Una empresa de software con sede en EE. UU. aprendió sobre CASL por las malas. Habían estado enviando correos a toda su lista —incluidos suscriptores canadienses— usando el mismo enfoque de baja (opt-out) que funcionaba bajo CAN-SPAM. Luego recibieron una notificación de la Canadian Radio-television and Telecommunications Commission. La investigación tomó meses, costó honorarios legales significativos y resultó en un compromiso de cumplimiento que exigía rehacer por completo todo su programa de correo electrónico.
CASL (Canada's Anti-Spam Legislation) es una de las leyes anti-spam más estrictas del mundo. A diferencia del modelo de baja de CAN-SPAM, CASL requiere consentimiento de alta (opt-in) antes de que envíes mensajes electrónicos comerciales. Si tienes suscriptores canadienses, CASL se aplica a ti sin importar dónde esté ubicada tu empresa.
Qué cubre CASL
CASL regula los mensajes electrónicos comerciales (CEM) enviados hacia o desde Canadá. Esto incluye correo electrónico, SMS y algunos mensajes en redes sociales.
Un mensaje es "comercial" si uno de sus objetivos es fomentar la participación en una actividad comercial. Los correos de marketing obviamente califican. Pero también lo hacen los correos que promueven tu negocio incluso de forma indirecta: boletines que mencionan productos, correos transaccionales con contenido promocional, e incluso algunos mensajes de relacionamiento.
El alcance geográfico es amplio. CASL se aplica si el mensaje se envía a una dirección canadiense, se envía desde Canadá o se accede en Canadá. Si tienes suscriptores canadienses, CASL se aplica incluso si estás ubicado en otro lugar.
CASL también cubre la instalación de programas informáticos y la alteración de datos de transmisión, pero para la mayoría de los especialistas en email marketing, lo que importa son las disposiciones sobre CEM.
El requisito de consentimiento
El requisito central de CASL es obtener consentimiento antes de enviar mensajes comerciales. Esto es fundamentalmente diferente del enfoque de baja de CAN-SPAM.
El consentimiento expreso es el estándar de oro. El destinatario aceptó explícitamente recibir mensajes tuyos. Marcó una casilla, hizo clic en un botón o indicó afirmativamente su consentimiento de alguna otra forma. Tienes un registro de cuándo y cómo consintió.
El consentimiento implícito existe en circunstancias limitadas. Tienes una relación comercial existente (te compró en los últimos dos años, o hizo una consulta en los últimos seis meses). Publicó de manera visible su dirección de correo electrónico sin indicar que no desea mensajes comerciales. Te dio su tarjeta de presentación.
El consentimiento implícito es temporal y limitado. El consentimiento por relación comercial vence tras dos años sin transacciones. El consentimiento por consulta vence tras seis meses. El consentimiento por dirección publicada solo cubre mensajes relevantes para su función empresarial.
El consentimiento expreso no caduca (a menos que se retire), por lo que construir una lista con consentimiento expreso es el enfoque sostenible.
Obtención de consentimiento válido
CASL tiene requisitos específicos sobre cómo debe obtenerse el consentimiento.
El consentimiento debe ser opt-in, no opt-out. Las casillas pre-marcadas no cuentan. Términos enterrados en acuerdos extensos no cuentan. El destinatario debe realizar una acción afirmativa para consentir.
Debes identificarte claramente. La solicitud de consentimiento debe incluir tu nombre (o el nombre de la persona en cuyo nombre solicitas el consentimiento) y datos de contacto.
Debes describir el propósito. ¿Qué tipos de mensajes enviarás? "Correos de marketing" es demasiado vago. "Boletín semanal sobre desarrollo de software" es mejor.
Debes explicar cómo retirar el consentimiento. Incluso en la etapa de consentimiento, los destinatarios deben saber que pueden darse de baja más adelante.
Debes llevar registros. Documenta cuándo se obtuvo el consentimiento, cómo se obtuvo y a qué consintió la persona. Si te cuestionan, necesitas probar que tenías consentimiento válido.
Requisitos del mensaje
Incluso con consentimiento válido, CASL exige elementos específicos en cada mensaje comercial.
Identificación: El mensaje debe identificar claramente quién lo envía. Debe incluir tu nombre o razón social, junto con información de contacto (dirección postal y, ya sea, número de teléfono, correo electrónico o dirección web).
Mecanismo de baja: Cada mensaje debe incluir un mecanismo de baja que funcione. Debe ser gratuito, fácil de acceder y válido durante al menos 60 días después del envío.
Procesamiento de bajas: Debes respetar las solicitudes de baja dentro de 10 días hábiles. Una vez que alguien se da de baja, no puedes enviarle mensajes comerciales (aunque aún puedes enviar mensajes puramente transaccionales).
Estos requisitos se aplican a cada mensaje comercial, independientemente del tipo de consentimiento.
Sanciones y aplicación
Las sanciones de CASL son severas, por eso el cumplimiento importa.
Las sanciones monetarias administrativas pueden llegar a $1 millón por infracción para personas y $10 millones por infracción para empresas. "Por infracción" puede significar por mensaje, así que una campaña a miles de destinatarios podría, en teoría, resultar en una responsabilidad enorme.
La CRTC (Canadian Radio-television and Telecommunications Commission) aplica CASL. Han perseguido casos contra empresas tanto canadienses como extranjeras, resultando en sanciones que van desde miles hasta millones de dólares.
Directores y ejecutivos pueden ser responsables personalmente si dirigieron, autorizaron o participaron en infracciones. No es solo un riesgo corporativo.
El derecho de acción privada estaba planificado pero se ha suspendido indefinidamente. Actualmente, solo la CRTC puede perseguir infracciones, pero esto podría cambiar.
Los compromisos de cumplimiento son resoluciones comunes. Las empresas aceptan medidas específicas de cumplimiento, a menudo incluyendo auditorías de terceros, a cambio de sanciones reducidas. Son públicos y pueden dañar la reputación.
CASL vs CAN-SPAM
Entender las diferencias ayuda si estás acostumbrado a las reglas de EE. UU.
Modelo de consentimiento: CAN-SPAM permite opt-out (enviar hasta que se den de baja). CASL requiere opt-in (no enviar hasta que consientan). Esta es la diferencia fundamental.
Sanciones: Las sanciones de CAN-SPAM tienen un máximo de $46,517 por infracción. Las sanciones de CASL pueden llegar a $10 millones. Las apuestas son más altas bajo CASL.
Plazos de baja: CAN-SPAM exige respetar las bajas dentro de 10 días hábiles. CASL también exige 10 días hábiles. Similar aquí.
Exenciones transaccionales: Ambas leyes eximen los mensajes puramente transaccionales, pero las exenciones de CASL son más estrechas. Añadir contenido promocional a correos transaccionales es más arriesgado bajo CASL.
Si cumples con CASL, por lo general cumplirás con CAN-SPAM. Lo contrario no es cierto.
Pasos prácticos de cumplimiento
Integrar el cumplimiento de CASL en tu programa de correo electrónico requiere acciones específicas.
Segmenta tu lista por geografía. Identifica a los suscriptores canadienses para aplicar los requisitos de CASL específicamente a ellos. Si no puedes identificar la geografía, aplica los estándares de CASL a todos.
Audita tus registros de consentimiento. Para suscriptores canadienses, ¿tienes consentimiento expreso documentado? Si estás confiando en consentimiento implícito, ¿sigue siendo válido (dentro de los límites de tiempo)? Elimina suscriptores sin consentimiento válido.
Actualiza tu proceso de registro. Asegura que el consentimiento sea opt-in, te identifique claramente, describa lo que enviarás y explique cómo darse de baja. Conserva registros del consentimiento.
Revisa el contenido de tus correos. ¿Cada mensaje te identifica con la información de contacto requerida? ¿Cada mensaje tiene un mecanismo de baja que funcione?
Capacita a tu equipo. Cualquiera que participe en email marketing necesita entender los requisitos de CASL. Los errores a menudo provienen de personas que no conocen las reglas.
Considera campañas para reconfirmar el consentimiento. Si tus registros de consentimiento no están claros, pedir a los suscriptores que vuelvan a confirmar el consentimiento crea registros limpios. Perderás algunos suscriptores, pero tendrás un consentimiento defendible para los que permanezcan.
Errores comunes con CASL
Varios errores causan problemas con CASL con frecuencia.
Suponer que cumplir con CAN-SPAM es suficiente. No lo es. El requisito de opt-in de CASL es fundamentalmente diferente.
Casillas de consentimiento pre-marcadas. No generan consentimiento válido bajo CASL. El consentimiento debe ser afirmativo.
Lenguaje de consentimiento vago. "Podemos contactarte" no es lo suficientemente específico. Describe lo que realmente enviarás.
No rastrear el consentimiento. Si no puedes probar cuándo y cómo alguien consintió, efectivamente no tienes consentimiento.
Ignorar el vencimiento del consentimiento implícito. El consentimiento por relación comercial vence. Si no has tenido transacciones con alguien en dos años, el consentimiento implícito desaparece.
Añadir contenido promocional a correos transaccionales. Esto puede convertir un mensaje transaccional exento en un mensaje comercial regulado que requiere consentimiento.
Frequently asked questions
¿Se aplica CASL si no estoy en Canadá?
Sí, si envías mensajes comerciales a destinatarios canadienses. CASL se aplica según dónde estén los destinatarios, no dónde estás tú.
¿Puedo enviar correos a alguien que me dio su tarjeta de presentación?
Sí, esto crea consentimiento implícito para mensajes relevantes a su función empresarial. Pero el consentimiento implícito es limitado; el consentimiento expreso es mejor para marketing continuo.
¿Qué pasa si no puedo saber si un suscriptor es canadiense?
Si no puedes determinar la geografía, el enfoque más seguro es aplicar los estándares de CASL a todos. Esto también simplifica el cumplimiento.
¿Los correos transaccionales requieren consentimiento bajo CASL?
Los mensajes puramente transaccionales (confirmaciones de pedido, notificaciones de envío, alertas de cuenta) generalmente están exentos. Pero añadir contenido promocional puede eliminar la exención.