I dati devono essere pertinenti e non eccedenti rispetto alle finalità per le quali sono stati raccolti. 

In pratica significa che chi tratta i dati deve limitarsi a raggiungere il fine (lecito) per il quale li ha raccolti (il fine deve essere spiegato: selezione del personale, esecuzione di un contratto, domiciliazione di merce, rimborso, informazione commerciale...

I dati devono essere distinti a seconda della loro delicatezza e inventariati.

OBBLIGO DI INFORMAZIONE

Chi effettua il trattamento deve informare esaurientemente gli interessati sulle finalità, le modalità del trattamento, sulla sua identità di titolare, sui diritti che l'interessato può esercitare ecc. (devono essere indicati tutti gli elementi richiesti dall'art. 13 del Testo Unico).Nei casi in cui è richiesto deve essere chiesto e ottenuto il CONSENSO degli interessati al trattamento. All'interessato (ovvero colui i cui dati vengono trattati) devono essere garantiti una serie di diritti riconosciuti dall'art. 7del Testo Unico. Nei casi in cui non si rientri nell’autorizzazione generale o nei casi di esclusione previsti dall'art. 37 del Testo Unico è necessario inoltre provvedere alla richiesta di AUTORIZZAZIONE  per il trattamento dei dati sensibili e giudiziari ed alla NOTIFICA al Garante.

Quali sono le misure di protezione da adottare? 

E' necessario tutelare l'integrità e la riservatezza dei dati trattati in tutte le fasi del trattamento (raccolta, registrazione, correzione, trasmissione, distruzione...) con misure fisiche (limitazione degli accessi ai locali, protezione delle aree, presenza di armadi con chiave...) logiche (antivirus, firewall...) e organizzative (nomine, sensibilizzazione del personale e dei collaboratori, procedure da seguire..).

Quanto fatto per la tutela dei dati deve essere documentato (documento programmatico sulla sicurezza).