El cumplimiento del correo electrónico es uno de esos temas que la gente ignora hasta que les cuesta dinero. Y puede costar mucho dinero.
El entorno regulatorio del marketing por correo electrónico varía drásticamente según el país. Lo que es perfectamente legal en EE. UU. puede acarrear multas enormes en Canadá o Australia. Si envías a nivel internacional, como hace la mayoría de las empresas, necesitas entender las reglas de cada jurisdicción donde viven tus suscriptores.
Esto no se trata solo de evitar multas. El cumplimiento genera confianza. Y en una era en la que los consumidores son más conscientes de la privacidad que nunca, la confianza se traduce directamente en participación y revenue.
Este capítulo cubre las principales regulaciones, los pasos prácticos para mantenerse en cumplimiento y los requisitos técnicos emergentes que afectan a todo remitente.
GDPR (UE)
El Reglamento General de Protección de Datos sigue siendo la ley de privacidad de correo electrónico más estricta e influyente a nivel mundial. Si tienes suscriptores de la UE, el GDPR te aplica, independientemente de dónde esté ubicado tu negocio.
El consentimiento bajo el GDPR debe ser libremente otorgado, específico, informado e inequívoco. Eso es un listón alto. Las casillas premarcadas no cuentan. El consentimiento agrupado ("regístrate y acepta el marketing") no cuenta a menos que el consentimiento de marketing esté separado del registro del servicio. El silencio no cuenta. La inactividad no cuenta.
Debes decirle a la gente exactamente para qué se está suscribiendo. "Suscríbete a nuestro boletín" es aceptable. "Al crear una cuenta aceptas recibir comunicaciones promocionales" enterrado en el párrafo 47 de tus términos de servicio no lo es.
El derecho al olvido significa que debes eliminar los datos de alguien "sin demoras indebidas" cuando lo soliciten. En la práctica, eso significa dentro de 30 días. Esto incluye todos los datos personales en todos tus sistemas, no solo tu ESP. Datos de CRM, historial de compras vinculado a su correo electrónico, datos analíticos, todo. Desarrolla un proceso documentado para gestionar estas solicitudes antes de recibirlas, porque las recibirás.
La protección de datos desde el diseño y por defecto significa que debes construir tus sistemas teniendo en cuenta la privacidad desde el principio, no agregarla después. Recopila solo lo que necesitas. Almacénalo de forma segura. Elimínalo cuando ya no sea necesario.
Para los registros de consentimiento, mantén la documentación durante 3 a 7 años después de tu último envío a ese suscriptor. Registra cuándo dieron su consentimiento, cómo lo dieron, para qué lo dieron y qué información se les presentó en ese momento. Si un regulador pregunta, debes demostrar que el consentimiento fue válido. Las capturas de pantalla de tus formularios de registro en el momento del consentimiento, con marca de tiempo y archivadas, son tu mejor defensa.
Renueva el consentimiento cada 2 años. Envía una campaña de re-permiso a los suscriptores de los que no has tenido noticias en 24 meses. Los que vuelvan a confirmar están genuinamente interesados. Los que no lo hagan deben eliminarse. Es mejor tener una lista más pequeña y conforme que una grande y jurídicamente cuestionable.
Las multas por GDPR pueden llegar al 4% de la facturación global anual o 20 millones de euros, lo que sea mayor. Se han emitido multas importantes en todos los sectores. No es un riesgo teórico.
CAN-SPAM (EE. UU.)
CAN-SPAM es la regulación principal de correo electrónico más permisiva. También es la más malentendida.
Las reglas clave son sencillas. No uses encabezados, nombres de remitente ni líneas de asunto engañosas. Tu nombre "De:" debe representar con precisión quién envía el correo electrónico. La línea de asunto no debe ser engañosa sobre el contenido del mensaje. "Re: Tu pedido" cuando no hubo ningún pedido es una infracción.
Cada correo electrónico comercial debe incluir una dirección postal física. Se acepta un apartado de correos o una dirección de oficina virtual. No necesitas publicar tu dirección particular. Servicios como Earth Class Mail o iPostal1 ofrecen direcciones comerciales virtuales que satisfacen este requisito por menos de $15 al mes.
Debes respetar las solicitudes de exclusión voluntaria en un plazo de 10 días hábiles. Tu mecanismo de cancelación de suscripción debe seguir funcionando durante al menos 30 días después de que se envíe el correo electrónico. No hagas que la gente tenga que iniciar sesión para darse de baja. No cobres una tarifa. No les exijas que proporcionen más información que su dirección de correo electrónico. No les hagas hacer clic en cinco páginas para completar el proceso.
Aquí está la parte que la mayoría de la gente entiende mal: CAN-SPAM técnicamente te permite enviar correos a cualquier persona que no se haya dado de baja. No necesitas consentimiento previo. Pero "legalmente permitido" y "buena idea" son cosas distintas. Enviar correos a personas que no han pedido saber de ti destruye tu reputación del remitente, genera quejas y hunde la entregabilidad de correo electrónico. Solo porque puedas hacerlo no significa que debas.
Las infracciones conllevan sanciones de hasta $51,744 por correo electrónico. Eso es por correo electrónico individual, no por campaña. Una campaña a 10,000 personas podría teóricamente resultar en más de $500 millones en multas. Rara vez llega a ese nivel, pero la FTC ha perseguido casos que resultaron en millones en sanciones.
El estado de Washington tiene una capa adicional: $500 por destinatario por líneas de asunto engañosas. Si envías correos a residentes de Washington (y probablemente lo haces), tus líneas de asunto deben ser precisas.
CASL (Canadá)
La Ley Canadiense Anti-Spam es significativamente más estricta que CAN-SPAM. Si tienes suscriptores canadienses, presta mucha atención.
CASL requiere consentimiento expreso o implícito antes de enviar mensajes electrónicos comerciales. El consentimiento expreso significa que alguien acordó activamente recibir tus correos. El consentimiento implícito es más limitado de lo que parece.
El consentimiento implícito existe en dos situaciones. Primero, si tienes una relación comercial existente (alguien compró de ti, celebró un contrato o hizo una consulta), puedes enviarle correos. Pero el consentimiento implícito derivado de una compra caduca 2 años después de la transacción. El consentimiento implícito derivado de una consulta caduca 6 meses después de la consulta. Cuando esas ventanas se cierran, necesitas consentimiento expreso o dejas de enviar.
Esto significa que necesitas un sistema para rastrear las fechas de vencimiento del consentimiento. Si alguien te compró el 15 de marzo de 2024, tu consentimiento implícito caduca el 15 de marzo de 2026. Deberías ejecutar una campaña de renovación de consentimiento bastante antes de esa fecha, convirtiendo el consentimiento implícito en expreso mientras aún tienes derecho a contactarlos.
Las sanciones son severas. Hasta $10 millones de CAD por infracción para empresas. CASL también incluye un derecho de acción privado, lo que significa que los individuos pueden demandarte directamente. El impacto práctico es que las empresas con audiencias canadienses significativas a menudo optan por el opt-in expreso para todos los contactos canadienses, porque el riesgo de equivocarse con el consentimiento implícito es demasiado alto.
CCPA (California)
La Ley de Privacidad del Consumidor de California no es una ley específica del correo electrónico, pero afecta a los especialistas en marketing por correo electrónico que poseen datos sobre residentes de California.
Debes proporcionar un aviso en el momento de la recopilación que enumere las categorías de información personal que recopilas y los propósitos para los que la recopilas. Esto aplica a tus formularios de registro y a tu política de privacidad.
Los residentes de California tienen derecho a saber qué información personal has recopilado, el derecho a eliminarla y el derecho a optar por no participar en la venta de su información personal. Si vendes o compartes datos de suscriptores con terceros (para publicidad, enriquecimiento de datos o alquiler de listas), necesitas un mecanismo de "No vender mi información personal".
Las sanciones son de $2,500 por infracción no intencional y $7,500 por infracción intencional. Tanto el Fiscal General de California como la Agencia de Protección de la Privacidad de California tienen autoridad de aplicación.
La CPRA (Ley de Derechos de Privacidad de California) amplió la CCPA, añadiendo el derecho a corregir información inexacta y creando una nueva categoría de "información personal sensible" con protecciones adicionales. Si recopilas geolocalización precisa, origen racial o étnico, datos de salud u otras categorías sensibles similares en tu marketing por correo electrónico (a través de encuestas, centros de preferencias o datos de compra), se aplican los requisitos adicionales de la CPRA.
Ley Australiana de Spam
Dado que escribo esto desde una perspectiva australiana, esta merece especial atención.
La Spam Act 2003 requiere tres cosas para cada mensaje electrónico comercial: consentimiento, identificación del remitente y una opción de baja funcional.
El consentimiento puede ser expreso (alguien optó por participar) o inferido (existe una relación comercial existente). Pero a diferencia de CAN-SPAM, no puedes enviar correos a alguien que no se haya inscrito o que no tenga una relación existente con tu negocio. El correo electrónico en frío a listas compradas es ilegal en Australia. Sin excepciones.
Cada correo electrónico comercial debe identificar claramente quién lo envió e incluir datos de contacto precisos. Y cada correo electrónico debe incluir un mecanismo de baja que funcione y que se respete dentro de los 5 días hábiles.
Las sanciones son considerables. La Autoridad Australiana de Comunicaciones y Medios (ACMA) puede imponer multas de hasta $2.22 millones AUD por día por infracciones graves. Han perseguido casos contra empresas australianas y compañías internacionales que envían a destinatarios australianos. La ACMA ha sido cada vez más activa en la aplicación de la ley, y coordina con reguladores internacionales.
Para las empresas australianas que envían internacionalmente, aún necesitas cumplir con la Spam Act para todos los mensajes enviados desde Australia, independientemente de dónde esté ubicado el destinatario. Y si eres una empresa internacional que envía a destinatarios australianos, la Spam Act se aplica a ti.
Cumplimiento del Correo Electrónico en Frío
El cumplimiento del correo electrónico en frío es un mosaico de reglas diferentes según la ubicación de tus destinatarios. Comete un error y estarás expuesto a un riesgo legal significativo.
Estados Unidos (CAN-SPAM): La jurisdicción más permisiva para el correo electrónico en frío B2B. No se necesita consentimiento previo. Debes incluir un mecanismo claro de exclusión voluntaria, tu dirección física e información precisa del remitente. Esta es la razón por la que la mayoría de las herramientas y estrategias de correo electrónico en frío se originan en empresas con sede en EE. UU. Estados Unidos es el único mercado importante donde el correo electrónico en frío B2B es explícitamente legal sin consentimiento previo.
Reino Unido (PECR): El correo electrónico en frío B2B está permitido bajo el principio de "soft opt-in". Puedes enviar correos a alguien en su dirección comercial si el mensaje es relevante para su rol profesional. Debes incluir una opción de baja clara en cada mensaje. El correo electrónico en frío B2C requiere consentimiento previo. Tras el Brexit, el Reino Unido tiene su propio régimen de protección de datos (UK GDPR) que refleja de cerca al GDPR de la UE pero es aplicado por la ICO.
Unión Europea (Directiva ePrivacy): Esto varía según el país porque cada Estado miembro de la UE implementó la directiva de manera diferente. Alemania es la más estricta, requiriendo consentimiento de opt-in para prácticamente todo el correo electrónico comercial incluyendo B2B. Francia, Italia y los Países Bajos son más permisivos para B2B bajo las disposiciones de interés legítimo. La mayoría de los países de la UE permiten el correo electrónico en frío B2B con una opción de baja clara y una razón comercial legítima. El próximo Reglamento ePrivacy (que ha estado en desarrollo durante años) puede armonizar estas reglas en toda la UE.
Canadá (CASL): Se requiere consentimiento. Puedes usar el consentimiento implícito de una relación comercial existente, pero el contacto en frío con personas con las que nunca has interactuado requiere consentimiento expreso primero. Algunos profesionales argumentan que un correo electrónico empresarial publicado crea consentimiento implícito, pero esto no se ha probado claramente en la aplicación de la ley. No me apoyaría en ese argumento.
Australia (Spam Act): Se requiere consentimiento. Sin correo electrónico en frío sin una relación previa. Esta es la jurisdicción principal más restrictiva para el contacto en frío.
La conclusión práctica: mantén listas separadas por jurisdicción. Etiqueta a cada suscriptor con su país. Aplica las reglas de su jurisdicción, no las tuyas. En caso de duda, aplica el estándar más estricto. Herramientas como Instantly, Lemlist y Apollo te permiten filtrar prospectos por país, lo que hace que el cumplimiento basado en jurisdicción sea manejable a escala.
Gestión Práctica del Consentimiento
La teoría es una cosa. Implementar la recopilación de consentimiento conforme a escala es otra.
El doble opt-in sigue siendo el estándar de oro. Alguien se registra, recibe un correo electrónico de confirmación y hace clic en un enlace para verificar su suscripción. Esto te da prueba clara y documentada de consentimiento y elimina registros falsos, errores tipográficos y trampas de spam. Sí, perderás entre el 15 y el 20% de los registros que no confirmen. Esas personas no iban a ser suscriptores comprometidos de todos modos.
Los correos electrónicos de consentimiento personalizados tienen aproximadamente un 15% más de opt-ins que los genéricos. Incluir el nombre del suscriptor, hacer referencia a aquello para lo que se registraron y explicar lo que recibirán hace que sea más probable que hagan clic en ese botón de confirmación.
Los recordatorios periódicos de consentimiento aumentan las tasas de consentimiento en un 25%. Si alguien no ha confirmado después de 24 horas, envía un recordatorio. Si no ha confirmado después de 72 horas, envía uno más. Después de eso, déjalo ir. Tres intentos es el punto óptimo. Más que eso empieza a sentirse agresivo.
Para las organizaciones que gestionan el consentimiento en múltiples jurisdicciones y líneas de productos, una plataforma de gestión de consentimiento (CMP) vale la inversión. Herramientas como OneTrust, Cookiebot o TrustArc automatizan la recopilación de consentimiento, mantienen registros de auditoría y gestionan la complejidad de diferentes regulaciones en diferentes mercados.
Ann Handley señala que respetar los datos de la audiencia no es solo una obligación legal, es una ventaja competitiva. En un mundo donde los consumidores son cada vez más conscientes de cómo se usan sus datos, las marcas que tratan los datos con cuidado se ganan la confianza. La confianza gana atención. La atención gana ingresos.
Baja con Un Clic (RFC 8058)
Este es el cambio de cumplimiento técnico más significativo de los últimos años.
Google y Yahoo ahora requieren encabezados List-Unsubscribe para los remitentes masivos (cualquiera que envíe más de 5,000 correos electrónicos por día a direcciones de Gmail o Yahoo). Esto no es opcional. Si no incluyes los encabezados adecuados, tus correos electrónicos serán filtrados cada vez más a spam o rechazados por completo.
RFC 8058 especifica cómo funciona la baja con un clic. El correo electrónico incluye dos encabezados: List-Unsubscribe (que contiene una URL HTTPS y/o una dirección mailto) y List-Unsubscribe-Post (que contiene List-Unsubscribe=One-Click). Cuando un destinatario hace clic en cancelar suscripción en su cliente de correo electrónico, se envía una única solicitud POST a la URL. No se requiere página de destino. Sin pasos adicionales. Sin confirmaciones de "¿estás seguro?".
Debes respetar la baja en 2 días. No los 10 días hábiles como el requisito general de CAN-SPAM. Dos días para la baja con un clic.
La buena noticia es que la mayoría de los ESP ahora manejan esto automáticamente. Klaviyo, Mailchimp, ActiveCampaign, Brevo y otros incluyen los encabezados correctos de forma predeterminada. Si estás usando una infraestructura de envío personalizada, deberás implementar los encabezados tú mismo. La implementación es sencilla pero necesita probarse a fondo.
Si no estás seguro de si tus correos electrónicos incluyen los encabezados correctos, compruébalo. Envíate un correo electrónico de prueba, visualiza el origen del mensaje sin procesar y busca los encabezados List-Unsubscribe y List-Unsubscribe-Post. Si faltan, habla con tu ESP o tu equipo de desarrollo.
Un matiz importante: la baja con un clic debe dar de baja de la lista de correo específica, no necesariamente de todas tus comunicaciones. Si alguien cancela la suscripción de tus correos electrónicos promocionales mediante un clic, debería seguir recibiendo sus correos electrónicos transaccionales (confirmaciones de pedidos, recibos, actualizaciones de envío). Configura tu endpoint de baja para manejar esta distinción correctamente.
Privacidad y Manejo de Datos
Más allá del cumplimiento de regulaciones específicas, existe un principio más amplio: recopila solo lo que necesitas y protege lo que recopilas.
La minimización de datos no es solo un requisito del GDPR. Es una buena práctica. Cada dato que recopilas es un dato que necesitas almacenar de forma segura, mantener con precisión y eliminar cuando sea apropiado. Si estás recopilando la fecha de nacimiento, género, ubicación y tamaño de empresa de un suscriptor, pregúntate si realmente usas todos esos datos en tu personalización de correo electrónico. Si la respuesta es no, deja de recopilarlos. Cada campo en tu formulario de registro reduce la tasa de conversión, y cada dato no utilizado aumenta tu responsabilidad.
El consentimiento de cookies interactúa con el seguimiento de correo electrónico de formas que la mayoría de los especialistas en marketing no consideran. Cuando un suscriptor hace clic desde tu correo electrónico a tu sitio web, tu sitio deposita cookies para análisis y retargeting. Si ese suscriptor está en la UE y no ha dado su consentimiento de cookies en tu sitio, podrías estar en cumplimiento en el lado del correo electrónico pero no en el lado web. Asegúrate de que tu banner de consentimiento de cookies maneje correctamente el tráfico de clics de correo electrónico.
La Protección de la Privacidad del Correo de Apple (MPP) ha cambiado fundamentalmente el seguimiento de aperturas. MPP precarga el contenido del correo electrónico (incluidos los píxeles de seguimiento) cuando se entrega el correo electrónico, independientemente de si el destinatario realmente lo abre. Para los usuarios de Apple Mail, tus tasas de apertura están artificialmente infladas. Dependiendo de tu audiencia, el 40-60% de tu lista podría ser usuarios de Apple Mail.
Esto no significa que las tasas de apertura sean inútiles. Significa que son menos fiables que antes. Usa la tasa de clics y la tasa de conversión como tus métricas de participación principales. Usa la tasa de apertura como un indicador de dirección, no como una medida precisa. Si tu tasa de apertura cae 15 puntos de la noche a la mañana, probablemente algo está mal. Pero no optimices para pequeñas variaciones de tasa de apertura cuando una gran parte de esas aperturas son generadas por máquinas.
La tendencia de privacidad se mueve en una dirección: más protección, menos seguimiento. El Reglamento ePrivacy de la UE, cuando finalmente llegue, probablemente endurecerá aún más las reglas. Otras jurisdicciones están siguiendo el ejemplo de Europa. Construye tu programa de correo electrónico en torno a datos de primera parte (lo que los suscriptores te dicen y lo que hacen en tus propiedades) en lugar del seguimiento de terceros. Los programas que se adapten a esta realidad superarán a los que la combatan.