Em 2003, o Congresso dos EUA aprovou a Lei CAN-SPAM, estabelecendo os primeiros padrões nacionais para e-mails comerciais. Duas décadas depois, continua sendo a principal lei federal que rege o marketing por e-mail nos Estados Unidos.
A CAN-SPAM é frequentemente mal compreendida. Ela não exige permissão antes de enviar e-mails (ao contrário do RGPD). Ela não proíbe spam. O que faz é estabelecer regras para mensagens comerciais e dar aos destinatários o direito de parar de recebê-las. Entender essas regras é essencial para quem envia e-mails de marketing para destinatários nos EUA.
O que a CAN-SPAM abrange
A CAN-SPAM se aplica a 'mensagens de correio eletrônico comerciais'—e-mails cujo objetivo principal é anunciar ou promover um produto ou serviço comercial. Isso inclui a maioria dos e-mails de marketing, newsletters promocionais e abordagens de vendas.
E-mails transacionais—confirmações de pedido, notificações de envio, alertas de conta—são amplamente isentos. Esses e-mails facilitam uma transação ou relacionamento existente. Contudo, se um e-mail transacional contiver conteúdo promocional significativo, ele pode ser reclassificado como comercial.
A lei se aplica a e-mails enviados a destinatários nos Estados Unidos, independentemente de onde o remetente esteja localizado. Se você está enviando e-mails de marketing para endereços nos EUA, a CAN-SPAM se aplica a você.
Importante: a CAN-SPAM não exige consentimento por opt-in. Você pode enviar legalmente e-mails comerciais para alguém que não se inscreveu explicitamente, desde que cumpra os demais requisitos. Essa é uma diferença fundamental em relação ao RGPD e a outros regulamentos de privacidade.
Os requisitos principais
A CAN-SPAM tem sete requisitos principais para e-mails comerciais:
Primeiro, não use informações de cabeçalho falsas ou enganosas. Os endereços 'De', 'Para' e 'Responder-Para' devem identificar com precisão o remetente. Você não pode fazer seu e-mail parecer que vem de outra pessoa.
Segundo, não use linhas de assunto enganosas. O assunto deve refletir com precisão o conteúdo da mensagem. 'Re: Seu pedido' para um e-mail promocional é enganoso. 'Oferta especial aqui dentro' está ok.
Terceiro, identifique a mensagem como publicidade. A lei não especifica como — você tem flexibilidade em como divulgar isso. Mas os destinatários devem conseguir perceber que o e-mail é promocional.
Quarto, inclua seu endereço físico postal. Pode ser um endereço de rua, uma caixa postal registrada no serviço postal ou uma caixa de correio privada registrada em uma agência comercial de recebimento de correspondência. Ele deve ser válido.
Quinto, forneça uma forma clara de optar pela exclusão. Todo e-mail comercial deve incluir um mecanismo visível e fácil de usar para que os destinatários parem de receber e-mails seus. Pode ser um link para uma página de cancelamento de assinatura ou um endereço de resposta.
Sexto, atenda às solicitações de opt-out prontamente. Você deve processar pedidos de cancelamento de assinatura em até 10 dias úteis. Depois que alguém optar pela exclusão, você não pode enviar e-mails comerciais para essa pessoa (embora e-mails transacionais ainda sejam permitidos).
Sétimo, monitore o que outros fazem em seu nome. Se você contratar uma empresa para enviar e-mails por você, ainda é legalmente responsável pela conformidade. Você não pode terceirizar para se livrar das obrigações da CAN-SPAM.
Erros comuns de conformidade
Apesar de a CAN-SPAM ter duas décadas, as empresas ainda cometem erros de conformidade:
Esconder o link de cancelamento é um erro clássico. Alguns profissionais de marketing ocultam o opt-out em texto minúsculo ou tornam difícil encontrá-lo. A lei exige que seja 'claro e conspícuo'. Se os destinatários não conseguem encontrá-lo facilmente, você não está em conformidade.
Exigir login para cancelar a assinatura viola o espírito da lei. O mecanismo de opt-out deve ser simples. Forçar alguém a lembrar uma senha ou navegar por um processo complexo não é 'fácil de usar'.
Cobrar uma taxa ou exigir informações além do endereço de e-mail para processar um opt-out é proibido. Você pode perguntar por que estão cancelando, mas não pode exigir uma resposta.
Continuar enviando e-mails após um opt-out é uma violação clara. Seus sistemas precisam suprimir de forma confiável os endereços que optaram pela exclusão. 'Não recebemos a solicitação' não é uma defesa.
Usar nomes de remetente enganosos pega alguns profissionais de marketing. 'Atendimento ao Cliente' como nome de remetente para e-mail promocional é, no mínimo, enganoso. Use nomes de remetente que representem com precisão quem está enviando.
Fiscalização e penalidades
A CAN-SPAM é aplicada principalmente pela Federal Trade Commission (FTC), embora outras agências e procuradores-gerais estaduais também possam mover ações.
As penalidades são severas: até US$ 50.120 por e-mail em violação (em 2023, ajustado pela inflação). Para uma campanha de 100.000 e-mails, isso representa potencialmente bilhões em responsabilidade. Na prática, as penalidades são negociadas, mas ainda podem ser substanciais.
Penalidades criminais se aplicam a determinadas violações agravadas, como usar identidades falsas, coletar endereços ou usar ferramentas automatizadas para registrar contas de e-mail. Elas podem incluir multas e prisão.
Não há direito de ação privada sob a CAN-SPAM — indivíduos não podem processá-lo diretamente por violações. Mas eles podem reclamar à FTC, e reclamações suficientes podem desencadear uma investigação.
Além das penalidades legais, violações da CAN-SPAM podem prejudicar sua entregabilidade de e-mails. Provedores de e-mail observam sinais de conformidade. E-mails sem links de cancelamento ou com cabeçalhos enganosos têm maior probabilidade de serem filtrados como spam.
CAN-SPAM vs. outras regulamentações
A CAN-SPAM é relativamente permissiva em comparação com as regulamentações de e-mail em outras jurisdições.
O RGPD (União Europeia) exige consentimento explícito antes de enviar e-mails de marketing. Você não pode enviar e-mails a alguém só porque tem o endereço — a pessoa deve ter optado ativamente por receber. O RGPD também dá aos indivíduos mais direitos sobre seus dados.
A CASL (Canadá) também exige consentimento, expresso ou implícito. O consentimento implícito tem limites e expira. A CASL é considerada uma das leis antispam mais rígidas do mundo.
Se você envia internacionalmente, precisa cumprir a lei aplicável mais rígida. Para a maioria dos remetentes globais, isso significa seguir requisitos de consentimento no estilo do RGPD mesmo para destinatários nos EUA, já que é mais fácil ter um único processo compatível do que segmentar por jurisdição.
Leis estaduais nos EUA podem adicionar requisitos. A CCPA da Califórnia, por exemplo, dá aos residentes o direito de saber quais dados você coleta e de optar pela não venda desses dados. Essas leis interagem com a CAN-SPAM, mas não a substituem.
Frequently asked questions
Preciso de permissão para enviar e-mails de marketing sob a CAN-SPAM?
Não. A CAN-SPAM não exige consentimento por opt-in. No entanto, enviar para pessoas que não optaram por receber geralmente resulta em baixo engajamento e muitas reclamações, o que prejudica a entregabilidade. Envio baseado em permissão é a melhor prática mesmo quando não é exigido por lei.
A CAN-SPAM se aplica a e-mails B2B?
Sim. A CAN-SPAM se aplica a todo e-mail comercial, seja B2B ou B2C. Os requisitos são os mesmos independentemente de quem você esteja enviando.
O que conta como um endereço físico válido?
Um endereço de rua atual, uma caixa postal registrada no USPS ou uma caixa de correio privada registrada em uma agência comercial de recebimento de correspondência. Endereços de escritório virtual normalmente se qualificam, desde que possam receber correspondência.
Posso enviar e-mails para alguém que cancelou a assinatura se essa pessoa posteriormente optar novamente por receber?
Sim. Se alguém voltar a se inscrever ativamente após optar pela exclusão, você pode enviar e-mails novamente. Mantenha registros do novo opt-in em caso de disputas.