¿CÓMO ENTENDER ESTE PRINCIPIO?
* Las organizaciones públicas y privadas, siempre deben hacer el tratamiento de datos personales acorde a lo dispuesto en la ley, la constitución, y demás disposiciones legales que regulen el tema.                                                         * Este principio fija límites  frente a los responsables y encargados del tratamiento y garantiza los derechos de los titulares.                                                               
* El Titular tiene derecho a que sus datos sean tratados de conformidad con los límites establecidos en la ley.
* Los encargados y responsables no pueden ser sancionados por incumplimiento de deberes que no se hallen en la ley de protección de datos personales.

SANCIONES:
En principio, todas las sanciones que impone la Superintendencia de Industria y Comercio, constituyen la no observancia del principio de legalidad, debido a que no se ha garantizado eficientemente el cumplimiento del régimen normativo de protección de datos personales.

RECOMENDACIONES:
1. Capacitar a los colaboradores de la Organización, en el cumplimiento  y responsabilidades que tienen en virtud de la legislación en protección de datos personales.
2. Revisar que se atienda en los tiempos establecidos en la ley, las consultas y reclamos presentados por el titular del dato.                                                   
3. Disponer de herramientas  jurídicos, técnicas que sean efectivas y que permitan asegurar el cumplimiento de la legislación en materia de protección de datos personales.
4. Cumplir con los deberes establecidos para los Responsables y Encargados, en especial, los estipulados en el artículo 17 de la ley 1581 del 2012.    
5. Supervisar, evaluar y revisar de manera permanente el Programa de Protección de Datos Personales con el propósito de validar si esta siendo eficiente los controles adoptados y que den cuenta del cumplimiento de la legislación.