o tratamento de dados pessoais pelas pessoas jurídicas de direito público e privado referidas na Lei de Acesso à Informação poderá ser realizado para o atendimento de sua finalidade pública ou particular

os vazamentos individuais ou os acessos não autorizados a dados não poderão ser objeto de conciliação direta entre controlador e titular sendo o controlador sujeito de forma automática à aplicação das penalidades.

a transferência internacional de dados pessoais é proibida para países ou organismos internacionais, para cláusulas-padrão contratuais e cooperação jurídica internacional entre órgãos públicos de inteligência e investigação.

os agentes de tratamento devem adotar medidas de segurança para proteger os dados pessoais de acessos não autorizados, não sendo responsabilizados por situações acidentais ou ilícitas de destruição, perda e alteração.

o tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.