De acuerdo con la normativa, el país debe establecer un sistema de protección de datos segmentado en categorías y clases.

Los datos serán clasificados como comunes, importantes y fundamentales en función de su importancia para la seguridad nacional, los intereses públicos, y los derechos e intereses legítimos de las personas u organizaciones pertinentes, según el proyecto reglamentario.

Se impondrán diferentes medidas de protección de acuerdo con las clasificaciones.

Las entidades de procesamiento de datos deberán establecer mecanismos de respuesta de emergencia para contener el daño causado por posibles incidentes de seguridad de datos, según el borrador del documento.

En particular, el documento prohibió tomar datos biométricos, como rostro, huellas dactilares e iris, como método exclusivo de identificación personal, en un esfuerzo por frenar la recopilación coercitiva de información biométrica personal.

Las entidades procesadoras de datos no se negarán a prestar servicios ni obstaculizarán los servicios a los usuarios por haber sido rechazados en la recopilación de información personal que no sea necesaria para los servicios relacionados, según el borrador.