Kepatuhan email adalah salah satu topik yang diabaikan orang sampai biayanya terasa. Dan biayanya bisa sangat besar.
Lingkungan regulasi untuk email marketing sangat bervariasi dari satu negara ke negara lain. Apa yang sepenuhnya legal di AS bisa mengakibatkan denda besar di Kanada atau Australia. Jika Anda mengirim secara internasional โ seperti yang dilakukan sebagian besar bisnis โ Anda perlu memahami aturan di setiap yurisdiksi tempat tinggal pelanggan Anda.
Ini bukan hanya tentang menghindari denda. Kepatuhan membangun kepercayaan. Dan di era ketika konsumen lebih sadar privasi dari sebelumnya, kepercayaan langsung diterjemahkan menjadi keterlibatan dan pendapatan.
Bab ini mencakup regulasi utama, langkah-langkah praktis untuk tetap patuh, dan persyaratan teknis baru yang mempengaruhi setiap pengirim.
GDPR (UE)
General Data Protection Regulation tetap menjadi undang-undang privasi email paling ketat dan paling berpengaruh di dunia. Jika Anda memiliki pelanggan UE, GDPR berlaku untuk Anda, terlepas dari di mana bisnis Anda berbasis.
Persetujuan di bawah GDPR harus diberikan secara bebas, spesifik, terinformasi, dan tidak ambigu. Itu standar yang tinggi. Kotak centang yang sudah dicentang sebelumnya tidak berlaku. Persetujuan yang digabungkan ("daftar dan setujui pemasaran") tidak berlaku kecuali persetujuan pemasaran terpisah dari pendaftaran layanan. Diam tidak berlaku. Ketidakaktifan tidak berlaku.
Anda perlu memberi tahu orang-orang dengan tepat apa yang mereka daftarkan. "Berlangganan newsletter kami" dapat diterima. "Dengan membuat akun Anda setuju untuk menerima komunikasi promosi" yang tersembunyi di paragraf 47 syarat layanan Anda โ tidak bisa diterima.
Hak untuk dilupakan berarti Anda harus menghapus data seseorang "tanpa penundaan yang tidak semestinya" ketika mereka memintanya. Dalam praktiknya, itu berarti dalam waktu 30 hari. Ini mencakup semua data pribadi di semua sistem Anda, tidak hanya ESP Anda. Data CRM, riwayat pembelian yang terkait dengan email mereka, data analitik โ semuanya. Bangun proses yang terdokumentasi untuk menangani permintaan ini sebelum Anda menerimanya, karena Anda akan menerimanya.
Perlindungan data sejak perancangan dan secara default berarti Anda harus membangun sistem Anda dengan mempertimbangkan privasi dari awal, bukan menambahkannya setelahnya. Kumpulkan hanya apa yang Anda butuhkan. Simpan dengan aman. Hapus saat tidak lagi diperlukan.
Untuk catatan persetujuan, simpan dokumentasi selama 3 hingga 7 tahun setelah pengiriman terakhir Anda ke pelanggan tersebut. Catat kapan mereka menyetujui, bagaimana mereka menyetujui, apa yang mereka setujui, dan informasi apa yang disajikan kepada mereka saat itu. Jika regulator bertanya, Anda perlu membuktikan bahwa persetujuan itu valid. Screenshot formulir pendaftaran Anda pada saat persetujuan, bertanda waktu dan diarsipkan, adalah pertahanan terbaik Anda.
Perbarui persetujuan setiap 2 tahun. Kirim kampanye izin ulang kepada pelanggan yang belum Anda dengar kabarnya selama 24 bulan. Mereka yang mengonfirmasi ulang benar-benar tertarik. Mereka yang tidak harus dihapus. Lebih baik memiliki daftar yang lebih kecil dan patuh daripada yang besar namun secara hukum dipertanyakan.
Denda GDPR dapat mencapai 4% dari omzet global tahunan atau EUR 20 juta, mana yang lebih tinggi. Denda besar telah dikeluarkan di berbagai industri. Ini bukan risiko teoritis.
CAN-SPAM (AS)
CAN-SPAM adalah regulasi email utama yang paling permisif. Ini juga yang paling disalahpahami.
Aturan utamanya sederhana. Jangan gunakan header, nama pengirim, atau baris subjek yang menyesatkan. Nama "Dari:" Anda harus secara akurat mewakili siapa yang mengirim email. Baris subjek tidak boleh menipu tentang konten email. "Re: Pesanan Anda" ketika tidak ada pesanan adalah pelanggaran.
Setiap email komersial harus menyertakan alamat pos fisik. Kotak PO atau alamat kantor virtual dapat diterima. Anda tidak perlu mempublikasikan alamat rumah Anda. Layanan seperti Earth Class Mail atau iPostal1 menawarkan alamat bisnis virtual yang memenuhi persyaratan ini dengan kurang dari $15 per bulan.
Anda harus menghormati permintaan opt-out dalam 10 hari kerja. Mekanisme berhenti berlangganan Anda harus terus bekerja setidaknya selama 30 hari setelah email dikirim. Jangan paksa orang login untuk berhenti berlangganan. Jangan kenakan biaya. Jangan minta mereka memberikan informasi selain alamat email mereka. Jangan buat mereka mengklik lima halaman untuk menyelesaikan prosesnya.
Inilah bagian yang kebanyakan orang salah pahami: CAN-SPAM secara teknis memungkinkan Anda mengirim email ke siapa pun yang belum opt-out. Anda tidak memerlukan persetujuan sebelumnya. Namun "diizinkan secara hukum" dan "ide bagus" adalah hal yang berbeda. Mengirim email kepada orang yang tidak meminta untuk mendengar dari Anda menghancurkan reputasi pengirim Anda, menghasilkan keluhan, dan merusak deliverability email. Hanya karena Anda bisa tidak berarti Anda harus.
Pelanggaran membawa denda hingga $51.744 per email. Itu per email individu, bukan per kampanye. Sebuah kampanye ke 10.000 orang secara teoritis bisa menghasilkan lebih dari $500 juta denda. Jarang mencapai level itu, tetapi FTC telah mengejar kasus yang menghasilkan jutaan denda.
Negara bagian Washington memiliki lapisan tambahan: $500 per penerima untuk baris subjek yang menyesatkan. Jika Anda mengirim email ke penduduk Washington (dan Anda mungkin melakukannya), baris subjek Anda harus akurat.
CASL (Kanada)
Undang-Undang Anti-Spam Kanada jauh lebih ketat daripada CAN-SPAM. Jika Anda memiliki pelanggan Kanada, perhatikan dengan seksama.
CASL mengharuskan persetujuan eksplisit atau implisit sebelum mengirim pesan elektronik komersial. Persetujuan eksplisit berarti seseorang secara aktif setuju untuk menerima email Anda. Persetujuan implisit lebih sempit dari kedengarannya.
Persetujuan implisit ada dalam dua situasi. Pertama, jika Anda memiliki hubungan bisnis yang sudah ada (seseorang membeli dari Anda, membuat kontrak, atau membuat permintaan), Anda dapat mengirim email kepada mereka. Namun persetujuan implisit dari pembelian berakhir 2 tahun setelah transaksi. Persetujuan implisit dari permintaan berakhir 6 bulan setelah permintaan. Setelah jendela-jendela itu tertutup, Anda memerlukan persetujuan eksplisit atau berhenti mengirim.
Ini berarti Anda memerlukan sistem untuk melacak tanggal kedaluwarsa persetujuan. Jika seseorang membeli dari Anda pada 15 Maret 2024, persetujuan implisit Anda berakhir pada 15 Maret 2026. Anda harus menjalankan kampanye pembaruan persetujuan jauh sebelum tanggal itu, mengonversi persetujuan implisit ke eksplisit sementara Anda masih memiliki hak untuk mengirim email kepada mereka.
Dendanya berat. Hingga $10 juta CAD per pelanggaran untuk bisnis. CASL juga mencakup hak tindakan privat, artinya individu dapat menuntut Anda secara langsung. Dampak praktisnya adalah perusahaan dengan audiens Kanada yang signifikan sering kali menggunakan opt-in eksplisit untuk semua kontak Kanada secara default, karena risikonya terlalu tinggi jika salah dengan persetujuan implisit.
CCPA (California)
California Consumer Privacy Act bukan undang-undang khusus email, tetapi mempengaruhi para pemasar email yang menyimpan data tentang penduduk California.
Anda harus memberikan pemberitahuan saat pengumpulan yang mencantumkan kategori informasi pribadi yang Anda kumpulkan dan tujuan pengumpulan. Ini berlaku untuk formulir pendaftaran dan kebijakan privasi Anda.
Penduduk California memiliki hak untuk mengetahui informasi pribadi apa yang telah Anda kumpulkan, hak untuk menghapusnya, dan hak untuk menolak penjualan informasi pribadi mereka. Jika Anda menjual atau berbagi data pelanggan dengan pihak ketiga (untuk iklan, pengayaan data, atau sewa daftar), Anda memerlukan mekanisme "Jangan Jual Informasi Pribadi Saya".
Dendanya $2.500 per pelanggaran tidak disengaja dan $7.500 per pelanggaran yang disengaja. Jaksa Agung California dan California Privacy Protection Agency keduanya memiliki wewenang penegakan.
CPRA (California Privacy Rights Act) memperluas CCPA, menambahkan hak untuk mengoreksi informasi yang tidak akurat dan menciptakan kategori baru "informasi pribadi sensitif" dengan perlindungan tambahan. Jika Anda mengumpulkan geolokasi tepat, asal ras atau etnis, data kesehatan, atau kategori sensitif serupa dalam email marketing Anda (melalui survei, pusat preferensi, atau data pembelian), persyaratan tambahan CPRA berlaku.
Undang-Undang Spam Australia
Mengingat saya menulis ini dari perspektif Australia, undang-undang ini layak mendapat perhatian khusus.
Spam Act 2003 mensyaratkan tiga hal untuk setiap pesan elektronik komersial: persetujuan, identifikasi pengirim, dan mekanisme berhenti berlangganan yang berfungsi.
Persetujuan bisa eksplisit (seseorang opt-in) atau disimpulkan (ada hubungan bisnis yang sudah ada). Namun tidak seperti CAN-SPAM, Anda tidak dapat mengirim email kepada seseorang yang belum opt-in atau tidak memiliki hubungan yang ada dengan bisnis Anda. Email dingin ke daftar yang dibeli adalah ilegal di Australia. Tanpa pengecualian.
Setiap email komersial harus mengidentifikasi dengan jelas siapa yang mengirimnya dan menyertakan detail kontak yang akurat. Dan setiap email harus menyertakan mekanisme berhenti berlangganan yang berfungsi dan dihormati dalam 5 hari kerja.
Dendanya substansial. Australian Communications and Media Authority (ACMA) dapat mengenakan denda hingga $2,22 juta AUD per hari untuk pelanggaran serius. Mereka telah mengejar kasus terhadap bisnis Australia dan perusahaan internasional yang mengirim ke penerima Australia. ACMA semakin aktif dalam penegakan, dan mereka berkoordinasi dengan regulator internasional.
Untuk bisnis Australia yang mengirim secara internasional, Anda masih perlu mematuhi Spam Act untuk semua pesan yang dikirim dari Australia, terlepas dari di mana penerima berada. Dan jika Anda adalah bisnis internasional yang mengirim ke penerima Australia, Spam Act berlaku untuk Anda.
Kepatuhan Email Dingin
Kepatuhan email dingin adalah patchwork aturan berbeda tergantung di mana penerima Anda berada. Salah dalam hal ini dan Anda terpapar risiko hukum yang signifikan.
Amerika Serikat (CAN-SPAM): Yurisdiksi paling permisif untuk email dingin B2B. Tidak diperlukan persetujuan sebelumnya. Anda harus menyertakan mekanisme opt-out yang jelas, alamat fisik Anda, dan informasi pengirim yang akurat. Inilah mengapa sebagian besar alat dan strategi email dingin berasal dari perusahaan berbasis di AS. AS adalah satu-satunya pasar besar di mana email dingin B2B secara eksplisit legal tanpa persetujuan sebelumnya.
Inggris Raya (PECR): Email dingin B2B diizinkan di bawah prinsip "soft opt-in". Anda dapat mengirim email kepada seseorang di alamat bisnis mereka jika pesan relevan dengan peran profesional mereka. Anda harus menyertakan opt-out yang jelas di setiap pesan. Email dingin B2C memerlukan persetujuan sebelumnya. Pasca-Brexit, UK memiliki rezim perlindungan data sendiri (UK GDPR) yang sangat mirip dengan GDPR EU tetapi ditegakkan oleh ICO.
Uni Eropa (Direktif ePrivacy): Ini bervariasi per negara karena setiap negara anggota EU mengimplementasikan direktif secara berbeda. Jerman paling ketat, mengharuskan persetujuan opt-in untuk hampir semua email komersial termasuk B2B. Prancis, Italia, dan Belanda lebih permisif untuk B2B di bawah ketentuan kepentingan sah. Sebagian besar negara EU mengizinkan email dingin B2B dengan opt-out yang jelas dan alasan bisnis yang sah. Regulasi ePrivacy yang akan datang (yang sudah dalam pengembangan bertahun-tahun) mungkin mengharmoniskan aturan-aturan ini di seluruh EU.
Kanada (CASL): Persetujuan diperlukan. Anda dapat menggunakan persetujuan implisit dari hubungan bisnis yang sudah ada, tetapi pendekatan dingin kepada orang-orang yang belum pernah Anda ajak berinteraksi memerlukan persetujuan eksplisit terlebih dahulu. Beberapa praktisi berpendapat bahwa email bisnis yang dipublikasikan menciptakan persetujuan implisit, tetapi ini belum diuji secara jelas dalam penegakan hukum. Saya tidak akan mengandalkan argumen itu.
Australia (Spam Act): Persetujuan diperlukan. Tidak ada email dingin tanpa hubungan sebelumnya. Ini adalah yurisdiksi besar yang paling restriktif untuk pendekatan dingin.
Kesimpulan praktisnya: pertahankan daftar terpisah berdasarkan yurisdiksi. Tandai setiap pelanggan dengan negara mereka. Terapkan aturan yurisdiksi mereka, bukan milik Anda. Jika ragu, terapkan standar yang lebih ketat. Alat seperti Instantly, Lemlist, dan Apollo memungkinkan Anda memfilter prospek berdasarkan negara, yang membuat kepatuhan berbasis yurisdiksi dapat dikelola dalam skala besar.
Manajemen Persetujuan Praktis
Teori adalah satu hal. Mengimplementasikan pengumpulan persetujuan yang patuh dalam skala besar adalah hal lain.
Double opt-in tetap menjadi standar emas. Seseorang mendaftar, menerima email konfirmasi, dan mengklik tautan untuk memverifikasi langganan mereka. Ini memberi Anda bukti persetujuan yang jelas dan terdokumentasi serta menghilangkan pendaftaran palsu, kesalahan ketik, dan spam trap. Ya, Anda akan kehilangan 15-20% pendaftaran yang tidak mengonfirmasi. Orang-orang itu tidak akan menjadi pelanggan yang terlibat bagaimanapun juga.
Email persetujuan yang dipersonalisasi mendapatkan sekitar 15% lebih banyak opt-in daripada yang generik. Menyertakan nama pelanggan, mereferensikan apa yang mereka daftarkan, dan menjelaskan apa yang akan mereka terima membuat orang lebih cenderung mengklik tombol konfirmasi tersebut.
Pengingat persetujuan berulang meningkatkan tingkat persetujuan sebesar 25%. Jika seseorang belum mengonfirmasi setelah 24 jam, kirim pengingat. Jika belum mengonfirmasi setelah 72 jam, kirim satu lagi. Setelah itu, biarkan saja. Tiga percobaan adalah titik optimal. Lebih dari itu mulai terasa agresif.
Untuk organisasi yang mengelola persetujuan di beberapa yurisdiksi dan lini produk, platform manajemen persetujuan (CMP) layak investasi. Alat seperti OneTrust, Cookiebot, atau TrustArc mengotomatiskan pengumpulan persetujuan, mempertahankan jejak audit, dan menangani kompleksitas regulasi berbeda di pasar berbeda.
Ann Handley mengemukakan poin bahwa menghormati data audiens bukan hanya kewajiban hukum, itu adalah keunggulan kompetitif. Di dunia di mana konsumen semakin sadar tentang bagaimana data mereka digunakan, merek yang memperlakukan data dengan hati-hati mendapatkan kepercayaan. Kepercayaan mendapatkan perhatian. Perhatian mendapatkan pendapatan.
Berhenti Berlangganan Satu Klik (RFC 8058)
Ini adalah perubahan kepatuhan teknis paling signifikan dalam beberapa tahun terakhir.
Google dan Yahoo kini mengharuskan header List-Unsubscribe untuk pengirim massal (siapa pun yang mengirim lebih dari 5.000 email per hari ke alamat Gmail atau Yahoo). Ini tidak opsional. Jika Anda tidak menyertakan header yang tepat, email Anda akan semakin banyak disaring ke spam atau ditolak sepenuhnya.
RFC 8058 menentukan cara kerja berhenti berlangganan satu klik. Email menyertakan dua header: List-Unsubscribe (berisi URL HTTPS dan/atau alamat mailto) dan List-Unsubscribe-Post (berisi List-Unsubscribe=One-Click). Ketika penerima mengklik berhenti berlangganan di klien email mereka, satu permintaan POST dikirim ke URL. Tidak diperlukan halaman arahan. Tidak ada langkah ekstra. Tidak ada konfirmasi "apakah Anda yakin?".
Anda harus menghormati berhenti berlangganan dalam 2 hari. Bukan 10 hari kerja seperti persyaratan umum CAN-SPAM. Dua hari untuk berhenti berlangganan satu klik.
Kabar baiknya adalah sebagian besar ESP kini menangani ini secara otomatis. Klaviyo, Mailchimp, ActiveCampaign, Brevo, dan lainnya menyertakan header yang benar secara default. Jika Anda menggunakan infrastruktur pengiriman kustom, Anda perlu mengimplementasikan header sendiri. Implementasinya mudah tetapi perlu diuji secara menyeluruh.
Jika Anda tidak yakin apakah email Anda menyertakan header yang benar, periksa. Kirim email uji ke diri Anda sendiri, lihat sumber pesan mentah, dan cari header List-Unsubscribe dan List-Unsubscribe-Post. Jika tidak ada, bicaralah dengan ESP atau tim pengembangan Anda.
Satu nuansa penting: berhenti berlangganan satu klik harus menghapus dari daftar surat spesifik, tidak harus dari semua komunikasi Anda. Jika seseorang berhenti berlangganan dari email promosi Anda melalui satu klik, mereka masih harus menerima email transaksional mereka (konfirmasi pesanan, tanda terima, pembaruan pengiriman). Konfigurasikan endpoint berhenti berlangganan Anda untuk menangani perbedaan ini dengan benar.
Privasi dan Penanganan Data
Di luar kepatuhan terhadap regulasi tertentu, ada prinsip yang lebih luas: kumpulkan hanya apa yang Anda butuhkan dan lindungi apa yang Anda kumpulkan.
Minimisasi data bukan hanya persyaratan GDPR. Itu adalah praktik yang baik. Setiap data yang Anda kumpulkan adalah data yang perlu Anda simpan dengan aman, pertahankan secara akurat, dan hapus saat tepat. Jika Anda mengumpulkan tanggal lahir, jenis kelamin, lokasi, dan ukuran perusahaan pelanggan, tanyakan pada diri Anda apakah Anda benar-benar menggunakan semua data itu dalam personalisasi email Anda. Jika jawabannya tidak, berhenti mengumpulkannya. Setiap bidang dalam formulir pendaftaran Anda mengurangi tingkat konversi, dan setiap titik data yang tidak digunakan meningkatkan kewajiban Anda.
Persetujuan cookie berinteraksi dengan pelacakan email dengan cara yang tidak dipertimbangkan kebanyakan pemasar. Ketika pelanggan mengklik dari email Anda ke situs web Anda, situs Anda menjatuhkan cookie untuk analitik dan retargeting. Jika pelanggan itu berada di UE dan belum menyetujui cookie di situs Anda, Anda mungkin patuh di sisi email tetapi tidak patuh di sisi web. Pastikan banner persetujuan cookie Anda menangani lalu lintas klik email dengan benar.
Apple's Mail Privacy Protection (MPP) telah mengubah pelacakan pembukaan secara fundamental. MPP mengambil konten email terlebih dahulu (termasuk piksel pelacakan) saat email terkirim, terlepas dari apakah penerima benar-benar membukanya. Untuk pengguna Apple Mail, tingkat pembukaan Anda meningkat secara buatan. Tergantung pada audiens Anda, 40-60% daftar Anda mungkin pengguna Apple Mail.
Ini tidak berarti tingkat pembukaan tidak berguna. Artinya mereka kurang dapat diandalkan dari sebelumnya. Gunakan tingkat klik dan tingkat konversi sebagai metrik keterlibatan utama Anda. Gunakan tingkat pembukaan sebagai indikator arah, bukan ukuran yang tepat. Jika tingkat pembukaan Anda turun 15 poin dalam semalam, mungkin ada yang salah. Namun jangan optimalkan untuk variasi kecil tingkat pembukaan ketika sebagian besar pembukaan tersebut dihasilkan oleh mesin.
Tren privasi bergerak dalam satu arah: lebih banyak perlindungan, lebih sedikit pelacakan. Regulasi ePrivacy UE, ketika akhirnya tiba, kemungkinan akan memperketat aturan lebih lanjut. Yurisdiksi lain mengikuti jejak Eropa. Bangun program email Anda di sekitar data pihak pertama (apa yang dikatakan pelanggan kepada Anda dan apa yang mereka lakukan di properti Anda) daripada pelacakan pihak ketiga. Program yang beradaptasi dengan realitas ini akan mengungguli program yang melawannya.