La ley CAN-SPAM es una ley que regula los correos electrónicos y otros mensajes de entidades comerciales.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
La Ley CAN-SPAM es una ley de Estados Unidos que dicta una serie de requisitos para los correos electrónicos y otros mensajes de entidades comerciales, como empresas, vendedores y organizaciones sin ánimo de lucro. Los correos electrónicos sujetos a la ley deben seguir las normas relativas a las líneas de asunto, las divulgaciones y los encabezados. Además, la ley establece el derecho de los destinatarios a solicitar su eliminación de las listas de correo electrónico y detalla las sanciones para las empresas que infrinjan la ley.
El nombre completo de la ley es Ley de control de acoso de pornografía y marketing no solicitado. Se aprobó en 2003 y de su aplicación se encarga la Comisión Federal de Comercio. Sustituye a algunos tipos de leyes antispam, pero no todos, aprobadas por los distintos estados.
La Ley CAN-SPAM se aplica a todos los mensajes comerciales, incluidos los correos electrónicos, independientemente de que estén dirigidos a consumidores o a empresas. La FTC define un "mensaje comercial" como "cualquier mensaje de correo electrónico cuyo objetivo principal sea la publicidad o promoción comercial de un producto o servicio comercial". Incluso si un destinatario acepta dar consentimiento afirmativo previo, una empresa tiene que cumplir con todos los aspectos de la ley.
Algunos tribunales federales han interpretado que el "mensaje de correo electrónico" incluye los mensajes enviados a la bandeja de entrada de las redes sociales del usuario o que se hayan publicado en su muro o feed. La FTC dice que la ley se aplica también a algunos tipos de mensajes de texto.
Para que se aplique la Ley CAN-SPAM, el objetivo principal del mensaje debe tener un contenido comercial. Si está relacionado con una transacción entre la entidad comercial y el destinatario que está en curso o ya ha sido acordada, como la confirmación de una compra o una actualización del seguimiento de un artículo en tránsito, entonces no está sujeto a la ley. El sitio web de la FTC explica esto con más detalle.
Por ejemplo, imaginemos que Alice compra un libro en línea y recibe un correo electrónico de confirmación, como esto está relacionado con una transacción en curso, no está sujeto a la Ley CAN-SPAM. Si el vendedor le envía más tarde un correo electrónico de marketing sobre una promoción, ese correo electrónico de marketing sí que debe cumplir con esa ley.
Las normas de CAN-SPAM son bastante sencillas. Los remitentes de correo electrónico pueden ayudar a garantizar el cumplimiento mediante el empleo de estas tácticas:
La Directiva sobre la privacidad electrónica regula los correos electrónicos no solicitados, el uso de cookies, la minimización de datos y otros aspectos de la privacidad de datos. Es una directiva, lo que significa que todos los estados de la UE deben adoptarla, pero se les permite adoptarla como legislación propia. Se está elaborando un Reglamento sobre la privacidad electrónica que acabará anulando la Directiva sobre la privacidad electrónica.
La mayor diferencia entre la Directiva sobre la privacidad electrónica y la Ley CAN-SPAM es que la primera especifica que las personas tienen que aceptar recibir correos electrónicos, mientras que la segunda solo se ocupa de la opción de rechazar recibirlos.
Sin embargo, el requisito de aceptar de la directiva no se aplica si una organización tiene una relación comercial con el destinatario. También existe una exclusión para la "comercialización de productos o servicios similares" a un destinatario, siempre que la misma empresa que recopiló originalmente la dirección de correo electrónico de la persona sea el remitente.
Además, la Directiva sobre la privacidad electrónica estipula que
Las empresas utilizan listas de renuncias, también conocidas como listas de supresión, para realizar el seguimiento de las direcciones de correo electrónico de los antiguos destinatarios que se han dado de baja.
El CAN-SPAM tiene varias normas relativas a las solicitudes para darse de baja:
Las empresas pueden elegir el mecanismo de renuncia: pueden proporcionar una dirección de correo electrónico con la que puede contactar el destinatario o pueden usar otro método basado en Internet, como un enlace a un sitio web en el que haya que rellenar un formulario.
Las sanciones pueden llegar a los 43 792 dólares por cada mensaje individual, y se puede hacer responsable por el mismo mensaje a más de una parte. Las empresas son responsables del comportamiento de los terceros que contraten para marketing.
Concretamente, los ciudadanos particulares no tienen la capacidad de demandar según la ley. En su lugar, la FTC, los fiscales estatales y los proveedores de acceso a Internet presentan demandas en nombre del usuario.
La FTC recomienda tres opciones para reclamar:
En ocasiones, los remitentes de spam envían correos electrónicos que infringen la Ley CAN-SPAM utilizando el nombre de la marca de una organización legítima, una técnica conocida como suplantación de dominio. Utilizan la suplantación de dominio para hacer que los correos electrónicos parezcan más legítimos y atraer a más usuarios para que lean el correo electrónico y hagan clic en los enlaces incrustados.
Aunque la Ley CAN-SPAM no penaliza a las organizaciones por los correos electrónicos enviados por remitentes de spam que se hagan pasar por ellas, las organizaciones pueden tomar algunas medidas para dificultar que otras partes suplanten sus dominios.
Mediante el uso del Asistente DNS de seguridad del correo electrónico de Cloudflare, es posible configurar DKIM, SPF y DMARC, tres tipos de métodos de autenticación de correo electrónico, para ayudar a evitar la suplantación de dominios.