Reglas y regulaciones de protección de datos B2B 2021

Este artículo, que fue publicado originalmente en el blog de Cognism, es la guía de Megan Bennett, Responsable de Cumplimiento de Cognism sobre las reglas y regulaciones clave de protección de datos.

A medida que avanzamos hacia la próxima década, los países de todo el mundo están siguiendo el ejemplo de la UE e implementando leyes de cumplimiento de datos más estrictas, con duras sanciones para las empresas que no las respeten. Si trabajas directamente con negocios (B2B), es fundamental que sepas lo que puedes y no puedes hacer con tus datos.

Pero no dejes que cunda el pánico. Soy Megan Bennett, responsable de cumplimiento de Cognism, y esta es mi guía para conocer las últimas tendencias en cumplimiento de datos B2B.

Leyes actuales de cumplimiento de datos.

El RGPD

La ley de cumplimiento de datos más conocida, especialmente en el Reino Unido, es el Reglamento general de protección de datos o RGDP. Entró en vigor en mayo de 2018 en toda la UE y el EEE.

El objetivo del RGDP era brindar a los ciudadanos un mayor control sobre sus datos personales, así como establecer formas en que las empresas deben procesar y proteger los datos que tienen de sus clientes.

Las reglas del RGPD sobre el procesamiento de datos personales se aplican a las empresas B2B. Pero estas empresas aún pueden llevar a cabo actividades de marketing como llamadas en frío o correos electrónicos, si pueden demostrar su "interés legítimo".

Las sanciones por no adherirse al RGPD son severas, con una multa máxima de 20 millones de euros o el 4 % de la facturación mundial anual del año anterior, lo que sea mayor.

CASL (Legislación antispam de Canadá)

En otras partes del mundo, como en Canadá, existe la CASL, que son las siglas de Canadian Anti-Spam Legislation (Legislación antispam de Canadá). CASL se refiere al marketing por correo electrónico y se aplica a todos los correos electrónicos enviados a residentes canadienses como parte de la actividad comercial.

La característica principal de CASL es que los destinatarios deben dar su consentimiento a las empresas antes de que les envíen un correo electrónico. El consentimiento implícito se puede utilizar para enviar correos electrónicos B2B no solicitados si la dirección de correo electrónico de la persona está disponible públicamente (por ejemplo, en los sitios web de la empresa) y no va acompañada de una declaración que confirme que no desea recibir marketing por correo electrónico en su dirección de correo electrónico comercial.

Si la dirección de correo electrónico de la persona no está disponible públicamente, las empresas B2B deben asegurarse de que solo se pongan en contacto con clientes o prospectos que hayan dado su consentimiento.

Otra disposición de CASL es que se incluya una opción clara para cancelar la suscripción en todas las comunicaciones de marketing.

Las sanciones de la legislación CASL pueden ser severas. Las multas máximas son de $1 millón para individuos y $10 millones para corporaciones por violación.

CAN-SPAM

En los EE. UU., La ley CAN-SPAM que rige los correos electrónicos comerciales ha estado en vigor desde 2003. CAN-SPAM dicta que los especialistas en marketing no pueden ser deshonestos al enviar mensajes electrónicos. También les exige que proporcionen una función de cancelación de suscripción en sus correos electrónicos y actúen en un plazo de diez días. No hay excepciones para los comercializadores B2B.

CAN-SPAM la aplicación la cumple principalmente la FTC (Comisión Federal de Comercio). La FTC tiene el poder de imponer multas de hasta $16,000 por correo electrónico que viole la CAN-SPAM.

Leyes de cumplimiento de datos nuevas y futuras

Con el RGPD, la UE estableció un estándar para el cumplimiento de datos que otros estados y países ahora quieren seguir.

California

El 1 de enero de 2020, la Ley de Privacidad del Consumidor de California, o CCPA, [entró] en vigor en el estado estadounidense de California [las regulaciones finales fueron aprobadas en agosto de 2020]. Se aplica a cualquier entidad con fines de lucro que realice negocios en California y que cumpla con uno de los siguientes requisitos:

• Tiene un ingreso bruto superior a $25 millones.
• Anualmente compra, recibe, vende o comparte la información personal de más de 50,000 consumidores, hogares o dispositivos con fines comerciales.
• Obtiene el 50 % o más de sus ingresos anuales de la venta de información personal de los consumidores.

La ley también se aplica a cualquier entidad que:

• Controla o es controlada por una empresa encubierta.
• Comparte la marca común con una empresa encubierta, como un nombre compartido, una marca de servicio o una marca comercial.

Además, partes de la CCPA se aplican específicamente a proveedores de servicios y terceros.

La CCPA es similar al RGPD ya que requiere que las empresas identifiquen toda la información personal que tienen sobre sus clientes, así como también cómo obtuvieron esa información. Deben proporcionar y dar a conocer enlaces para darse de baja en las comunicaciones de la empresa, así como eliminar los datos personales si el cliente así lo solicita.

La actividad de marketing B2B está cubierta por la CCPA, aunque las empresas B2B no tienen que cumplir con algunas partes de la ley hasta 2021. La multa máxima otorgada bajo la CCPA es de $7,500 por violación, si se determina que la violación es intencional.

Maine y Texas

A raíz de la CCPA, otros estados están considerando incorporar sus propias leyes de privacidad de datos. En Maine, una nueva ley regula lo que los proveedores de banda ancha pueden hacer con los datos de sus clientes, incluido su historial de navegación.

Al mismo tiempo, en Texas, una nueva ley requiere que las empresas notifiquen a los residentes si sufren una brecha de seguridad que podría generar al robo de información personal. Existe una disposición similar en el RGPD.

Brasil

En Brasil, la ley LGPD entrará en vigor en agosto de 2020 [El Senado brasileño acordó una prórroga hasta enero de 2021, y las sanciones derivadas de la ley solo se podrán aplicar a partir de agosto de 2021]. La nueva ley regula las empresas que poseen datos sobre ciudadanos de Brasil, tengan presencia física allí o no.

Al igual que el RGPD, la LGPD rige cómo las empresas pueden mantener los datos de sus clientes. Esta ley no aplica para actividades B2B. Sin embargo, es un buen ejemplo de cómo los países están siendo más estrictos con sus leyes de privacidad de datos. La tendencia es hacia regulaciones más estrictas en todas partes.

Por qué las leyes de cumplimiento de datos se están extendiendo por todo el mundo

La introducción del RGPD en Europa en 2018 mostró al mundo que se puede legislar para proteger la privacidad de los datos. Ha normalizado reglas estrictas de privacidad y protección de datos, al tiempo que promueve las mejores prácticas en comunicaciones de marketing.

Además, cualquier cosa que reduzca la cantidad de llamadas o correos electrónicos irrelevantes recibidos por los consumidores se considerará como algo bueno. No es de extrañar, entonces, que otros países y estados también se hayan inspirado para incorporar regulaciones más estrictas.

California está liderando el camino en los EE. UU., aunque actualmente parece que las reglas variarán entre los estados individuales. Esto hace que sea muy difícil para las empresas B2B realizar un seguimiento de todo. Tendrán que emplear mecanismos de cumplimiento cada vez más complejos para mantenerse al tanto de la nueva legislación. En términos prácticos, las empresas optarán por alinearse con las leyes más estrictas, en lugar de adaptar sus políticas a todos los estados.

¿Cuáles son los riesgos del incumplimiento?

Las reglas sobre protección de datos varían de un país a otro y de un estado a otro. Así también las sanciones y multas por no cumplirlas.

Es vital que las empresas B2B se mantengan informadas y actualizadas sobre las regulaciones que se aplican a sus industrias y los territorios en los que hacen negocios. Si no lo haces, podrías enfrentarte a fuertes sanciones, como les ocurrió a dos empresas en el Reino Unido que están descubriendo el costo.

Marriott International

La Oficina del Comisionado de Información (ICO) señaló su intención de multar al gigante de los hoteles, Marriott International, con 99.2 millones de libras esterlinas por infringir las reglas del RGPD en torno a una violación de datos. Los datos personales relacionados con alrededor de 7 millones de ciudadanos del Reino Unido se vieron comprometidos como parte de la violación, que ocurrió en 2014 pero no se descubrió hasta 2018.

Si bien la violación le sucedió a una empresa diferente, Starwood, Marriott adquirió Starwood en 2016. La ICO descubrió que Marriott no hizo la debida diligencia en torno a la adquisición de Starwood y no había hecho lo suficiente para proteger sus sistemas.

British Airways

La ICO tiene la intención de multar a British Airways con una cantidad aún mayor: 183.39 millones de libras esterlinas. Esto a raíz de un incidente de delito cibernético en septiembre de 2018, en el que algunos visitantes del sitio de BA fueron dirigidos a un sitio espejo fraudulento, que fue utilizado por delincuentes para recopilar datos personales. La ICO descubrió que BA no había hecho lo suficiente para proteger los datos de sus clientes.

Si esas multas deslumbrantes no son suficientes para que pienses en cómo tu empresa protege los datos de los clientes, ¡no sé qué lo hará!