A proposta foi inspirada na regulamentação europeia (GDPR). Até a última versão divulgada, o texto da nova lei estabelece 10 bases legais para legitimação do tratamento de dados pessoais e garante direitos aos titulares dos dados como: acesso, correção, eliminação, portabilidade e revogação do consentimento. Desta forma, empodera o consumidor e garante a indenização na ocorrência de danos causados ao titular. A Lei 13.709/18 estabelece que dado pessoal é toda informação relacionada a pessoa natural “identificada” ou “identificável” e determina que o tratamento desses dados deve considerar os 10 princípios de privacidade descritos na lei. Ao segui-los as organizações demonstrarão que os dados pessoais coletados são necessários, mínimos, corretos, de qualidade, atendem uma finalidade de negócio válida dentre outras características. As empresas deverão garantir a segurança dos dados pessoais tratados e comunicar incidentes de segurança da informação ao órgão regulador, sendo que, dependendo do incidente, o titular dos dados também deverá ser comunicado. Outra mudança significativa é quanto ao tratamento de dados pessoais de crianças e adolescentes que exigirão atenção especial, como por exemplo, a obtenção de consentimento de um dos pais antes da coleta dos dados.