¿Qué es la ley CAN-SPAM?

La ley CAN-SPAM es una ley que regula los correos electrónicos y otros mensajes de entidades comerciales.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Explicar qué correos electrónicos están sujetos a la ley
  • Entender las mejores prácticas de cumplimiento
  • Comparar la Ley CAN-SPAM con la Directiva sobre la privacidad electrónica

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es la ley CAN-SPAM?

La Ley CAN-SPAM es una ley de Estados Unidos que dicta una serie de requisitos para los correos electrónicos y otros mensajes de entidades comerciales, como empresas, vendedores y organizaciones sin ánimo de lucro. Los correos electrónicos sujetos a la ley deben seguir las normas relativas a las líneas de asunto, las divulgaciones y los encabezados. Además, la ley establece el derecho de los destinatarios a solicitar su eliminación de las listas de correo electrónico y detalla las sanciones para las empresas que infrinjan la ley.

El nombre completo de la ley es Ley de control de acoso de pornografía y marketing no solicitado. Se aprobó en 2003 y de su aplicación se encarga la Comisión Federal de Comercio. Sustituye a algunos tipos de leyes antispam, pero no todos, aprobadas por los distintos estados.

¿A qué tipos de mensajes se aplica la Ley CAN-SPAM?

La Ley CAN-SPAM se aplica a todos los mensajes comerciales, incluidos los correos electrónicos, independientemente de que estén dirigidos a consumidores o a empresas. La FTC define un "mensaje comercial" como "cualquier mensaje de correo electrónico cuyo objetivo principal sea la publicidad o promoción comercial de un producto o servicio comercial". Incluso si un destinatario acepta dar consentimiento afirmativo previo, una empresa tiene que cumplir con todos los aspectos de la ley.

Algunos tribunales federales han interpretado que el "mensaje de correo electrónico" incluye los mensajes enviados a la bandeja de entrada de las redes sociales del usuario o que se hayan publicado en su muro o feed. La FTC dice que la ley se aplica también a algunos tipos de mensajes de texto.

¿Están sujetos a la ley los correos electrónicos transaccionales?

Para que se aplique la Ley CAN-SPAM, el objetivo principal del mensaje debe tener un contenido comercial. Si está relacionado con una transacción entre la entidad comercial y el destinatario que está en curso o ya ha sido acordada, como la confirmación de una compra o una actualización del seguimiento de un artículo en tránsito, entonces no está sujeto a la ley. El sitio web de la FTC explica esto con más detalle.

Por ejemplo, imaginemos que Alice compra un libro en línea y recibe un correo electrónico de confirmación, como esto está relacionado con una transacción en curso, no está sujeto a la Ley CAN-SPAM. Si el vendedor le envía más tarde un correo electrónico de marketing sobre una promoción, ese correo electrónico de marketing sí que debe cumplir con esa ley.

¿Cuáles son las mejores prácticas para garantizar el cumplimiento?

Las normas de CAN-SPAM son bastante sencillas. Los remitentes de correo electrónico pueden ayudar a garantizar el cumplimiento mediante el empleo de estas tácticas:

  • Utilizar un asunto que se relacione claramente con el contenido principal del correo electrónico
  • Dejar claro que el correo electrónico es un anuncio, no utilizar engaños
  • Incluir una dirección física de la empresa en alguna parte del mensaje
  • Ofrecer una opción para que los destinatarios puedan darse de baja (rechazar recibir más correos electrónicos)
  • Asegurar la exactitud de la información de la cabecera del correo electrónico, incluyendo el nombre del dominio de origen y la dirección de correo electrónico, así como los campos "De", "Para" y "Responder a"

¿Cómo se compara la Ley CAN-SPAM con la Directiva sobre la privacidad electrónica de la Unión Europea?

La Directiva sobre la privacidad electrónica regula los correos electrónicos no solicitados, el uso de cookies, la minimización de datos y otros aspectos de la privacidad de datos. Es una directiva, lo que significa que todos los estados de la UE deben adoptarla, pero se les permite adoptarla como legislación propia. Se está elaborando un Reglamento sobre la privacidad electrónica que acabará anulando la Directiva sobre la privacidad electrónica.

La mayor diferencia entre la Directiva sobre la privacidad electrónica y la Ley CAN-SPAM es que la primera especifica que las personas tienen que aceptar recibir correos electrónicos, mientras que la segunda solo se ocupa de la opción de rechazar recibirlos.

Sin embargo, el requisito de aceptar de la directiva no se aplica si una organización tiene una relación comercial con el destinatario. También existe una exclusión para la "comercialización de productos o servicios similares" a un destinatario, siempre que la misma empresa que recopiló originalmente la dirección de correo electrónico de la persona sea el remitente.

Además, la Directiva sobre la privacidad electrónica estipula que

  • Los correos electrónicos deben incluir la opción de darse de baja
  • La identidad del remitente no debe llevar a engaño
  • Los correos electrónicos deben contener una dirección de retorno válida

¿Cómo funciona el proceso de renunciar?

Las empresas utilizan listas de renuncias, también conocidas como listas de supresión, para realizar el seguimiento de las direcciones de correo electrónico de los antiguos destinatarios que se han dado de baja.

El CAN-SPAM tiene varias normas relativas a las solicitudes para darse de baja:

  • La empresa debe tramitar la solicitud de exclusión en un plazo de 10 días laborables
  • El sistema para permitir que alguien renuncie debe ser válido durante al menos 30 días después de que se haya enviado el mensaje
  • Debe haber una opción para parar todos los mensajes futuros; una empresa puede añadir una opción adicional para interrumpir solo determinados tipos de mensajes comerciales, como que un usuario reciba correos electrónicos sobre eventos pero renuncie a recibir anuncios de nuevos productos

Las empresas pueden elegir el mecanismo de renuncia: pueden proporcionar una dirección de correo electrónico con la que puede contactar el destinatario o pueden usar otro método basado en Internet, como un enlace a un sitio web en el que haya que rellenar un formulario.

¿Cuáles son las sanciones por infringir la Ley CAN-SPAM?

Las sanciones pueden llegar a los 43 792 dólares por cada mensaje individual, y se puede hacer responsable por el mismo mensaje a más de una parte. Las empresas son responsables del comportamiento de los terceros que contraten para marketing.

Concretamente, los ciudadanos particulares no tienen la capacidad de demandar según la ley. En su lugar, la FTC, los fiscales estatales y los proveedores de acceso a Internet presentan demandas en nombre del usuario.

¿Cómo pueden denunciar los destinatarios las infracciones de CAN-SPAM?

La FTC recomienda tres opciones para reclamar:

  • Denunciar al remitente a la propia FTC
  • Reenviar el mensaje a un proveedor de correo electrónico u optar la opción de marcar un mensaje como spam
  • Reenviar el mensaje al proveedor de correo electrónico del remitente, cuando sea posible

¿Cómo pueden evitar las organizaciones evitar que los spammers suplanten su dominio de correo electrónico?

En ocasiones, los remitentes de spam envían correos electrónicos que infringen la Ley CAN-SPAM utilizando el nombre de la marca de una organización legítima, una técnica conocida como suplantación de dominio. Utilizan la suplantación de dominio para hacer que los correos electrónicos parezcan más legítimos y atraer a más usuarios para que lean el correo electrónico y hagan clic en los enlaces incrustados.

Aunque la Ley CAN-SPAM no penaliza a las organizaciones por los correos electrónicos enviados por remitentes de spam que se hagan pasar por ellas, las organizaciones pueden tomar algunas medidas para dificultar que otras partes suplanten sus dominios.

Mediante el uso del Asistente DNS de seguridad del correo electrónico de Cloudflare, es posible configurar DKIM, SPF y DMARC, tres tipos de métodos de autenticación de correo electrónico, para ayudar a evitar la suplantación de dominios.