La nLPD introduce i seguenti otto cambiamenti principali per le imprese.
1. Solo i dati delle persone fisiche saranno da ora in poi coperti, e non più quelli delle persone giuridiche.
2. I dati genetici e biometrici entrano nella definizione dei dati sensibili.
3. Vengono introdotti i principi di "Privacy by Design" e di "Privacy by Default". Come indicato dal nome, il principio di "Privacy by Design" (protezione dei dati sin dalla concezione) implica che gli sviluppatori integrino la protezione e il rispetto della vita privata degli utenti nella struttura stessa del prodotto o del servizio chiamato a raccogliere i dati personali. Il principio di "Privacy by Default" (protezione dei dati per impostazione predefinita) assicura invece il livello di sicurezza più elevato dalla messa in circolazione del prodotto o del servizio, attivando automaticamente, ovvero senza intervento da parte degli utenti, tutte le misure necessarie alla protezione dei dati e alla limitazione del loro utilizzo. In altre parole, tutti i software, il materiale e i servizi devono essere configurati in modo da proteggere i dati e da rispettare la vita privata degli utenti.
4. Devono essere condotte delle analisi d’impatto, in caso si rischio elevato per la personalità o per i diritti fondamentali delle persone interessate.
5. Viene esteso il diritto di informare: la raccolta di tutti i dati personali – e non più unicamente di quelli detti sensibili – deve portare all’informazione preventiva della persona interessata.
6. Diventa obbligatorio allestire un registro delle attività di trattamento.
7. È richiesto l’annuncio rapido in caso di violazione della sicurezza dei dati, da inoltrare all’Incaricato federale per la protezione dei dati e per la trasparenza (IDT).
8. La nozione di profilazione (cioè il trattamento automatizzato dei dati personali) entra a far parte della legge.