Este artigo, que foi publicado originalmente no blog da Cognism, e é o guia de Megan Bennett, Diretora de Conformidade da Cognism, para as principais regras e regulamentos de proteção de dados.
Conforme avançamos para a próxima década, países em todo o mundo estão seguindo o exemplo da UE e estabelecendo leis de conformidade de dados mais rígidas, com penalidades severas para as empresas que as violarem. Se você trabalha com B2B, é essencial saber o que pode e o que não pode ser feito com seus dados.
Mas não entre em pânico! Eu sou Megan Bennett, Diretora de Conformidade da Cognism, e este é meu guia sobre todas as tendências mais recentes em se tratando de conformidade de dados B2B.
Leis atuais de conformidade de dados
O GDPR
A lei de conformidade de dados mais conhecida, especialmente no Reino Unido, é o Regulamento Geral de Proteção de Dados, ou GDPR em inglês. Ele entrou em vigor em maio de 2018 em toda a UE e EEE.
O objetivo do GDPR era dar aos cidadãos mais controle sobre seus dados pessoais, bem como definir as maneiras como empresas devem processar e proteger os dados de seus clientes.
As regras do GDPR sobre processamento de dados pessoais se aplicam a empresas B2B. Mas ainda é possível realizar atividades de marketing, como chamadas ou e-mails frios, se for possível provar o "interesse legítimo".
As penalidades por não cumprir o GDPR são severas, com a multa máxima de €20 milhões ou 4% do faturamento mundial anual no ano anterior - o que for maior.
CASL
Em outro lugar do mundo, no Canadá, existe o CASL, sigla em inglês para Legislação Anti-Spam Canadense. O CASL diz respeito ao marketing por e-mail e aplica-se a todos os e-mails enviados a residentes canadenses como parte de atividades comerciais.
A principal característica do CASL é que os destinatários devem dar consentimento às empresas antes que estas possam enviar as mensagens. O consentimento implícito pode ser usado para enviar e-mails B2B não solicitados se o endereço de e-mail da pessoa estiver disponível publicamente (por exemplo: em sites da empresa) e não acompanhado por uma declaração que confirma que ela não deseja receber marketing por e-mail em seu endereço de e-mail comercial.
Se o endereço de e-mail da pessoa não estiver disponível publicamente, as empresas B2B devem entrar em contato apenas com clientes ou clientes potenciais que tenham dado consentimento.
Outra disposição do CASL é a de que uma opção clara de cancelamento de assinatura deve ser incluída em todas as comunicações de marketing.
As penalidades no CASL podem ser severas. As multas máximas são de US$ 1 milhão para pessoas físicas e US$10 milhões para empresas por violação.
CAN-SPAM
Nos Estados Unidos, a lei CAN-SPAM está em vigor desde 2003, regulamentando os e-mails comerciais. A lei CAN-SPAM determina que os profissionais de marketing não podem ser desonestos ao enviar mensagens eletrônicas. Ela também exige que eles forneçam uma função de cancelamento de assinatura em seus e-mails e o façam em até dez dias. Não há exceções para profissionais de marketing B2B.
A CAN-SPAM é aplicada principalmente pela FTC (Federal Trade Commission). A FTC tem o poder de impor penalidades de até US$16.000 por e-mail que viole a CAN-SPAM.
Novas e futuras leis de conformidade de dados
Com o GDPR, a UE definiu um padrão para conformidade de dados que outros estados e países agora desejam seguir.
Califórnia
Em 1º de janeiro de 2020, o California Consumer Privacy Act, ou CCPA, entrou em vigor no estado americano da Califórnia [as regulamentações finais foram aprovadas em agosto de 2020]. Aplica-se a qualquer entidade com fins lucrativos que faça negócios na Califórnia, que atenda a um dos seguintes:
- Tenha uma receita bruta superior a US$25 milhões.
- Anualmente compra, recebe, vende ou compartilha as informações pessoais de mais de 50.000 consumidores, famílias ou dispositivos para fins comerciais.
- Obtém 50% ou mais de sua receita anual com a venda de informações pessoais dos consumidores.
A lei também se aplica a qualquer entidade que:
- Controla ou é controlada por uma empresa coberta.
- Compartilha a marca comum com uma empresa coberta, como um nome compartilhado, marca de serviço ou marca registrada.
Além disso, partes do CCPA se aplicam especificamente a prestadores de serviços e terceiros. O CCPA é semelhante ao GDPR no sentido de que exige que as empresas identifiquem todas as informações pessoais que mantêm sobre seus clientes, bem como a forma como essas informações foram obtidas. Elas devem fornecer e divulgar links de cancelamento de assinatura nas comunicações da empresa, bem como excluir dados pessoais se o cliente exigir.
A atividade de marketing B2B é coberta pelo CCPA. A pena máxima aplicada pelo CCPA é de US$7.500 por violação caso esta seja considerada intencional.
Maine e Texas
Seguindo o CCPA, outros estados estão considerando introduzir suas próprias leis de privacidade de dados. No Maine, uma nova lei regula o que os provedores de banda larga podem fazer com os dados de seus clientes, incluindo seus históricos de navegação.
Ao mesmo tempo, no Texas, uma nova lei exige que as empresas notifiquem os residentes caso sofram uma violação de segurança que possa levar ao roubo de informações pessoais. Existe uma disposição semelhante no GDPR.
Brasil
No Brasil, a LGPD entrou em vigor em agosto de 2020 [o Senado brasileiro concordou com uma prorrogação até janeiro de 2021, e as sanções derivadas da lei só puderam ser aplicadas a partir de agosto de 2021]. A nova lei regulamenta as empresas que detêm dados de cidadãos brasileiros, tenham eles presença física no país ou não.
Como o GDPR, a LGPD governa como as empresas podem manter os dados de seus clientes. Esta lei não se aplica às atividades B2B. No entanto, ela é um bom exemplo de como os países estão endurecendo suas leis de privacidade de dados. A direção é no sentido de regulamentos mais rígidos em todos os lugares.
Por que as leis de conformidade de dados estão se espalhando pelo mundo
A introdução do GDPR na Europa em 2018 mostrou ao mundo que você pode legislar para proteger a privacidade de dados. Ele normalizou regras rigorosas de privacidade e proteção de dados, ao mesmo tempo em que promove as melhores práticas em comunicações de marketing.
Além disso, qualquer coisa que reduza o número de chamadas ou e-mails irrelevantes recebidos pelos consumidores será visto como uma coisa boa. Não é de se surpreender que outros países e estados também tenham sido inspirados a endurecer suas regulamentações.
A Califórnia está liderando o caminho nos EUA, embora atualmente pareça que as regras variam entre os diferentes estados. Isso dificulta que empresas B2B mantenham-se informadas. Elas precisarão empregar mecanismos de conformidade cada vez mais complexos para manterem-se atualizadas de acordo com a nova legislação. Em termos práticos, as empresas escolherão se alinhar com as leis mais rigorosas, em vez de adaptar suas políticas a cada estado.
Quais são os riscos de não conformidade?
As regras sobre proteção de dados variam de país para país e de estado para estado. O mesmo acontece com as penalidades e multas por infringi-las.
É vital que as empresas B2B mantenham-se informadas e atualizadas sobre as regulamentações que se aplicam aos setores e territórios nos quais fazem negócios. Se não o fizerem, poderão enfrentar penalidades pesadas, conforme duas empresas no Reino Unido descobriram.
Marriott International
O Information Commissioner’s Office (ICO) sinalizou sua intenção de multar o gigante dos hotéis, Marriott International em £99,2 milhões por quebrar as regras do GDPR de violação de dados. Os dados pessoais relativos a cerca de 7 milhões de cidadãos do Reino Unido foram comprometidos como parte da violação, que aconteceu em 2014, mas não foi descoberta até 2018.
Embora a violação tenha acontecido com uma empresa diferente, a Starwood, a Marriott adquiriu a Starwood em 2016. O ICO concluiu que a Marriott não fez a diligência devida em torno da aquisição da Starwood e não fez o suficiente para proteger seus sistemas.
British Airways
O ICO pretende multar a British Airways em uma quantia ainda maior: £183,39 milhões. Isso está relacionado a um incidente de crime cibernético em setembro de 2018, quando alguns usuários do site BA foram direcionados a um site fraudulento, que foi usado por criminosos para coletar dados pessoais. O ICO descobriu que a BA não fez o suficiente para proteger os dados de seus clientes.
Se essas multas assustadoras não forem suficientes para fazer você pensar sobre como sua empresa protege os dados dos clientes, eu não sei o que será!