Bases legais de tratamento de dados: O tratamento de danos pessoais somente poderá ser realizado com supedâneo em uma das bases legais de tratamento previstas na LGPD. Entre outras hipóteses, o tratamento de danos pessoais é autorizado com o consentimento do titular dos dados pessoais, para fins de cumprimento de obrigação legal ou regulatória, quando necessário para a execução de contrato, ou quando necessário para atender aos interesses legítimos do controlador dos dados ou de terceiros. A decisão sobre qual base legal é utilizar deve ser registrada e documentada.
Requisitos do consentimento: A LGPD impõe requisitos específicos para o consentimento, que deve consistir em uma manifestação prévia, livre, informada e inequívoca, para um fim específico, podendo ser revogado a qualquer tempo;
Dados Sensíveis: A LGPD estabelece bases legais específicas para o tratamento de dados sensíveis, que incluem, dentre outros, informações sobre saúde, dados biométricos e/ou genéticos do titular de dados;
Direitos dos titulares de dados: A LGPD traz novos direitos aos titulares de dados, como o direito de obter informações sobre o tratamento de dados, realizar o acesso, retificação e eliminação de dados, direito à portabilidade a outro fornecer de produtos e serviços e obter a revisão de decisões automatizadas, dentre outros;
Data Protection Officer: A LGPD obriga as organizações a nomear um encarregado responsável pelo tratamento de danos pessoais, cabendo à ANPD detalhar ou isentar determinados controladores dessa obrigação;
Incidentes de dados: vazamentos de dados e incidentes de segurança devem ser notificados a ANPD e, em alguns casos, aos titulares afetados;
Privacy by design: As organizações serão obrigadas a adotar medidas de proteção de dados, a partir da criação de qualquer nova tecnologia ou produto;
Relatórios de Impactos de Privacidade: ANPD pode exigir a elaboração de relatório de impacto à privacidade em certos casos;
Transferência internacional de dados: somente é permitida nas hipóteses previstas na LGPD, que incluem, a transferência para países com grau de proteção adequado (a ser definido pela ANPD) ou por meio da utilização de cláusulas contratuais padrão, normas corporativas globais, selos e certificados e códigos de condutas aprovados pela ANPD, entre outras hipóteses;
Sanções administrativas o descumprimento da LGPD inclui advertência, obrigação de divulgação do incidente, eliminação de dados pessoais, bloqueio, suspensão e/ou proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados pessoais, multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000 (cinquenta milhões de reais) por infração;