O tratamento dos dados deve ser orientado pelos princípios da norma, e resguardados por uma das dez bases legais autorizadora, conforme prevê o Art. 7º da LGPD ( consentimento; execução de contratos; proteção ao crédito; legítimo interesse; pesquisa por órgão; processo Judicial; obrigação legal; proteção à vida; política pública; tutela da saúde) que legitimem o tratamento, de sorte que o titular do dado tenha pleno conhecimento, de quais dados são tratados, quais os fundamentos jurídico autorizam a atividade de tratamento, e ainda, a  finalidade e o tempo do tratamento; sem perder de vista a obrigatoriedade por parte das organizações de prevenção de incidentes e medidas de segurança da informação, por intermédio da efetiva implementação de controles técnico (segurança da informação) e administrativos (medidas não técnicas, tais como, política interna de privacidade e segurança da informação, código de ética e conduta, arranjos contratuais etc.).

Além da boa-fé, e o princípios já mencionados, o Art. 6º da LGPD elenca todos os princípios que devem ser observados nas atividades de tratamento de dados pessoais, são eles: finalidade; adequação; necessidade; livre acesso; qualidade dos dados; transparência; segurança; prevenção; responsabilização e prestação de contas.