REGULAMENTO GERAL DE PROTEÇÃO DE DADOS (RGPD)
Certifique-se de que sua empresa esteja em conformidade com o GDPR
Se a sua empresa lida com dados pessoais de cidadãos da UE, o GDPR se aplica a você. Nossas ferramentas podem ajudá-lo a navegar facilmente pela conformidade sem muito esforço, mantendo os dados pessoais de seus clientes seguros.
Quais recursos do Mailchimp podem ajudar?
-
Formulários de inscrição em conformidade com o RGPD
Nossos formulários incluem caixas de seleção para confirmação e seções editáveis que permitem que você explique como e por que está usando dados do contato.
-
Perfis de contato
Nossos perfis de contato mostram quando alguém opta por receber marketing de você, para que possa comprovar o consentimento e modificar ou remover informações pessoais sempre que precisar.
-
Configurações de confirmação dupla
Escolha entre várias configurações de confirmação, incluindo a opção de confirmação dupla. Configurações de confirmação dupla fornecem evidências adicionais de consentimento.
-
Exportar informações de contato
O Mailchimp permite que você exporte informações de contato para comprovar o consentimento e atender às solicitações de acesso.
-
Excluir informações de contato
O Mailchimp permite que você exclua permanentemente um contato e todas as informações pessoais dele, se ele solicitar ser esquecido.
-
Campos de API
Adicionamos campos de permissão de marketing à API do Mailchimp para que você possa ativar os campos do RGPD e sincronizar as permissões de marketing de contato em seus públicos.
-
Recursos de segurança adicionais
Os recursos de segurança ajudam a evitar o acesso não autorizado à sua conta e oferecem maior controle sobre seus dados.
Mantemos registros da atividade de dados
O Mailchimp pode ajudá-lo a obter consentimento e armazenará um registro do consentimento dos seus contatos na sua conta do Mailchimp.
Quando você usa um formulário de inscrição do Mailchimp para adicionar contatos à sua conta, o Mailchimp registra o endereço de e-mail, endereço IP e carimbo de data/hora associado a cada assinante ou contato que preenche e envia o formulário.
Protocolos adicionais
-
Garantimos que nossas políticas de privacidade expliquem claramente o compromisso do Mailchimp com o GDPR, sejam transparentes sobre como usamos os dados pessoais e forneçam aos indivíduos informações sobre como eles podem exercer seus direitos de privacidade de dados.
-
Incorporamos as cláusulas contratuais padrão da UE no nosso Adendo de Processamento de Dados, que automaticamente faz parte dos nossos Termos de Uso Padrão (nosso contrato com você) e se aplica aos dados do cliente protegidos pelas leis da UE.
-
Fornecemos aos nossos clientes termos prontos para GDPR em nosso Adendo de Processamento de Dados e atualizamos nossos contratos com fornecedores terceirizados para garantir que estejam em conformidade com o GDPR.
-
Temos um diretor de proteção de dados (DPO) para supervisionar nosso programa de conformidade. Você pode entrar em contato com nosso DPO aqui.
-
Anualmente, nós obtemos o cerificado com a Estrutura de Proteção de Privacidade UE-EUA (EU-U.S. DPF), a Extensão do Reino Unido à EU-U.S. DPF e a Estrutura de Privacidade de Dados Suíça-EUA (Swiss-U.S. DPF), conforme estabelecido pelo Departamento de Comércio dos EUA, para proteger os dados no EEE, Reino Unido e Suíça em conformidade com os Princípios da EU-U.S. DPF recém-adotados.
-
Concluímos anualmente um exame SOC 2 Tipo II para os Critérios Principais de Segurança, Integridade de Processamento, Confidencialidade e Disponibilidade do Trust.
Quais recursos do Mailchimp posso oferecer aos meus clientes?
-
Confirmação multicanal
Os clientes só receberão comunicações suas após fornecerem consentimento para os canais de marketing individuais que você deseja usar.
-
Segurança de dados
Implementamos controles projetados para proteger os dados pessoais de seus clientes, incluindo endereços de e-mail, contra acesso não autorizado.
-
Fácil recusa
Os clientes podem usar os links de cancelamento de inscrição automaticamente incluídos em todos os nossos modelos de e-mail para controlar as comunicações que recebem de você.
Mais sobre Mailchimp e conformidade com GDPR
Mailchimp e transferências de dados europeias
Declaração do Mailchimp sobre a decisão da DPA da Baviera de março de 2021
Declaração de privacidade global
Perguntas frequentes
-
Suspeitamos que você já ouviu falar do GDPR. O Regulamento Geral de Proteção de Dados (ou “GDPR”, abreviadamente) é uma lei europeia de privacidade que entrou em vigor em 25 de maio de 2018 e tinha como objetivo fortalecer, harmonizar e modernizar a lei de proteção de dados da UE e melhorar os direitos e liberdades individuais, consistente com a compreensão europeia da privacidade como um direito humano fundamental. O GDPR regula como indivíduos e organizações podem obter, usar, armazenar e compartilhar dados pessoais. Como regulamento, deve ser seguido na íntegra em toda a UE.
-
O escopo do GDPR é muito amplo. Aplica-se a (1) todas as organizações estabelecidas na UE e (2) todas as organizações que visam ou monitorizam indivíduos na UE. Essencialmente, isto significa que o GDPR se aplicará à maioria das organizações que processam dados pessoais de indivíduos da UE, independentemente de onde a organização esteja estabelecida e independentemente de onde as suas atividades de processamento ocorram. Isto significa que o GDPR pode ser aplicado a qualquer organização em qualquer lugar do mundo, em todos os setores e indústrias. Você deve realizar sua própria análise para determinar até que ponto (se houver) sua organização pode estar sujeita ao GDPR.
-
Dados pessoais são quaisquer informações relativas a uma pessoa singular identificada ou identificável; significando informações que podem ser usadas, isoladamente ou em conjunto com outros dados, para identificar um indivíduo. Considere o alcance extremamente amplo dessa definição – ela inclui não apenas informações que são comumente consideradas de natureza pessoal (por exemplo, números de segurança social, nomes, endereços físicos, endereços de e-mail), mas também dados como endereços IP, dados comportamentais, localização dados, dados biométricos, informações financeiras e muito mais. Isso significa que, para clientes do Mailchimp, pelo menos a maioria das informações que você coleta sobre seus contatos serão consideradas dados pessoais de acordo com o GDPR.
A definição ampla abrange endereços de e-mail comerciais contendo o nome de um indivíduo ou qualquer informação de contato comercial vinculada ou relacionada a um indivíduo, como o nome do indivíduo, cargo, empresa, endereço comercial, número de telefone comercial, etc. Por outro lado, os dados pessoais não incluem nomes comerciais genéricos, endereços comerciais, endereços de e-mail genéricos ou qualquer outra informação comercial geral, desde que essas informações não tenham sido vinculadas a um indivíduo. Então, por exemplo, “[email protected]” provavelmente seriam considerados “dados pessoais” regidos pelo GDPR, enquanto “[email protected]” não faria.
Também é importante observar que mesmo as informações que não conseguem identificar um determinado indivíduo por si só, mas que podem ser combinadas com outras informações para identificar um indivíduo (conhecidas como “dados pseudônimos”) são consideradas dados pessoais. Assim, por exemplo, um endereço de e-mail com hash ainda será considerado dado pessoal, embora pseudonimizado.
Dados pessoais sensíveis, como informações de saúde ou informações que revelem a origem racial ou étnica de uma pessoa, requerem proteção ainda maior. Você não deve armazenar dados desta natureza em sua conta do Mailchimp.
-
Tratamento é qualquer operação realizada sobre dados pessoais, por meios automatizados ou não. Isto inclui coletar, registrar, organizar, estruturar, armazenar, adaptar, recuperar, usar, combinar, apagar, destruir, divulgar, disseminar ou de outra forma disponibilizar dados pessoais.
Basicamente, se você coleta e gerencia quaisquer dados pessoais de indivíduos que residem fisicamente na Europa (mesmo que não sejam cidadãos), você está processando dados pessoais dentro do significado prescrito pelo GDPR. Isso significa, por exemplo, que se algum dos seus públicos do Mailchimp contiver o endereço de e-mail, o nome ou outros dados pessoais de um indivíduo localizado na Europa, você estará processando dados pessoais de acordo com o GDPR.
-
Se você processa dados pessoais, você o faz como controlador ou processador, e existem diferentes requisitos e obrigações que se aplicam a você dependendo da função que você desempenha. É importante compreender se você está atuando como controlador ou processador e se familiarizar com as responsabilidades que se aplicam a você.
Um controlador é a organização que determina as finalidades e os meios de processamento – eles tomam decisões importantes, como quais dados pessoais são coletados, para que servem os dados, por quanto tempo são retidos e com quem são compartilhados. Um processador é uma organização que processa os dados em nome do controlador e somente sob as instruções do controlador. Isso normalmente significa que um processador não pode usar dados pessoais para qualquer outra finalidade que não seja fornecer um serviço ao controlador relevante.
Os responsáveis pelo tratamento mantêm a responsabilidade primária pelo cumprimento do RGPD (incluindo, por exemplo, a obrigação de notificar os indivíduos sobre o processamento, responder aos indivíduos que exercem os seus direitos de privacidade e reportar violações de segurança às autoridades de proteção de dados); no entanto, o GDPR também atribui algumas responsabilidades diretas aos processadores.
No contexto do Mailchimp, na maioria das circunstâncias, nosso cliente atua como controlador. Nossos clientes, por exemplo, decidem quais informações de seus contatos serão carregadas ou transferidas para sua conta Mailchimp; direcionar o Mailchimp, por meio de nosso aplicativo, para enviar e-mails para determinados contatos em suas listas de distribuição de e-mail; e instruir o Mailchimp a colocar anúncios em seu nome em plataformas de terceiros, como Facebook ou Instagram.
Mailchimp atua como processador, realizando esses e outros serviços para nossos clientes. Há certos casos em que atuamos como controladores, como quando processamos informações de clientes para nossos próprios fins comerciais (como gerenciamento de contas e cobrança) e para nosso projeto de análise de dados. Você pode encontrar mais informações sobre nossos projetos de análise de dados, incluindo como cancelar a análise de dados, aqui.
-
O GDPR contém uma série de princípios fundamentais que devem ser seguidos ao processar dados pessoais para garantir a conformidade. É responsabilidade do controlador garantir a conformidade com esses princípios fundamentais.
- Os dados pessoais devem ser processados de forma justa, legal e transparente : Os indivíduos devem ser informados sobre como seus dados pessoais serão usados e você nunca deve usar os dados de uma forma que o indivíduo não esperaria razoavelmente. Você também deve ter uma base legal para processar dados pessoais, como com o consentimento do indivíduo, para cumprir um contrato ou com base em seus interesses legítimos.
- Os dados pessoais devem ser recolhidos para fins específicos, explícitos e legítimos : Só deve recolher dados pessoais para cumprir fins específicos e não utilizar os dados de uma forma incompatível com esses fins.
- Os dados pessoais devem ser relevantes e limitados ao necessário : Você deve coletar apenas as informações necessárias e não coletar ou usar dados desnecessários ou redundantes.
- Os dados pessoais devem ser precisos e mantidos atualizados : Você deve garantir que os dados que possui são precisos e tomar medidas para revisar e atualizar as informações quando necessário.
- Os dados pessoais só devem ser mantidos pelo tempo necessário : Você só deve armazenar dados pessoais pelo tempo que for necessário e não deve manter os dados pessoais indefinidamente ou “por precaução”.
- Os dados pessoais devem ser mantidos seguros : Você deve implementar medidas técnicas e organizacionais para proteger os dados pessoais de acordo com o tipo de dados que você processa e os recursos e tecnologia disponíveis.
Mais importante ainda, você deve ser capaz de demonstrar como cumpre esses princípios e mostrar como é responsável.
-
O GDPR confere aos indivíduos uma série de direitos em relação aos seus dados pessoais. Você deve garantir que pode acomodar esses direitos se estiver processando dados pessoais de indivíduos da UE.
- Direito de acesso : Os indivíduos têm o direito de receber determinadas informações sobre como seus dados foram coletados e usados e de obter de você uma cópia de seus dados.
- Direito à retificação : Os indivíduos podem solicitar a correção ou atualização dos seus dados a qualquer momento.
- Direito de apagamento (o “direito a ser esquecido”) : Em determinadas circunstâncias, os indivíduos podem solicitar que os seus dados sejam totalmente apagados.
- Direito de retirar o consentimento : Se você obteve o consentimento de um indivíduo para processar seus dados pessoais, ele poderá retirar esse consentimento a qualquer momento.
- Direito de oposição : Alternativamente, se você confiar em seus interesses legítimos para processar os dados de um indivíduo, o indivíduo poderá se opor ao seu processamento e você deverá parar de fazê-lo, a menos que possa demonstrar que seus interesses se sobrepõem aos interesses e direitos do indivíduo.
- Direito de oposição ao marketing : Os indivíduos têm o direito absoluto de se opor, a qualquer momento, ao processamento dos seus dados pessoais para fins de marketing.
- Direito de portabilidade : os indivíduos podem solicitar que você transfira seus dados para outra organização.
As organizações devem responder a estes pedidos no prazo de 1 mês ou, em casos excepcionais, no prazo de 3 meses. Exceto o direito de oposição à comercialização (que é absoluto e deve, portanto, ser sempre respeitado), podem aplicar-se certas isenções aos direitos acima mencionados. Todas as solicitações devem, portanto, ser cuidadosamente analisadas.
-
Quando se trata de regulamentação do marketing por email na Europa, o GDPR é apenas metade da história. A Europa também tem uma lei separada, a Diretiva de Privacidade e Comunicações Eletrônicas (ou Diretiva de Privacidade Eletrônica), que contém regras complementares que regem os requisitos de consentimento para marketing eletrônico – ou seja, marketing enviado por canais de comunicação eletrônica (como telefone, fax, e-mail). correio e SMS). Ao enviar marketing eletrónico, estas regras de consentimento suplementares aplicam-se além da necessidade de as empresas identificarem motivos de processamento legais ao abrigo do RGPD.
Simplificando, essas regras exigem consentimento para marketing por e-mail e SMS, a menos que os dados de contato de um indivíduo tenham sido coletados no contexto de uma venda e o indivíduo tenha tido a capacidade de cancelar naquele momento. Nesse caso, o marketing por e-mail e SMS primário é possível com opção de exclusão (embora o marketing por e-mail e SMS de terceiros ainda exija a aceitação).
Como a Diretiva de Privacidade Eletrônica é uma diretiva, o que significa que deve ser implementada na legislação local de cada estado membro, você deve verificar a legislação local do estado membro para verificar novamente os requisitos locais. Por exemplo, alguns países (como o Reino Unido) são mais relaxados em relação ao marketing por e-mail B2B (que pode ser feito em regime de opt-out), enquanto outros países (como a Alemanha) têm um requisito de dupla opt-in mais rigoroso (veja mais sobre isto). abaixo).
No entanto, o RGPD ainda é relevante porque a maioria dos endereços de e-mail serão considerados dados pessoais e, portanto, também sujeitos aos requisitos do RGPD. Em particular, quando for necessário obter o consentimento de um indivíduo, você deverá fazê-lo de acordo com o GDPR.
-
Estamos felizes por você ter perguntado. O consentimento nem sempre é necessário para processar os dados pessoais de um indivíduo. No entanto, quando for necessário obter o consentimento do indivíduo (o que pode ser aplicado se você estiver realizando determinado marketing por email), você deve garantir que obteve o consentimento de acordo com os requisitos estritos do GDPR:
- O consentimento deve ser opcional : os indivíduos devem aceitar explicitamente a coleta e o uso de seus dados pessoais. Isso significa que o silêncio, as caixas pré-marcadas e as opções implícitas (ou seja, inatividade) não são válidas.
- O consentimento deve ser informado : isso significa que você deve fornecer informações significativas aos indivíduos sobre o motivo pelo qual está coletando as informações e explicar claramente como planeja usá-las. Esta informação deve ser fornecida no momento em que os indivíduos dão o seu consentimento.
- O consentimento deve ser específico : isso significa que o consentimento separado deve ser obtido para diferentes atividades de processamento e você não deve tentar agrupar finalidades diferentes em um único consentimento.
- O consentimento deve ser dado livremente : Isto significa que os indivíduos devem ter uma escolha genuína ao consentir e o seu consentimento não deve estar condicionado à recepção de um produto ou serviço.
- O consentimento deve ser demonstrável : não se esqueça de que você deve ser capaz de demonstrar que obteve o consentimento, incluindo quem consentiu, quando e quais informações foram fornecidas ao indivíduo naquele momento.
Por último, tenha em mente que certos países exigem consentimento de “dupla adesão” para realizar marketing por email. A aceitação dupla envolve uma etapa extra de confirmação que verifica cada endereço de e-mail. Embora isso não seja exigido pelo GDPR ou por todos os estados membros da UE, recomendamos que você habilite a dupla aceitação ao enviar comunicações de marketing eletrônico para indivíduos da UE.
-
Sim, o GDPR contém disposições que tratam da transferência de dados pessoais de estados membros da UE para países terceiros, como os Estados Unidos. O GDPR não contém nenhum requisito específico de que os dados pessoais de indivíduos da UE sejam armazenados apenas nos estados membros da UE. Em vez disso, o GDPR exige que certas condições sejam atendidas antes que os dados pessoais sejam transferidos para fora da UE, identificando uma série de mecanismos diferentes que as organizações podem usar para realizar transferências transfronteiriças de dados: decisões de adequação, cláusulas contratuais padrão, regras corporativas vinculativas, mecanismos de certificação e códigos de conduta. O objetivo principal destes mecanismos é garantir que, quando os dados pessoais dos europeus são transferidos para o estrangeiro, a proteção acompanha os dados.
A decisão de adequação é a decisão da Comissão Europeia que indica que o país ou território onde os dados pessoais estão sendo transferidos proporciona um nível adequado de proteção. Antes da decisão que invalida as Estruturas de Privacidade de Dados da UE-EUA e Suíça-EUA de 2020, a Estrutura de Privacidade de Dados UE-EUA era um exemplo de decisão de adequação.
A partir de 10 de julho de 2023, a Comissão Europeia adotou um novo Quadro de Privacidade de Dados (DPF) UE-EUA, garantindo adequação aos Estados Unidos. As partes anteriormente certificadas ao abrigo do Quadro do Escudo de Privacidade UE-EUA e comprometidas com a defesa dos Princípios DPF podem agora contar com esta decisão de adequação para transferir dados da UE para os EUA. Mailchimp é uma dessas empresas e continuará a proteger os dados do EEE, do Reino Unido e da Suíça em conformidade com suas obrigações de certificação.
Além disso, o Mailchimp compromete-se contratualmente a transferir e processar todos os dados de seus usuários da UE, da Suíça e do Reino Unido em conformidade com as cláusulas contratuais padrão da UE, que permanecem um mecanismo válido de exportação de dados e que se aplicam automaticamente de acordo com o Adendo de Processamento de Dados do Mailchimp. Saiba mais sobre nossa certificação de DPF aqui.
Se você estiver transferindo dados pessoais para outras organizações localizadas fora da UE, deverá garantir que possui um fundamento apropriado para realizar a transferência transfronteiriça de dados, como uma decisão de adequação ou cláusulas contratuais padrão aprovadas pela Comissão Europeia.
-
O GDPR da UE é um regulamento da UE e não se aplica mais ao Reino Unido. No entanto, qualquer empresa que opere no Reino Unido deve cumprir a lei de proteção de dados do Reino Unido. O GDPR foi incorporado à lei de proteção de dados do Reino Unido como GDPR do Reino Unido – portanto, na prática, há poucas mudanças nos princípios, direitos e obrigações fundamentais de proteção de dados encontrados no GDPR do Reino Unido.
Além disso, lembre-se de que se você estiver no Reino Unido, mas tiver como alvo ou monitorar indivíduos da UE, ainda estará sujeito ao GDPR mesmo após o término do período de transição.
-
O não cumprimento do GDPR pode resultar em grandes penalidades financeiras. As sanções por incumprimento podem chegar a 20 milhões de euros ou 4% do volume de negócios anual global, o que for maior.
-
Além do fato de que você pode ser obrigado a seguir certas leis de proteção de dados com base nas suas operações comerciais, a proteção de dados oferece vários benefícios. Seguir as melhores práticas de proteção de dados é especialmente importante se sua empresa lida com dados pessoais de clientes.
O compromisso de proteger os dados dos clientes ajuda a construir a confiança de seus clientes, o que ajuda a mantê-los por perto por um longo tempo e reduz os custos de aquisição de clientes.
A proteção de dados também é excelente porque pode ajudá-lo a mudar a forma como você gerencia seus dados e garantir que eles estejam seguros, mas sempre disponíveis. A coleta e o gerenciamento adequados de dados são pilares da proteção de dados, portanto, proteger seus dados e implementar coisas como o consentimento do GDPR pode ajudá-lo a melhorar o gerenciamento de seus dados como um todo. Isso significa que os dados estarão sempre disponíveis quando você ou seus clientes precisarem deles, para que as operações comerciais não sejam interrompidas.
-
Em primeiro lugar, é essencial que você siga o GDPR, se necessário, com base nos dados coletados. Se a sua empresa coleta dados pessoais de qualquer pessoa na UE, o consentimento do GDPR pode ser uma parte importante para garantir que você está coletando esses dados legalmente.
O gerenciamento aprimorado de dados é um benefício da conformidade com o GDPR. Ao usar o consentimento do GDPR e coletar dados de acordo com o GDPR, você também terá a oportunidade de adotar práticas recomendadas de gerenciamento de dados que talvez não tenha usado antes. E como a conformidade com o GDPR exige que você colete, armazene e gerencie dados de uma maneira específica, ela ajuda a melhorar o gerenciamento de dados por padrão. Se você já está reformulando seus processos de coleta e gerenciamento de dados, aproveite a oportunidade para garantir que também esteja em conformidade com o GDPR.
-
Como indivíduo, você é obrigado a manter a conformidade com o GDPR, desde que atenda aos critérios. Contanto que você colete dados pessoais de pessoas residentes na UE, será obrigado a seguir o GDPR no que diz respeito à coleta, armazenamento e gerenciamento desses dados pessoais. Dito isto, há certos casos em que um indivíduo não é obrigado a manter a conformidade com o GDPR, mesmo que esteja coletando dados de pessoas na UE.
Uma das coisas mais importantes a ter em mente é que certos tipos de recolha de dados estão isentos do GDPR. Essencialmente, você só precisa seguir as diretrizes do GDPR se estiver coletando informações pessoais de pessoas localizadas na UE para fins comerciais. Outros tipos de coleta de dados não estão sujeitos às diretrizes do GDPR. Isso inclui a coleta de dados pessoais, como listas de números de telefone, endereços e outras informações destinadas ao uso pessoal ou doméstico. Dito isto, ainda é uma boa ideia manter a conformidade com o GDPR se você estiver coletando qualquer tipo de dados de residentes da UE. No mínimo, manter a conformidade com o GDPR ajudará você a garantir que seus sistemas de proteção e gerenciamento de dados estejam atualizados.
Se você é um indivíduo, mas não coleta dados de pessoas na UE, não precisa se preocupar com a conformidade com o GDPR. No entanto, seguir as diretrizes de marketing e proteção de dados do GDPR pode ajudá-lo a garantir a proteção dos dados privados dos clientes, o que ajuda muito a aumentar a fidelidade do cliente e a reputação da sua marca.
Mesmo como indivíduo, é importante compreender se você é ou não obrigado a manter a conformidade com o GDPR. Você pode pensar que está coletando uma pequena quantidade de dados que não são particularmente valiosos, mas a proteção de dados é crucial quando você lida com qualquer tipo de dados pessoais.
-
O GDPR pode ser apenas uma das leis que você precisa entender para o seu negócio, especialmente se estiver processando dados pessoais de indivíduos fora da UE. Diferentes estados, províncias e países têm leis diferentes, portanto, os regulamentos que você deve seguir variam dependendo de suas operações comerciais e do tipo e tipo de dados que você processa.
Por exemplo, a Califórnia tem o que pode ser a lei de proteção de dados mais conhecida nos Estados Unidos, chamada Lei de Privacidade do Consumidor da Califórnia (CCPA). Vários estados além da Califórnia também possuem leis de proteção de dados que são modeladas de forma semelhante à CCPA ou ao GDPR. É claro que você ainda poderá ser obrigado a manter a conformidade com o GDPR e seguir outras regulamentações se estiver operando fora dos Estados Unidos, mas a coleta de dados de clientes em determinados estados imporá requisitos adicionais àqueles abrangidos pelo GDPR.
Há também uma lei canadense relativa à proteção de dados chamada Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA). Esta lei é frequentemente referida como o equivalente canadense do GDPR, portanto, manter a conformidade com o PIPEDA também é importante para muitas empresas. Assim como a conformidade com o GDPR, você é obrigado a manter a conformidade com o PIPEDA se coletar, usar ou divulgar informações pessoais de cidadãos canadenses para fins comerciais. E, tal como acontece com os Estados Unidos, também existem leis provinciais de proteção de dados no Canadá que podem afetar a sua atividade empresarial
Por último, existem inúmeras regulamentações quando se trata de administrar uma empresa, esteja você administrando um negócio online ou não. Por exemplo, se você tiver uma campanha de marketing por e-mail nos EUA, deverá seguir a Lei CAN-SPAM de 2003, e existem leis equivalentes em muitos outros países. . Se você faz muitos negócios internacionalmente, vale a pena conversar com um especialista sobre quais leis você deve seguir para manter os dados de seus clientes protegidos.