Il principio di liceità del trattamento dei dati personali stabilisce che i dati personali devono essere trattati lealmente e lecitamente, quindi nel rispetto delle leggi, anche di quelle che regolano settori specifici.
Poggia innanzitutto sull'articolo 52 della Carta dei diritti del'Unione europea: "Eventuali limitazioni all'esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall'Unione o all'esigenza di proteggere i diritti e le libertà altrui". Fermo restando il principio di proporzionalità, le limitazioni possono essere apportate solo se sono necessarie e rispondono effettivamente a obiettivi di interesse generale riconosciuti dall'Unione o all'esigenza di tutelare i diritti e le libertà altrui.
L'art. 5 del regolamento generale europeo prescrive che i dati personali debbano essere trattati "in modo lecito, corretto e trasparente nei confronti dell’interessato". L'articolo 6 elenca le condizioni in base alle quali il trattamento è lecito (basi giuridiche del trattamento). In particolare il paragrafo 2 enumera i casi nei quali gli Stati membri possono prevedere condizioni ulteriori rispetto alla normativa europea, così introducendo un elemento di flessibilità a favore delle norme nazionali.
Conformità alla legge
Il trattamento deve basarsi su una disposizione del diritto nazionale, quindi non solo con riferimento alla normativa di settore (protezione dati personali) ma a tutte le norme vigenti (es. codive civile, Statuto dei lavoratori, ecc...). La legge deve essere accessibile alle persone interessate e prevedibile in quanto ai suoi effetti. Una norma è "prevedibile" se è formulata in maniera da consentire all'interessato di regolare il proprio comportamento.
Ad esempio, nell'ambito delle misure di controllo e sorveglianza, la CEDU ha stabilito che perché una norma sia prevedibile non occorre che l’individuo possa essere in grado di sapere quando è sottoposto a monitoraggio, quanto piuttosto è necessario che le norme riguardanti le procedure di intercettazione indichino la portata di tale potere discrezionale e siano chiare e dettagliate, in modo che i cittadini abbiano una precisa idea delle circostanze nelle quali l’autorità pubblica può ricorrere agli strumenti di sorveglianza.
Più genericamente, fermo restando che il grado di precisione della legge dipende dalla materia specifica, una norma prevedibile deve stabilire i limiti del trattamento, il tipo di informazioni trattate, le categorie di persone e le circostanze nelle quali è applicabile una misura di sorveglianza, e la procedura da seguire.