en la conservació de les dades. Les dades no es poden guardar indefinidament. Un cop ha finalitzat l’ús pel qual es conservaven les dades i quan no hi hagi una obligació legal de mantenir aquestes dades, s’haurà d’establir un protocol d’eliminació o cancel·lació d'aquestes.

Les persones titulars de les dades personals poden exercir drets davant el tractament d'aquestes. Aquests drets són personalíssims, per tant, només els pot exercir la persona interessada o, si s’escau, terceres específicament autoritzades.

Cal destacar que la definició dels drets es troba, essencialment, a la normativa de la Unió Europea. Es poden recollir les següents:

• Dret d’accés. Es defineix com el dret que té qualsevol interessat/interessada en conèixer quines dades personals tenen les empreses, organitzacions o administracions que tracten dades, i quin ús n’estan fent.
• Dret de rectificació. És el dret que permet demanar que modifiquin les dades personals inexactes.
• Dret d’oposició. Les persones titulars de les dades es poden oposar a què es faci un tractament concret d'aquestes. Des del moment d’oposar-se, el/la responsable del tractament s’haurà d’abstenir d’utilitzar aquestes dades excepte que concorri una causa legítima per continuar fent el tractament.
• Dret de supressió, també anomenat dret a l’oblit. Aquest dret permet que la persona interessada sol·liciti l’eliminació d’aquelles dades personals que ja no siguin necessàries per complir l’objectiu pel qual van ser recollides. Sempre s’haurà d’exercir dins els límits fixats a la llei i sempre que no hi hagi una necessitat de mantenir les dades. Cal destacar que la concreció d’aquest dret s’ha aconseguit, en gran part, mitjançant la jurisprudència del Tribunal de Justícia de la Unió Europea.
• Dret a la portabilitat. A través d’aquest dret es pot demanar que una organització concreta, especialment prestadora d’un servei o subministrament, traslladi les dades a una altra organització o les faci arribar en un format electrònic que permeti trametre-les. Aquest seria el cas de canvi de companyia prestadora d’un subministrament, quan aquesta trasllada automàticament les dades d’un client/a, o bé quan fan arribar un fitxer electrònic que permet un ràpid canvi de companyia.
• Dret a la limitació del tractament. Exercint aquest dret es pot limitar el tractament que una organització realitza de les dades personals.
• Dret a la retirada del consentiment. En aquells casos que l’obtenció de les dades personals ha estat mitjançant consentiment, aquest consentiment es pot retirar en qualsevol moment, dins els límits que imposa la legislació vigent.

Qualsevol persona titular de les dades ha de poder exercir aquests drets mitjançant un procediment fàcil, ràpid i gratuït. En cas que no es respongui la petició d’exercici d’aquests drets, la persona interessada podrà interposar una reclamació davant l’autoritat competent, és a dir, davant l’Agència Espanyola de Protecció de Dades o, a Catalunya, també davant l’Autoritat Catalana de Protecció de Dades.