A conformidade de e-mail é um daqueles tópicos que as pessoas ignoram até que comece a custar dinheiro. E pode custar muito dinheiro.
O ambiente regulatório para o marketing por e-mail varia dramaticamente por país. O que é perfeitamente legal nos EUA pode resultar em multas enormes no Canadá ou na Austrália. Se você está enviando internacionalmente, como a maioria das empresas faz, precisa entender as regras em cada jurisdição onde seus assinantes vivem.
Não se trata apenas de evitar multas. A conformidade constrói confiança. E em uma era em que os consumidores estão mais conscientes da privacidade do que nunca, a confiança se traduz diretamente em engajamento e receita.
Este capítulo abrange as principais regulamentações, as etapas práticas para manter a conformidade e os requisitos técnicos emergentes que afetam todo remetente.
GDPR (UE)
O Regulamento Geral sobre a Proteção de Dados permanece a lei de privacidade de e-mail mais rigorosa e influente globalmente. Se você tem assinantes na UE, o GDPR se aplica a você, independentemente de onde seu negócio esteja sediado.
O consentimento sob o GDPR deve ser dado livremente, ser específico, informado e inequívoco. Esse é um padrão alto. Caixas pré-marcadas não contam. Consentimento agrupado ("inscreva-se e concorde com o marketing") não conta, a menos que o consentimento de marketing esteja separado do cadastro no serviço. Silêncio não conta. Inatividade não conta.
Você precisa dizer às pessoas exatamente para o que estão se inscrevendo. "Assine nossa newsletter" é aceitável. "Ao criar uma conta você concorda em receber comunicações promocionais" enterrado no parágrafo 47 dos seus termos de serviço não é.
O direito ao esquecimento significa que você deve excluir os dados de alguém "sem demora indevida" quando solicitado. Na prática, isso significa dentro de 30 dias. Isso inclui todos os dados pessoais em todos os seus sistemas, não apenas seu ESP. Dados de CRM, histórico de compras vinculado ao e-mail, dados analíticos, tudo. Crie um processo documentado para lidar com essas solicitações antes de recebê-las, porque você vai recebê-las.
Proteção de dados por design e por padrão significa que você deve construir seus sistemas com a privacidade em mente desde o início, não adicioná-la depois. Colete apenas o que você precisa. Armazene com segurança. Exclua quando não for mais necessário.
Para registros de consentimento, mantenha documentação por 3 a 7 anos após seu último envio para aquele assinante. Registre quando consentiram, como consentiram, para o que consentiram e quais informações foram apresentadas a eles naquele momento. Se um regulador perguntar, você precisa provar que o consentimento foi válido. Capturas de tela dos seus formulários de inscrição no momento do consentimento, com data e arquivadas, são sua melhor defesa.
Renove o consentimento a cada 2 anos. Envie uma campanha de re-permissão para assinantes de quem você não teve notícias em 24 meses. Os que reconfirmam estão genuinamente interessados. Os que não confirmam devem ser removidos. É melhor ter uma lista menor e em conformidade do que uma grande e juridicamente questionável.
As multas do GDPR podem chegar a 4% do faturamento global anual ou €20 milhões, o que for maior. Multas significativas já foram aplicadas em todos os setores. Isso não é risco teórico.
CAN-SPAM (EUA)
O CAN-SPAM é a principal regulamentação de e-mail mais permissiva. Também é a mais mal compreendida.
As regras principais são simples. Não use cabeçalhos, nomes de remetente ou linhas de assunto enganosos. Seu nome "De:" deve representar com precisão quem está enviando o e-mail. A linha de assunto não deve ser enganosa sobre o conteúdo do e-mail. "Re: Seu pedido" quando não houve pedido é uma violação.
Todo e-mail comercial deve incluir um endereço postal físico. Uma caixa postal ou endereço de escritório virtual é aceitável. Você não precisa publicar seu endereço residencial. Serviços como Earth Class Mail ou iPostal1 oferecem endereços comerciais virtuais que satisfazem esse requisito por menos de $15 por mês.
Você deve honrar as solicitações de cancelamento de inscrição em 10 dias úteis. Seu mecanismo de cancelamento deve continuar funcionando por pelo menos 30 dias após o envio do e-mail. Não faça as pessoas fazerem login para cancelar a inscrição. Não cobre uma taxa. Não exija que forneçam informações além do endereço de e-mail. Não as faça clicar em cinco páginas para concluir o processo.
Aqui está a parte que a maioria das pessoas entende errado: o CAN-SPAM tecnicamente permite que você envie e-mail para qualquer pessoa que não tenha cancelado a inscrição. Você não precisa de consentimento prévio. Mas "legalmente permitido" e "boa ideia" são coisas diferentes. Enviar e-mails para pessoas que não pediram para ouvir de você destrói sua reputação de remetente, gera reclamações e afunda a entregabilidade de e-mail. Só porque você pode não significa que deveria.
As violações acarretam penalidades de até $51.744 por e-mail. Isso é por e-mail individual, não por campanha. Uma campanha para 10.000 pessoas poderia teoricamente resultar em mais de $500 milhões em multas. Raramente chega a esse nível, mas a FTC já perseguiu casos resultando em milhões em penalidades.
O estado de Washington tem uma camada adicional: $500 por destinatário por linhas de assunto enganosas. Se você está enviando e-mails para residentes de Washington (e provavelmente está), suas linhas de assunto precisam ser precisas.
CASL (Canadá)
A Legislação Anti-Spam do Canadá é significativamente mais rigorosa que o CAN-SPAM. Se você tem assinantes canadenses, preste atenção cuidadosa.
A CASL exige consentimento expresso ou implícito antes de enviar mensagens eletrônicas comerciais. Consentimento expresso significa que alguém concordou ativamente em receber seus e-mails. Consentimento implícito é mais estreito do que parece.
O consentimento implícito existe em duas situações. Primeiro, se você tem um relacionamento comercial existente (alguém comprou de você, celebrou um contrato ou fez uma consulta), você pode enviar e-mails para ele. Mas o consentimento implícito de uma compra expira 2 anos após a transação. O consentimento implícito de uma consulta expira 6 meses após a consulta. Quando essas janelas fecham, você precisa de consentimento expresso ou para de enviar.
Isso significa que você precisa de um sistema para rastrear as datas de vencimento do consentimento. Se alguém comprou de você em 15 de março de 2024, seu consentimento implícito expira em 15 de março de 2026. Você deve executar uma campanha de renovação de consentimento bem antes dessa data, convertendo o consentimento implícito em expresso enquanto ainda tem o direito de enviar e-mails para eles.
As penalidades são severas. Até $10 milhões CAD por violação para empresas. A CASL também inclui um direito de ação privada, o que significa que indivíduos podem processá-lo diretamente. O impacto prático é que empresas com audiências canadenses significativas frequentemente optam por opt-in expresso para todos os contatos canadenses, porque o risco de errar com o consentimento implícito é muito alto.
CCPA (Califórnia)
O California Consumer Privacy Act não é uma lei específica de e-mail, mas afeta os profissionais de marketing por e-mail que detêm dados sobre residentes da Califórnia.
Você deve fornecer um aviso no momento da coleta que lista as categorias de informações pessoais que você coleta e os propósitos da coleta. Isso se aplica aos seus formulários de inscrição e política de privacidade.
Os residentes da Califórnia têm o direito de saber quais informações pessoais você coletou, o direito de excluí-las e o direito de optar por não participar da venda de suas informações pessoais. Se você vende ou compartilha dados de assinantes com terceiros (para publicidade, enriquecimento de dados ou aluguel de listas), você precisa de um mecanismo "Não vender minhas informações pessoais".
As penalidades são de $2.500 por violação não intencional e $7.500 por violação intencional. O Procurador-Geral da Califórnia e a Agência de Proteção de Privacidade da Califórnia têm autoridade de aplicação.
A CPRA (California Privacy Rights Act) expandiu a CCPA, adicionando o direito de corrigir informações imprecisas e criando uma nova categoria de "informações pessoais sensíveis" com proteções adicionais. Se você coleta geolocalização precisa, origem racial ou étnica, dados de saúde ou categorias sensíveis similares em seu marketing por e-mail (através de pesquisas, centros de preferências ou dados de compra), os requisitos adicionais da CPRA se aplicam.
Lei Australiana Anti-Spam
Dado que escrevo isso de uma perspectiva australiana, essa lei merece atenção especial.
O Spam Act 2003 exige três coisas para cada mensagem eletrônica comercial: consentimento, identificação do remetente e um mecanismo de cancelamento funcional.
O consentimento pode ser expresso (alguém optou por participar) ou inferido (existe um relacionamento comercial existente). Mas diferente do CAN-SPAM, você não pode enviar e-mail para alguém que não optou por participar ou que não tem um relacionamento existente com seu negócio. E-mail frio para listas compradas é ilegal na Austrália. Sem exceções.
Todo e-mail comercial deve identificar claramente quem o enviou e incluir detalhes de contato precisos. E todo e-mail deve incluir um mecanismo de cancelamento que funcione e seja respeitado dentro de 5 dias úteis.
As penalidades são substanciais. A Autoridade Australiana de Comunicações e Mídia (ACMA) pode impor multas de até $2,22 milhões AUD por dia por violações graves. Eles já perseguiram casos contra empresas australianas e companhias internacionais enviando para destinatários australianos. A ACMA tem sido cada vez mais ativa na aplicação da lei e se coordena com reguladores internacionais.
Para empresas australianas enviando internacionalmente, você ainda precisa cumprir o Spam Act para todas as mensagens enviadas da Austrália, independentemente de onde o destinatário está localizado. E se você é uma empresa internacional enviando para destinatários australianos, o Spam Act se aplica a você.
Conformidade de E-mail Frio
A conformidade de e-mail frio é um mosaico de regras diferentes dependendo de onde seus destinatários estão. Erre e você estará exposto a riscos jurídicos significativos.
Estados Unidos (CAN-SPAM): A jurisdição mais permissiva para e-mail frio B2B. Não é necessário consentimento prévio. Você deve incluir um mecanismo claro de opt-out, seu endereço físico e informações precisas do remetente. É por isso que a maioria das ferramentas e estratégias de e-mail frio se origina em empresas sediadas nos EUA. Os EUA são o único grande mercado onde o e-mail frio B2B é explicitamente legal sem consentimento prévio.
Reino Unido (PECR): O e-mail frio B2B é permitido sob o princípio do "soft opt-in". Você pode enviar e-mail para alguém em seu endereço comercial se a mensagem for relevante para seu papel profissional. Você deve incluir uma opção de cancelamento clara em cada mensagem. O e-mail frio B2C requer consentimento prévio. Após o Brexit, o Reino Unido tem seu próprio regime de proteção de dados (UK GDPR) que espelha de perto o GDPR da UE, mas é aplicado pela ICO.
União Europeia (Diretiva ePrivacy): Isso varia por país porque cada Estado-Membro da UE implementou a diretiva de forma diferente. A Alemanha é a mais rigorosa, exigindo consentimento opt-in para praticamente todos os e-mails comerciais, incluindo B2B. França, Itália e Países Baixos são mais permissivos para B2B sob as disposições de interesse legítimo. A maioria dos países da UE permite e-mail frio B2B com um opt-out claro e uma razão comercial legítima. O próximo Regulamento ePrivacy (que está em desenvolvimento há anos) pode harmonizar essas regras em toda a UE.
Canadá (CASL): O consentimento é necessário. Você pode usar o consentimento implícito de um relacionamento comercial existente, mas a abordagem fria de pessoas com quem você nunca interagiu exige primeiro o consentimento expresso. Alguns profissionais argumentam que um e-mail comercial publicado cria consentimento implícito, mas isso não foi claramente testado na aplicação da lei. Eu não me basearia nesse argumento.
Austrália (Spam Act): O consentimento é necessário. Sem e-mail frio sem um relacionamento prévio. Esta é a principal jurisdição mais restritiva para abordagem fria.
A conclusão prática: mantenha listas separadas por jurisdição. Marque cada assinante com seu país. Aplique as regras da jurisdição deles, não as suas. Em caso de dúvida, aplique o padrão mais rigoroso. Ferramentas como Instantly, Lemlist e Apollo permitem que você filtre prospects por país, o que torna a conformidade baseada em jurisdição gerenciável em escala.
Gerenciamento Prático de Consentimento
A teoria é uma coisa. Implementar a coleta de consentimento em conformidade em escala é outra.
O double opt-in permanece o padrão ouro. Alguém se inscreve, recebe um e-mail de confirmação e clica em um link para verificar sua assinatura. Isso lhe dá prova clara e documentada de consentimento e elimina inscrições falsas, erros de digitação e armadilhas de spam. Sim, você perderá 15-20% das inscrições que não confirmam. Essas pessoas de qualquer forma não seriam assinantes engajados.
E-mails de consentimento personalizados obtêm cerca de 15% mais opt-ins do que os genéricos. Incluir o nome do assinante, fazer referência ao que ele se inscreveu e explicar o que ele receberá faz com que as pessoas fiquem mais propensas a clicar naquele botão de confirmação.
Lembretes recorrentes de consentimento aumentam as taxas de consentimento em 25%. Se alguém não confirmou após 24 horas, envie um lembrete. Se não confirmou após 72 horas, envie mais um. Depois disso, deixe pra lá. Três tentativas é o ponto ideal. Mais do que isso começa a parecer agressivo.
Para organizações que gerenciam o consentimento em múltiplas jurisdições e linhas de produtos, uma plataforma de gerenciamento de consentimento (CMP) vale o investimento. Ferramentas como OneTrust, Cookiebot ou TrustArc automatizam a coleta de consentimento, mantêm trilhas de auditoria e lidam com a complexidade de diferentes regulamentações em diferentes mercados.
Ann Handley faz o ponto de que respeitar os dados do público não é apenas uma obrigação legal, é uma vantagem competitiva. Em um mundo onde os consumidores estão cada vez mais cientes de como seus dados são usados, as marcas que tratam os dados com cuidado ganham confiança. Confiança ganha atenção. Atenção ganha receita.
Cancelamento de Inscrição com Um Clique (RFC 8058)
Esta é a mudança de conformidade técnica mais significativa dos últimos anos.
Google e Yahoo agora exigem cabeçalhos List-Unsubscribe para remetentes em massa (qualquer pessoa enviando mais de 5.000 e-mails por dia para endereços Gmail ou Yahoo). Isso não é opcional. Se você não incluir os cabeçalhos corretos, seus e-mails serão cada vez mais filtrados para spam ou rejeitados completamente.
O RFC 8058 especifica como o cancelamento de inscrição com um clique funciona. O e-mail inclui dois cabeçalhos: List-Unsubscribe (contendo uma URL HTTPS e/ou endereço mailto) e List-Unsubscribe-Post (contendo List-Unsubscribe=One-Click). Quando um destinatário clica em cancelar inscrição em seu cliente de e-mail, uma única requisição POST é enviada para a URL. Nenhuma página de destino necessária. Sem etapas extras. Sem confirmações de "tem certeza?".
Você deve honrar o cancelamento de inscrição em 2 dias. Não 10 dias úteis como o requisito geral do CAN-SPAM. Dois dias para o cancelamento com um clique.
A boa notícia é que a maioria dos ESP agora lida com isso automaticamente. Klaviyo, Mailchimp, ActiveCampaign, Brevo e outros incluem os cabeçalhos corretos por padrão. Se você estiver usando uma infraestrutura de envio personalizada, precisará implementar os cabeçalhos você mesmo. A implementação é direta, mas precisa ser testada minuciosamente.
Se você não tem certeza se seus e-mails incluem os cabeçalhos corretos, verifique. Envie para si mesmo um e-mail de teste, veja o código fonte bruto da mensagem e procure os cabeçalhos List-Unsubscribe e List-Unsubscribe-Post. Se estiverem faltando, fale com seu ESP ou sua equipe de desenvolvimento.
Uma nuance importante: o cancelamento de inscrição com um clique deve cancelar a inscrição da lista de e-mail específica, não necessariamente de todas as suas comunicações. Se alguém cancelar a inscrição dos seus e-mails promocionais via um clique, ainda deve receber seus e-mails transacionais (confirmações de pedido, recibos, atualizações de envio). Configure seu endpoint de cancelamento para lidar com essa distinção corretamente.
Privacidade e Tratamento de Dados
Além da conformidade com regulamentações específicas, há um princípio mais amplo: colete apenas o que você precisa e proteja o que você coleta.
A minimização de dados não é apenas um requisito do GDPR. É uma boa prática. Cada dado que você coleta é um dado que precisa ser armazenado com segurança, mantido com precisão e excluído quando apropriado. Se você está coletando data de nascimento, gênero, localização e tamanho da empresa de um assinante, pergunte a si mesmo se realmente usa todos esses dados na personalização de e-mail. Se a resposta for não, pare de coletá-los. Cada campo no seu formulário de inscrição reduz a taxa de conversão, e cada ponto de dado não utilizado aumenta sua responsabilidade.
O consentimento de cookies interage com o rastreamento de e-mail de maneiras que a maioria dos profissionais de marketing não considera. Quando um assinante clica do seu e-mail para o seu site, o site instala cookies para análise e retargeting. Se esse assinante está na UE e não consentiu com cookies no seu site, você pode estar em conformidade no lado do e-mail, mas não no lado web. Certifique-se de que seu banner de consentimento de cookies lida corretamente com o tráfego de cliques de e-mail.
A Proteção de Privacidade de Email da Apple (MPP) mudou fundamentalmente o rastreamento de abertura. O MPP pré-carrega o conteúdo do e-mail (incluindo pixels de rastreamento) quando o e-mail é entregue, independentemente de o destinatário realmente abrir o e-mail. Para usuários do Apple Mail, suas taxas de abertura estão artificialmente infladas. Dependendo do seu público, 40-60% da sua lista pode ser usuários do Apple Mail.
Isso não significa que as taxas de abertura são inúteis. Significa que são menos confiáveis do que eram. Use a taxa de cliques e a taxa de conversão como suas principais métricas de engajamento. Use a taxa de abertura como um indicador de direção, não uma medição precisa. Se sua taxa de abertura cair 15 pontos da noite para o dia, provavelmente algo está errado. Mas não otimize para pequenas variações de taxa de abertura quando uma grande parte dessas aberturas são geradas por máquinas.
A tendência de privacidade está se movendo em uma direção: mais proteção, menos rastreamento. O Regulamento ePrivacy da UE, quando finalmente chegar, provavelmente vai apertar ainda mais as regras. Outras jurisdições estão seguindo o exemplo da Europa. Construa seu programa de e-mail em torno de dados primários (o que os assinantes dizem a você e o que fazem em suas propriedades), em vez de rastreamento de terceiros. Os programas que se adaptarem a essa realidade superarão aqueles que a combaterem.