En 2003, el Congreso de los EE. UU. aprobó la Ley CAN-SPAM, estableciendo los primeros estándares nacionales para el correo comercial. Dos décadas después, sigue siendo la ley federal principal que regula el marketing por correo electrónico en Estados Unidos.
CAN-SPAM a menudo se malinterpreta. No exige permiso antes de enviar correo (a diferencia del GDPR). No prohíbe el spam. Lo que hace es establecer reglas para mensajes comerciales y otorgar a los destinatarios el derecho a dejar de recibirlos. Entender estas reglas es esencial para cualquiera que envíe correo de marketing a destinatarios en EE. UU.
What CAN-SPAM covers
CAN-SPAM se aplica a 'mensajes de correo electrónico comerciales'—correos cuyo propósito principal es anunciar o promocionar un producto o servicio comercial. Esto incluye la mayoría de los emails de marketing, boletines promocionales y prospección de ventas.
Los correos transaccionales—confirmaciones de pedido, notificaciones de envío, alertas de cuenta—están en gran medida exentos. Estos correos facilitan una transacción o relación existente. Sin embargo, si un correo transaccional contiene contenido promocional significativo, podría reclasificarse como comercial.
La ley se aplica al correo enviado a destinatarios en Estados Unidos, sin importar dónde se encuentre el remitente. Si estás enviando marketing por correo electrónico a direcciones de EE. UU., CAN-SPAM se aplica a ti.
Importante: CAN-SPAM no requiere consentimiento opt-in. Puedes enviar legalmente correo comercial a alguien que no se haya suscrito explícitamente, siempre que cumplas con los demás requisitos. Esta es una diferencia clave con el GDPR y otras normativas de privacidad.
The core requirements
CAN-SPAM tiene siete requisitos principales para el correo comercial:
Primero, no uses información de encabezado falsa o engañosa. Las direcciones 'From,' 'To,' y 'Reply-To' deben identificar con precisión al remitente. No puedes hacer que tu correo parezca provenir de otra persona.
Segundo, no uses líneas de asunto engañosas. El asunto debe reflejar con precisión el contenido del mensaje. 'Re: Tu pedido' para un correo promocional es engañoso. 'Oferta especial adentro' está bien.
Tercero, identifica el mensaje como un anuncio. La ley no especifica cómo—tienes flexibilidad en cómo lo revelas. Pero los destinatarios deben poder darse cuenta de que el correo es promocional.
Cuarto, incluye tu dirección física postal. Puede ser una dirección de calle, un apartado postal registrado con el servicio postal o un buzón privado registrado con una agencia comercial de recepción de correo. Debe ser válida.
Quinto, proporciona una forma clara de darse de baja. Todo correo comercial debe incluir un mecanismo visible y fácil de usar para que los destinatarios dejen de recibir correos tuyos. Puede ser un enlace a una página de cancelación de suscripción o una dirección de respuesta.
Sexto, atiende las solicitudes de baja con prontitud. Debes procesar las solicitudes de cancelación de suscripción dentro de 10 días hábiles. Una vez que alguien se da de baja, no puedes enviarle correo comercial (aunque el correo transaccional sigue estando permitido).
Séptimo, supervisa lo que otros hacen en tu nombre. Si contratas a una empresa para enviar correos por ti, sigues siendo legalmente responsable del cumplimiento. No puedes subcontratar tus obligaciones bajo CAN-SPAM.
Common compliance mistakes
A pesar de que CAN-SPAM tiene dos décadas, las empresas siguen cometiendo errores de cumplimiento:
Ocultar el enlace de baja es un error clásico. Algunos marketers entierran la opción de baja en texto diminuto o la hacen difícil de encontrar. La ley exige que sea 'claro y visible'. Si los destinatarios no pueden encontrarlo fácilmente, no estás en cumplimiento.
Exigir iniciar sesión para darse de baja viola el espíritu de la ley. El mecanismo de baja debe ser simple. Obligar a alguien a recordar una contraseña o navegar por un proceso complejo no es 'fácil de usar'.
Cobrar una tarifa o exigir información más allá de la dirección de correo para procesar una baja está prohibido. Puedes preguntar por qué se dan de baja, pero no puedes exigir una respuesta.
Seguir enviando correos después de una baja es una violación clara. Tus sistemas deben suprimir de forma confiable las direcciones dadas de baja. 'No recibimos la solicitud' no es una defensa.
Usar nombres de remitente engañosos atrapa a algunos marketers. 'Atención al cliente' como nombre de remitente para correo promocional es discutiblemente engañoso. Usa nombres de remitente que representen con precisión quién envía.
Enforcement and penalties
CAN-SPAM se aplica principalmente por la Federal Trade Commission (FTC), aunque otros organismos y fiscales generales estatales también pueden iniciar acciones.
Las sanciones son severas: hasta $50,120 por email en infracción (a partir de 2023, ajustado por inflación). Para una campaña de 100,000 correos, eso es potencialmente miles de millones en responsabilidad. En la práctica, las sanciones se negocian, pero aun así pueden ser sustanciales.
Se aplican sanciones penales para ciertas infracciones agravadas, como usar identidades falsas, recolectar direcciones o usar herramientas automatizadas para registrarse en cuentas de correo. Estas pueden incluir multas y prisión.
No existe acción privada bajo CAN-SPAM—los individuos no pueden demandarte directamente por infracciones. Pero pueden denunciar ante la FTC, y suficientes quejas pueden desencadenar una investigación.
Más allá de las sanciones legales, las infracciones a CAN-SPAM pueden dañar tu entregabilidad del correo. Los proveedores de correo vigilan señales de cumplimiento. Los correos sin enlaces de baja o con encabezados engañosos tienen más probabilidades de ser filtrados como spam.
CAN-SPAM vs. other regulations
CAN-SPAM es relativamente permisiva en comparación con las normativas de correo en otras jurisdicciones.
GDPR (Unión Europea) exige consentimiento explícito antes de enviar correo de marketing. No puedes enviar correo a alguien solo porque tienes su dirección—debe haberse dado de alta activamente. GDPR también otorga a las personas más derechos sobre sus datos.
CASL (Canadá) exige de forma similar consentimiento, ya sea expreso o implícito. El consentimiento implícito tiene límites y caduca. CASL se considera una de las leyes anti-spam más estrictas del mundo.
Si envías internacionalmente, debes cumplir la ley aplicable más estricta. Para la mayoría de los remitentes globales, esto implica seguir requisitos de consentimiento estilo GDPR incluso para destinatarios en EE. UU., ya que es más fácil tener un proceso único conforme que segmentar por jurisdicción.
Las leyes estatales en EE. UU. pueden agregar requisitos. La CCPA de California, por ejemplo, otorga a los residentes el derecho a saber qué datos recopilas y a optar por no venderlos. Estas interactúan con, pero no sustituyen, CAN-SPAM.
Frequently asked questions
¿Necesito permiso para enviar correo de marketing bajo CAN-SPAM?
No. CAN-SPAM no requiere consentimiento opt-in. Sin embargo, enviar a personas que no hicieron opt-in normalmente resulta en poca interacción y muchas quejas, lo que perjudica la entregabilidad. El envío basado en permiso es una buena práctica incluso si no es un requisito legal.
¿CAN-SPAM aplica al correo B2B?
Sí. CAN-SPAM aplica a todo correo comercial, ya sea B2B o B2C. Los requisitos son los mismos sin importar a quién le estés enviando.
¿Qué cuenta como una dirección física válida?
Una dirección actual, un apartado postal registrado con USPS o un buzón privado registrado con una agencia comercial de recepción de correo. Las direcciones de oficina virtual suelen calificar si pueden recibir correo.
¿Puedo escribirle a alguien que se dio de baja si luego vuelve a hacer opt-in?
Sí. Si alguien se vuelve a suscribir activamente después de darse de baja, puedes enviarle correos de nuevo. Conserva registros del nuevo opt-in en caso de disputas.