Según el artículo 5, apartado 1, letra a) del RGPD, los datos personales “se recogerán con fines determinados, explícitos y legítimos, y no se tratarán posteriormente de manera incompatible con dichos fines”. El concepto de legitimidad no está bien definido en el RGPD, pero el Grupo de Trabajo del Artículo 29 afirmó que la legitimidad implica que los datos deben ser procesados “de conformidad con la ley”, y “ley” debe entenderse como un concepto amplio que incluye “todas las formas de derecho escrito y común, la legislación primaria y secundaria, los decretos municipales, los precedentes judiciales, los principios constitucionales, los derechos fundamentales, otros principios jurídicos, así como la jurisprudencia, ya que dicha “ley” sería interpretada y tenida en cuenta por el tribunal competente”.

Por lo tanto, es un concepto más amplio que la licitud. Implica el cumplimiento de los principales valores de la normativa aplicable y de los principales principios éticos en juego. Por ejemplo, algunos desarrollos concretos de IA necesitarán la intervención de un comité de ética. En otros casos, pueden aplicarse directrices o cualquier otro tipo de normativa blanda (soft law). Los desarrolladores de IA deben garantizar el cumplimiento adecuado de este requisito diseñando un plan en esta fase preliminar del ciclo de vida de la herramienta (véase la subsección “Legitimidad y licitud” de la sección ” Licitud, lealtad y transparencia” del capítulo “Principios”).