Ir para conteúdo principal

Olá! Está disponível uma avaliação gratuita dos planos Standard e Essentials. Comece grátis hoje mesmo.

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS (RGPD)

Certifique-se de que sua empresa esteja em conformidade com o RGPD

Se sua empresa lida com dados pessoais de cidadãos da UE, o RGPD se aplica a você. Nossas ferramentas podem ajudá-lo a navegar facilmente pela conformidade sem muito esforço, enquanto mantêm os dados pessoais de seus clientes seguros.

Quais recursos do Mailchimp podem ajudar?

Mantemos registros da atividade de dados

O Mailchimp pode ajudá-lo a obter o consentimento e armazenará um registro do consentimento dos seus contatos na sua conta do Mailchimp. 

Quando você usa um formulário de inscrição do Mailchimp para adicionar contatos à sua conta, o Mailchimp registra o endereço de e-mail, endereço IP e carimbo de data/hora associado a cada assinante ou contato que preenche e envia o formulário.

Protocolos adicionais

  • Garante que a nossa Política de Privacidade explique com clareza o compromisso do Mailchimp com o RGPD, seja transparente sobre o modo como usamos dados pessoais e forneça às pessoas informações sobre como elas podem exercer seus direitos de privacidade dos dados.

  • Incorpora as Cláusulas Contratuais Padrão (Standard Contractual Clauses) da UE em nosso Adendo sobre Processamento de Dados (Data Processing Addendum), que automaticamente faz parte de nossos Termos de Uso Padrão (nosso contrato com você) e se aplica aos dados de clientes protegidos pelas leis da UE.

  • Oferecemos aos nossos clientes termos prontos para o RGPD em nosso Adendo sobre Processamento de Dados e atualizamos nossos contratos com fornecedores terceiros para garantir que estejam em conformidade com o RGPD.

  • Temos um diretor de proteção de dados (DPO) para supervisionar nosso programa de conformidade. Você pode entrar em contato com nosso DPO aqui.

  • Anualmente, nós obtemos o cerificado com a Estrutura de Proteção de Privacidade UE-EUA (EU-U.S. DPF), a Extensão do Reino Unido à EU-U.S. DPF e a Estrutura de Privacidade de Dados Suíça-EUA (Swiss-U.S. DPF), conforme estabelecido pelo Departamento de Comércio dos EUA, para proteger os dados no EEE, Reino Unido e Suíça em conformidade com os Princípios da EU-U.S. DPF recém-adotados.

  • Concluímos um exame SOC 2 Tipo II anualmente para os Critérios Principais de Segurança, Integridade de Processamento, Confidencialidade e Disponibilidade.

Quais recursos do Mailchimp posso fornecer aos meus clientes?

  • Confirmação multicanal

    Os clientes só receberão comunicações suas após fornecerem consentimento para os canais de marketing individuais que você deseja usar.

  • Segurança de dados

    Implementamos controles projetados para proteger os dados pessoais de seus clientes, incluindo endereços de e-mail, contra acesso não autorizado.

  • Fácil recusa

    Os clientes podem usar os links de cancelamento de inscrição automaticamente incluídos em todos os nossos modelos de e-mail para controlar as comunicações que recebem de você.

“Os recursos de RGPD do Mailchimp foram úteis para que nós e nossos clientes pudéssemos entender e nos preparar para a maior reviravolta na legislação sobre dados em mais de 20 anos. Além disso, os formulários de inscrição compatíveis com o RGPD foram facílimos de usar.”

Alastair Thompson, Teapot Creative

Perguntas frequentes

  • Suspeitamos que você já tenha ouvido falar do RGPD. A Regulamentação Geral de Proteção de Dados (ou “RGPD”, abreviadamente) é uma lei de privacidade europeia que entrou em vigor em 25 de maio de 2018 e teve como objetivo fortalecer, harmonizar e modernizar a lei de proteção de dados da UE e melhorar os direitos e liberdades individuais, de acordo com a compreensão europeia de privacidade como um direito humano fundamental. O RGPD regula como indivíduos e organizações podem obter, usar, armazenar e compartilhar dados pessoais. Como regulamento, ele deve ser seguido em sua totalidade em toda a UE.

  • O escopo do RGPD é muito amplo. Ela se aplica a (1) todas as organizações estabelecidas na UE e (2) todas as organizações que segmentam ou monitoram indivíduos na UE. Essencialmente, isso significa que o RGPD se aplica à maioria das organizações que processam dados pessoais de indivíduos da UE, independentemente de onde a empresa esteja estabelecida e de onde ocorram suas atividades de processamento. Isso significa que o RGPD pode se aplicar a qualquer organização em qualquer lugar do mundo, em todos os setores e indústrias. Você deve realizar sua própria análise para determinar até que ponto (se houver) sua organização pode estar sujeita ao RGPD.

  • Dados pessoais são quaisquer informações relacionadas a um indivíduo identificado ou identificável; ou seja, informações que poderiam ser usadas, sozinhas ou em conjunto com outros dados, para identificar um indivíduo. Considere o alcance extremamente amplo dessa definição, que inclui não apenas informações que são comumente consideradas de natureza pessoal (por exemplo, números de previdência social, nomes, endereços físicos, endereços de e-mail), mas também dados como endereços IP, dados comportamentais, dados de localização, dados biométricos, informações financeiras e muito mais. Isso significa que, para os clientes do Mailchimp, pelo menos a maioria das informações que você coleta sobre seus contatos será considerada dados pessoais de acordo com o RGPD.

    A definição ampla abrange endereços de e-mail de trabalho contendo o nome de um indivíduo ou qualquer informação de contato comercial vinculada ou relacionada a um indivíduo, como nome, cargo, empresa, endereço comercial, número de telefone comercial etc. do indivíduo. Por outro lado, os dados pessoais não incluem nomes comerciais genéricos, endereços comerciais, endereços de e-mail genéricos ou qualquer outra informação comercial geral, desde que essas informações não tenham sido vinculadas a um indivíduo. Então, por exemplo, “John.Smith@mailchimp.com” provavelmente seria considerado “dados pessoais” regidos pelo RGPD, enquanto “contact@mailchimp.com” não.

    Também é importante observar que mesmo informações que não possam identificar um indivíduo específico por conta própria, mas que possam ser combinadas com outras informações para identificar um indivíduo (conhecidos como “dados pseudônimos”) são consideradas dados pessoais. Portanto, por exemplo, um endereço de e-mail com hash ainda será considerado dados pessoais, embora pseudonimizado.

    Dados pessoais confidenciais, como informações de saúde ou informações que revelam a origem racial ou étnica de uma pessoa, exigem ainda mais proteção. Você não deve armazenar dados dessa natureza na sua conta do Mailchimp.

  • Processamento é qualquer operação realizada em dados pessoais, seja por meios automatizados ou não. Isso inclui coletar, gravar, organizar, estruturar, armazenar, adaptar, recuperar, usar, combinar, apagar, destruir, divulgar, disseminar ou disponibilizar dados pessoais.

    Basicamente, se você estiver coletando e gerenciando quaisquer dados pessoais de indivíduos que residem fisicamente na Europa (mesmo que não sejam cidadãos), você está processando dados pessoais dentro do significado prescrito pelo RGPD. Isso significa, por exemplo, que se algum dos seus públicos do Mailchimp contiver o endereço de e-mail, nome ou outros dados pessoais de um indivíduo localizado na Europa, você estará processando dados pessoais de acordo com o RGPD.

  • Se processar dados pessoais, você o faz como controlador ou processador, e há diferentes requisitos e obrigações que se aplicarão a você, dependendo da função que desempenhar. É importante entender se você está agindo como controlador ou processador e se familiarizar com as responsabilidades que se aplicam a você.

    Um controlador é a organização que determina as finalidades e os meios de processamento. Eles tomam decisões importantes, como quais dados pessoais são coletados, para que os dados são usados, por quanto tempo são retidos e com quem são compartilhados. Um processador é uma organização que processa os dados em nome do controlador e somente sob as instruções do controlador. Isso normalmente significa que um processador não pode usar dados pessoais para qualquer outra finalidade que não seja fornecer um serviço ao controlador relevante.

    Os controladores mantêm a responsabilidade primária pela conformidade com o RGPD (incluindo, por exemplo, a obrigação de notificar as pessoas sobre o processamento, responder às pessoas que exercem seus direitos de privacidade e relatar violações de segurança às autoridades de proteção de dados); no entanto, o RGPD também coloca algumas responsabilidades diretas nos processadores.

    No contexto do Mailchimp, na maioria das circunstâncias, nosso cliente atua como o controlador. Nossos clientes, por exemplo, decidem quais informações de seus contatos são carregadas ou transferidas para sua conta do Mailchimp; direcionam o Mailchimp, por meio do nosso aplicativo, para enviar e-mails para determinados contatos em suas listas de distribuição de e-mails; e instruem o Mailchimp a colocar anúncios em seu nome em plataformas de terceiros, como Facebook ou Instagram.

    O Mailchimp atua como processador ao executar esses e outros serviços para nossos clientes. Há certos casos em que agimos como controladores, como quando processamos informações de clientes para nossos próprios fins comerciais (como gerenciamento de contas e cobrança) e para nosso projeto de análise de dados. Você pode encontrar mais informações sobre nossos projetos de análise de dados, incluindo como você pode optar por não participar da análise de dados, aqui .

  • O RGPD contém vários princípios-chave que devem ser seguidos ao processar dados pessoais para garantir a conformidade. É responsabilidade do controlador garantir a conformidade com esses princípios-chave.

    • Os dados pessoais devem ser processados de forma justa, legal e transparente: Os indivíduos devem ser informados sobre como seus dados pessoais serão usados e você nunca deve usar os dados de nenhuma forma que o indivíduo não esperaria razoavelmente. Você também deve ter uma base legal para processar dados pessoais, como com o consentimento do indivíduo, para satisfazer um contrato ou com base em seus interesses legítimos.
    • Os dados pessoais devem ser coletados para fins específicos, explícitos e legítimos: Você só deve coletar dados pessoais para cumprir objetivos específicos e não usar dados de uma forma incompatível com esses objetivos.
    • Os dados pessoais devem ser relevantes e limitados ao que é necessário: Você deve coletar apenas as informações necessárias e não coletar ou usar dados desnecessários ou redundantes.
    • Os dados pessoais devem ser precisos e mantidos atualizados: Você deve garantir que os dados que mantém sejam precisos e tomar medidas para analisar e atualizar as informações quando necessário.
    • Os dados pessoais só devem ser mantidos pelo tempo necessário: Você só deve armazenar dados pessoais pelo tempo que precisar e não deve manter dados pessoais indefinidamente ou “por precaução”.
    • Os dados pessoais devem ser mantidos seguros e protegidos: Você deve implementar medidas técnicas e organizacionais para proteger os dados pessoais de acordo com o tipo de dados que processa e os recursos e tecnologia disponíveis.

    Mais importante ainda, você deve ser capaz de demonstrar como está em conformidade com esses princípios e mostrar como é responsável.

  • O RGPD concede aos indivíduos vários direitos em relação aos seus dados pessoais. Você deve garantir que pode acomodar esses direitos se estiver processando dados pessoais de indivíduos da UE.

    • Direito de acesso: Os indivíduos têm o direito de receber certas informações sobre como seus dados foram coletados e usados e de obter uma cópia de seus dados.
    • Direito de retificação: Os indivíduos podem solicitar que seus dados sejam corrigidos ou atualizados a qualquer momento.
    • Direito de exclusão (o “direito de ser esquecido”): Em determinadas circunstâncias, os indivíduos podem solicitar que seus dados sejam totalmente excluídos.
    • Direito de retirar o consentimento: Se você obteve o consentimento de um indivíduo para processar seus dados pessoais, ele pode retirar o consentimento a qualquer momento.
    • Direito de se opor: Como alternativa, se você confiar em seus interesses legítimos para processar os dados de um indivíduo, o indivíduo pode se opor ao seu processamento e você deve parar de fazê-lo, a menos que você possa demonstrar que seus interesses substituem os interesses e direitos do indivíduo.
    • Direito de se opor ao marketing: Os indivíduos têm o direito absoluto de se opor a qualquer momento ao processamento de seus dados pessoais para fins de marketing.
    • Direito de portabilidade: Os indivíduos podem solicitar que você transfira seus dados para outra organização.

    As organizações devem responder a essas solicitações dentro de um mês ou, em casos excepcionais, dentro de três meses. Exceto o direito de se opor ao marketing (que é absoluto e, portanto, deve sempre ser cumprido), certas isenções aos direitos acima podem ser aplicadas. Portanto, todas as solicitações devem ser cuidadosamente analisadas.

  • Quando se trata de regulamentação de marketing por e-mail na Europa, o GDPR é apenas metade da história. A Europa também tem uma lei separada, a Diretiva de Privacidade e Comunicações Eletrônicas (ou Diretiva de Privacidade Eletrônica), que contém regras suplementares que regem os requisitos de consentimento para marketing eletrônico, ou seja, marketing enviado por canais de comunicação eletrônica (como telefone, fax, e-mail e SMS). Ao enviar e-marketing, essas regras de consentimento suplementar se aplicam além da necessidade de as empresas identificarem motivos de processamento legais de acordo com o RGPD.

    Simplificando, essas regras exigem o consentimento de confirmação para marketing por e-mail e SMS, a menos que os detalhes de contato de um indivíduo tenham sido coletados no contexto de uma venda e o indivíduo tenha a capacidade de optar por não participar naquele momento. Em caso afirmativo, o marketing por e-mail e SMS é possível com base na recusa (embora o marketing por e-mail e SMS de terceiros ainda exija a confirmação).

    Como a Diretiva de Privacidade Eletrônica é uma Diretiva, o que significa que ela precisa ser implementada na lei local de cada estado membro, você deve verificar a lei local do estado membro para verificar novamente os requisitos locais. Por exemplo, alguns países (como o Reino Unido) estão mais relaxados em relação ao marketing por e-mail B2B (que pode ser feito com base na recusa), enquanto outros países (como a Alemanha) têm uma exigência de confirmação dupla mais rigorosa (veja mais sobre isso abaixo).

    No entanto, o RGPD ainda é relevante porque a maioria dos endereços de e-mail será considerada dados pessoais e, portanto, também estará sujeita aos requisitos do RGPD. Em particular, quando você for obrigado a obter o consentimento de um indivíduo, deve fazê-lo de acordo com o RGPD.

  • Estamos felizes por você ter perguntado. O consentimento nem sempre é necessário para processar os dados pessoais de um indivíduo. No entanto, quando você for obrigado a obter o consentimento do indivíduo (que pode ser aplicável se você estiver realizando certo marketing por e-mail), você deve garantir a obtenção do consentimento de acordo com os requisitos rigorosos do GDPR:

    • O consentimento deve ser confirmado: Os indivíduos devem confirmar explicitamente a coleta e uso de seus dados pessoais. Isso significa que silêncio, caixas pré-marcadas e opções implícitas (ou seja, inatividade) não são válidos.
    • O consentimento deve ser informado: Isso significa que você deve fornecer informações significativas aos indivíduos sobre por que está coletando as informações e explicar claramente como planeja usá-las. Essas informações devem ser fornecidas no momento em que os indivíduos derem seu consentimento.
    • O consentimento deve ser específico: Isso significa que um consentimento separado deve ser obtido para diferentes atividades de processamento e você não deve tentar agrupar diferentes objetivos dentro de um consentimento.
    • O consentimento deve ser dado livremente: Isso significa que os indivíduos devem ter uma escolha genuína ao consentir, e seu consentimento não deve ser condicionado ao recebimento de um produto ou serviço.
    • O consentimento deve ser demonstrável: Não se esqueça de que você deve ser capaz de demonstrar que obteve o consentimento, incluindo quem consentiu, quando e quais informações foram fornecidas à pessoa no momento.

    Por fim, tenha em mente que certos países exigem consentimento de "confirmação dupla" para realizar marketing por e-mail. A confirmação dupla envolve uma etapa extra de confirmação que verifica cada endereço de e-mail. Embora isso não seja exigido pelo RGPD ou por todos os estados-membros da UE, recomendamos que você habilite a confirmação dupla ao enviar comunicações de marketing eletrônico para indivíduos da UE.

  • Sim, o GDPR contém disposições que tratam da transferência de dados pessoais de estados membros da UE para países terceiros, como os Estados Unidos. O GDPR não contém nenhum requisito específico de que os dados pessoais de indivíduos da UE sejam armazenados apenas nos estados membros da UE. Em vez disso, o GDPR exige que certas condições sejam atendidas antes que os dados pessoais sejam transferidos para fora da UE, identificando uma série de mecanismos diferentes que as organizações podem usar para realizar transferências transfronteiriças de dados: decisões de adequação, cláusulas contratuais padrão, regras corporativas vinculativas, mecanismos de certificação e códigos de conduta. O objetivo principal destes mecanismos é garantir que, quando os dados pessoais dos europeus são transferidos para o estrangeiro, a proteção acompanha os dados.

    Uma decisão de adequação é uma decisão da Comissão Europeia de que o país ou território para onde os dados pessoais estão a ser transferidos proporciona um nível de proteção adequado. Antes da decisão de 2020 que invalidava as estruturas do Escudo de Privacidade UE-EUA e Suíça-EUA, a estrutura do Escudo de Privacidade UE-EUA era um exemplo de decisão de adequação.

    A partir de 10 de julho de 2023, a Comissão Europeia adotou um novo Quadro de Privacidade de Dados (DPF) UE-EUA, garantindo adequação aos Estados Unidos. As partes anteriormente certificadas ao abrigo do Quadro do Escudo de Privacidade UE-EUA e comprometidas com a defesa dos Princípios DPF podem agora contar com esta decisão de adequação para transferir dados da UE para os EUA. Mailchimp é uma dessas empresas e continuará a proteger os dados do EEE, do Reino Unido e da Suíça em conformidade com suas obrigações de certificação.

    Além disso, o Mailchimp compromete-se contratualmente a transferir e processar todos os dados de seus usuários da UE, da Suíça e do Reino Unido em conformidade com as cláusulas contratuais padrão da UE, que permanecem um mecanismo válido de exportação de dados e que se aplicam automaticamente de acordo com o Adendo de Processamento de Dados do Mailchimp. Saiba mais sobre nossa certificação de DPF aqui.

    Se você estiver transferindo dados pessoais para outras organizações localizadas fora da UE, deverá garantir que possui um fundamento apropriado para realizar a transferência transfronteiriça de dados, como uma decisão de adequação ou cláusulas contratuais padrão aprovadas pela Comissão Europeia.

  • O RGPD da UE é um regulamento da UE e não se aplica mais ao Reino Unido. No entanto, qualquer empresa que opere dentro do Reino Unido deve cumprir a lei de proteção de dados do Reino Unido. O RGPD foi incorporado à lei de proteção de dados do Reino Unido como o RGPD do Reino Unido, portanto, na prática, há pouca mudança nos princípios, direitos e obrigações essenciais de proteção de dados encontrados no RGPD do Reino Unido.

    Além disso, lembre-se de que se você estiver baseado no Reino Unido, mas tiver como segmentar ou monitorar indivíduos da UE, ainda estará sujeito ao RGPD mesmo após o final do período de transição.

  • A não conformidade com o RGPD pode resultar em grandes penalidades financeiras. As sanções por não conformidade podem chegar a 20 milhões de euros ou 4% do faturamento anual global, o que for maior.

  • Além do fato de que você pode ser obrigado a seguir certas leis de proteção de dados com base em suas operações comerciais, a proteção de dados oferece vários benefícios. Seguir as melhores práticas de proteção de dados é especialmente importante se sua empresa lida com dados pessoais de clientes.

    O compromisso de proteger os dados dos clientes ajuda a inspirar confiança em seus clientes, o que ajuda você a mantê-los por um longo tempo e a reduzir os custos de aquisição.

    A proteção de dados também é ótima porque pode ajudar você a mudar a forma como gerencia seus dados e garantir que eles fiquem seguros, mas sempre prontamente disponíveis. A coleta e o gerenciamento adequados de dados são os pilares da proteção de dados, portanto, proteger seus dados e implementar coisas como o consentimento do RGPD podem ajudar você a melhorar o gerenciamento de dados na totalidade. Isso significa que os dados estão sempre disponíveis quando você ou seus clientes precisarem, para que as operações comerciais não sejam interrompidas.

  • Em primeiro lugar, é essencial que você siga o RGPD se for obrigado a fazê-lo com base nos dados coletados. Se a sua empresa coleta dados pessoais de qualquer pessoa na UE, o consentimento do RGPD pode ser importante para garantir que esteja coletando esses dados legalmente.

    O gerenciamento aprimorado de dados é um benefício da conformidade com o RGPD. Ao usar o consentimento do RGPD e coletar dados conforme o RGPD, você também tem a oportunidade de adotar as melhores práticas de gerenciamento de dados que talvez não tenha usado antes. E, como a conformidade com o RGPD exige que você colete, armazene e gerencie dados de uma forma específica, isso ajuda a melhorar o gerenciamento de dados por padrão. Se você já está revisando seus processos de coleta e gerenciamento de dados, pode aproveitar a oportunidade para garantir também a conformidade com o RGPD.

  • Como indivíduo, você é obrigado a manter a conformidade com o RGPD, desde que atenda aos critérios. Caso colete dados de pessoas que são residentes da UE, você deve seguir o RGPD quando se trata da coleta, armazenamento e gerenciamento desses dados pessoais. Dito isso, há certos casos em que um indivíduo não é obrigado a manter a conformidade com o RGPD, mesmo se estiver coletando dados de pessoas na UE.

    Uma das coisas mais importantes a se ter em mente é que certos tipos de coletas de dados estão isentos do RGPD. Essencialmente, você só precisa seguir as diretrizes do RGPD se estiver coletando informações pessoais de residentes da UE para fins comerciais. Outros tipos de coleta de dados não estão sujeitos às diretrizes do RGPD. Isso inclui a coleta de dados pessoais, como listas de números de telefone, endereços e outras informações destinadas ao uso pessoal ou de âmbito nacional. Dito isso, ainda é uma boa ideia manter a conformidade com o RGPD se você estiver coletando qualquer tipo de dados de residentes da UE. No mínimo, manter a conformidade com o RGPD ajudará você a garantir que seus sistemas de gerenciamento e proteção de dados estejam atualizados.

    Se você for uma pessoa física, mas não estiver coletando dados de pessoas na UE, não precisa se preocupar com a conformidade com o RGPD. No entanto, seguir as diretrizes de marketing e proteção de dados do RGPD pode ajudar a garantir que você esteja protegendo os dados privados dos clientes, contribuindo muito para aumentar a fidelidade do cliente e impulsionar a reputação da sua marca.

    Mesmo como pessoa física, é importante entender se você precisa ou não manter a conformidade com o RGPD. Você pode pensar que está coletando uma pequena quantidade de dados que não são particularmente valiosos, mas a proteção de dados é crucial ao lidar com qualquer tipo de dados pessoais.

  • O RGPD pode ser apenas uma das leis que você precisará entender para o seu negócio, especialmente se você estiver processando os dados pessoais de indivíduos fora da UE. Diferentes estados, províncias e países têm leis diferentes, portanto, os regulamentos que você deve seguir variam dependendo de suas operações comerciais e do tipo e espécie de dados que você processa.

    Por exemplo, a Califórnia tem provavelmente a lei de proteção de dados mais conhecida nos Estados Unidos, chamada Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act, CCPA). Diversos estados que não sejam a Califórnia também podem ter leis de proteção de dados cujo modelo se assemelha à CCPA ou ao RGPD. Obviamente, você ainda pode ser obrigado a manter a conformidade com o RGPD e seguir outros regulamentos se estiver operando fora dos Estados Unidos, mas a coleta de dados de clientes em determinados estados imporá requisitos adicionais aos do RGPD.

    Existe também uma lei do Canadá sobre proteção de dados chamada Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (Personal Information Protection and Electronic Documents Act, PIPEDA). Essa lei é considerada o equivalente canadense ao RGPD, portanto, manter a conformidade com a PIPEDA também é importante para muitas empresas. Assim como a conformidade com o RGPD, você deve manter a conformidade com a PIPEDA se coletar, usar ou divulgar as informações pessoais de cidadãos canadenses para fins comerciais. E, assim como nos Estados Unidos, também há leis provinciais de proteção de dados no Canadá que podem afetar sua atividade comercial

    Por fim, existem inúmeros regulamentos quando se trata de administrar uma empresa, quer você esteja administrando uma empresa on-line ou não. Por exemplo, se você tiver uma campanha de marketing por e-mail nos EUA, terá que seguir a Lei CAN-SPAM de 2003, e há leis equivalentes em muitos outros países. Se você faz muitos negócios internacionalmente, pode valer a pena conversar com um especialista sobre quais leis você deve seguir para manter os dados dos seus clientes protegidos.