Cold emailing: la guía completa para cumplir con las normativas y mejores prácticas (¡y obtener resultados!)

¿Son legales el cold emailing y el email marketing?

¿Existen diferencias entre países?

Estas son solo algunas de las preguntas que responderemos en este artículo, con dos objetivos principales: primero, ayudarte a entender completamente las normativas vigentes y, segundo, guiarte sobre qué hacer exactamente si envías correos electrónicos comerciales.

La legalidad del cold emailing y las normativas actuales

¿Es legal el cold emailing en todos los países?

Sí, en la mayoría de los países, el cold emailing está permitido bajo condiciones específicas.

Pero… (¡sabemos que no te gusta cuando hay un “pero”!). Algunos países, como Canadá y Dinamarca, tienen normativas extremadamente estrictas respecto al cold emailing.

Además, es crucial diferenciar entre los correos enviados a destinatarios B2C, que casi siempre requieren consentimiento explícito (opt-in), y los enviados a destinatarios B2B, que pueden estar permitidos bajo ciertas condiciones dependiendo de las leyes locales.

¿Aún no está claro? No te preocupes, desglosaremos todo con listas de verificación completas para asegurarnos de que estés totalmente preparado.

¿Cuáles son las principales normativas?

El envío de correos electrónicos comerciales se rige por varias normativas en todo el mundo. Dependiendo del país al que te dirijas, las reglas pueden variar de ser más o menos estrictas. Aquí tienes un resumen de las principales leyes vigentes:

• GDPR (Unión Europea)

• CAN-SPAM Act (Estados Unidos)

• CASL (Canadá)

• PECR (Reino Unido)

• Spam Act (Australia)

Todas siguen los mismos principios básicos:

1. Se aplican a mensajes con un propósito comercial o promocional (venta de productos, servicios, asociaciones).

2. Cubren diferentes canales de comunicación, como correos electrónicos, SMS, mensajes instantáneos, llamadas telefónicas y mensajes en redes sociales.

3. Se aplican a individuos o empresas que envían mensajes a residentes de un país determinado, independientemente del origen del remitente.

⚠️ Pero ten cuidado, ¡diferentes normativas pueden solaparse! Si una empresa estadounidense envía correos comerciales a destinatarios en países con leyes más estrictas, esas leyes más estrictas también pueden aplicarse.

Ejemplos

• Una empresa francesa envía correos a clientes potenciales en Estados Unidos → Se aplica la CAN-SPAM Act.

• Una empresa estadounidense envía correos a clientes potenciales en Francia → Se aplican la CAN-SPAM Act y el GDPR.

CAN-SPAM Act (Estados Unidos)

¿Qué es la CAN-SPAM Act?

La Controlling the Assault of Non-Solicited Pornography And Marketing Act (CAN-SPAM) impone varias obligaciones. Aquí están las más importantes:

• El remitente debe estar claramente identificado en los campos “De”, “Para” y “Responder a”, y los encabezados del correo no deben ser engañosos.

• El asunto del correo debe reflejar con precisión su contenido.

• El remitente debe ser transparente sobre la naturaleza comercial del mensaje. Sin embargo, no es obligatorio indicar explícitamente que el correo es un anuncio, siempre que el contenido no sea engañoso.

• Cada correo debe incluir la dirección postal de la empresa remitente (sede, oficina o apartado postal registrado).

• El correo debe incluir un enlace para darse de baja fácil de usar. El remitente tiene 10 días para procesar las solicitudes de baja. La opción de baja debe ser gratuita y no debe requerir ninguna información adicional aparte de una dirección de correo electrónico. Por ejemplo, el remitente no puede exigir al destinatario que inicie sesión en una cuenta o rellene un formulario para darse de baja.

• Una vez que una persona se ha dado de baja, ya no debe recibir correos comerciales de ese remitente.

¿Cuáles son las sanciones por incumplimiento?

La sanción principal es que las empresas pueden enfrentarse a multas de hasta 51,744 dólares por cada correo que infrinja la ley. Además, los ejecutivos de la empresa y los responsables pueden ser considerados personalmente responsables. Asimismo, los correos fraudulentos o engañosos también pueden ser tratados como delitos penales.

Lista de verificación de mejores prácticas para el cold emailing conforme a la CAN-SPAM Act

1️⃣ Identificar correctamente al remitente

• Usa un nombre y una dirección de correo electrónico claros y verificables en los campos “De”, “Para” y “Responder a”.

• No ocultes ni falsifiques la identidad del remitente.

• Proporciona una dirección física válida donde se pueda contactar a la empresa (oficina, sede o apartado postal registrado en Estados Unidos).

2️⃣ Redactar un correo electrónico que cumpla con la CAN-SPAM Act

• La línea de asunto debe ser honesta y reflejar con precisión el contenido del mensaje (nada de títulos engañosos).

• Si el correo es un anuncio o promoción, debe ser claramente identificable como tal. La CAN-SPAM Act no exige una etiqueta explícita de “Anuncio”, pero cualquier forma de engaño está prohibida en la presentación del mensaje.

• Evita usar información falsa o encabezados engañosos en el correo.

3️⃣ Incluir una opción de baja clara y sencilla

• Añade un enlace de baja visible y fácil de usar.

• No exijas al destinatario que inicie sesión en una cuenta o proporcione información adicional para darse de baja, y asegúrate de que la solicitud se procese en un plazo de 10 días.

4️⃣ Garantizar una buena entregabilidad y evitar ser marcado como spam

• Usa una dirección de correo profesional, evitando direcciones genéricas (por ejemplo, no-reply@, info@).

• Configura correctamente los ajustes de DKIM, SPF y DMARC.

• Evita enviar grandes volúmenes de correos a la vez; opta por envíos graduales y segmentados.

5️⃣ Gestionar las respuestas y realizar un seguimiento de los correos enviados

• Asegúrate de que la dirección “Responder a” sea funcional y esté supervisada (los destinatarios deben poder responder a tu correo).

• Mantén un registro de los contactos que se han dado de baja y asegúrate de que ya no reciban mensajes comerciales.

Ejemplo de un correo comercial que cumple con la CAN-SPAM Act

Antes de ver un buen ejemplo, examinemos un contraejemplo.

❌ ¿Por qué este correo es ilegal?

• Afirma falsamente que la cuenta del usuario ha sido suspendida cuando en realidad es un correo de marketing.

• El correo pretende provenir de Amazon, aunque no es así.

• Crea la impresión de una alerta de seguridad en lugar de un mensaje promocional.

• No incluye ninguna dirección física ni opción de baja.

Aquí tienes un ejemplo a seguir.

✅ ¿Por qué este correo cumple con la normativa?

• La línea de asunto refleja con precisión el contenido del mensaje.

• El remitente está claramente identificado (nombre y dirección de correo profesional).

• El correo indica claramente que se trata de una oferta comercial.

• Incluye una dirección física para fines de contacto.

• La opción de baja es clara y funcional.

GDPR (Unión Europea)

¿Qué es el GDPR?

El Reglamento General de Protección de Datos (GDPR), que entró en vigor en 2018, tiene como objetivo proteger los datos personales de los ciudadanos europeos imponiendo reglas estrictas a las empresas y organizaciones que los recopilan y procesan.

📌 A diferencia de la CAN-SPAM Act, que regula solo el envío de correos comerciales, el GDPR se aplica a todas las formas de procesamiento de datos personales.

El GDPR se basa en dos principios principales:

1. Consentimiento explícito (Opt-In): Generalmente requerido para recopilar y usar datos personales, especialmente para enviar correos de marketing. En algunos casos, una empresa puede invocar otra base legal, como el “interés legítimo”, particularmente para comunicaciones B2B.

2. Derecho de supresión (“Derecho al olvido”): cualquier individuo puede solicitar la eliminación de sus datos personales, a menos que la retención sea necesaria (por ejemplo, obligaciones legales, contratos en curso, interés público).

💡 Definición útil: El GDPR define datos personales como cualquier información que identifique directa o indirectamente a una persona física:

• Identificadores directos: Nombre, apellido, correo electrónico, número de teléfono…

• Identificadores indirectos: Dirección IP, cookies, datos de geolocalización…

• Datos sensibles: Información de salud, origen étnico, opiniones políticas, orientación sexual… (protegidos de forma más estricta).

Principios clave impuestos a las empresas que manejan datos personales:

• Los datos deben recopilarse y procesarse de forma legal y transparente (sin recopilación oculta o engañosa).

• Los datos deben recopilarse para un propósito específico, legítimo y claramente definido (por ejemplo, suscripción a un boletín).

• Solo deben recopilarse los datos estrictamente necesarios (sin recopilación excesiva de datos).

• Los datos no deben conservarse indefinidamente, solo durante el tiempo necesario para lograr el propósito inicial.

• Las empresas deben proteger los datos contra accesos no autorizados, pérdidas y brechas.

Sanciones por incumplimiento del GDPR

Las empresas que no cumplen con el GDPR están sujetas a multas severas: hasta 20 millones de euros o el 4% de la facturación anual global, lo que sea mayor.

Ejemplo:

Meta/Facebook (2023): multa de 1.2 mil millones de euros por la transferencia ilegal de datos a Estados Unidos.

Lista de verificación de mejores prácticas para el cold emailing conforme al GDPR

1️⃣ ¿Opt-in o no?

• Consentimiento previo (“Opt-In”) requerido para B2C: Obtén consentimiento explícito antes de enviar correos de marketing a particulares (B2C).

• Sin Opt-In obligatorio para B2B: Sin embargo, asegúrate de que exista un interés legítimo y de que el mensaje sea relevante para la actividad profesional del destinatario.

2️⃣ ¿Qué dirección de correo usar?

• Para el destinatario: no contactes a profesionales usando su dirección de correo personal (por ejemplo, Gmail, Yahoo). Usa siempre una dirección de correo profesional (por ejemplo, [email protected]).

• Para el remitente: usa una dirección de correo profesional y evita direcciones genéricas (por ejemplo, no-reply@, info@).

3️⃣ Redacción de un correo que cumpla con el GDPR

• Indica claramente la identidad del remitente: Incluye el nombre del remitente y la empresa.

• Explica el motivo del contacto: Aclara el vínculo profesional legítimo.

• Añade una declaración de transparencia: Explica de dónde provino la información de contacto (por ejemplo, “Encontramos tu contacto en [LinkedIn / sitio web oficial]”).

• Sin línea de asunto engañosa: el asunto debe reflejar con precisión el contenido del correo.

• Incluye un enlace a la política de privacidad: explica claramente cómo se gestionan los datos personales.

• Proporciona una opción de baja clara. Por ejemplo, “Si ya no deseas recibir correos nuestros, haz clic aquí”.

4️⃣ Garantizar una buena entregabilidad y reputación

• Configura correctamente DKIM, SPF y DMARC para evitar ser marcado como spam.

• Favorece los envíos individualizados: Evita el envío masivo para mantener una buena reputación.

• Personaliza cada correo: Incluye el nombre y apellido del destinatario para aumentar la interacción.

5️⃣ Gestionar los derechos de los destinatarios

• Procesa las solicitudes de baja inmediatamente: A más tardar 30 días después de la solicitud.

• No vuelvas a contactar a personas que solicitaron la eliminación: Una vez que alguien ha solicitado la eliminación de datos, respeta su solicitud permanentemente.

• Mantén registros de bajas: Conserva pruebas de las bajas para demostrar el cumplimiento en caso de inspección.

6️⃣ Gestionar y proteger los datos recopilados

• Almacena los datos solo el tiempo necesario: Evita conservar correos obsoletos o innecesarios.

• Protege los datos adecuadamente: Implementa cifrado y acceso restringido para proteger los datos contra el uso no autorizado.

• Establece un procedimiento de respuesta al GDPR: Asegura el cumplimiento estableciendo procesos para solicitudes de acceso, modificación y eliminación de datos.

PECR (Reino Unido)

La PECR y el GDPR del Reino Unido son inseparables cuando se trata de cold emailing en el Reino Unido. Y ahora podrías estar pensando: ¿qué? ¿Dos normativas? 🫨

¡No te preocupes! La PECR regula los correos de marketing, mientras que el GDPR del Reino Unido regula la gestión de los datos personales utilizados en esos correos. En términos de protección de datos, el GDPR del Reino Unido es tan estricto como el GDPR de la UE. Por lo tanto, si dominas el cumplimiento del GDPR, aquí no hay diferencia. En cuanto a la PECR, es más indulgente en B2B, pero igual de estricta en B2C que el GDPR.

👉 En resumen: Si cumples totalmente con el GDPR, cumples automáticamente con la PECR e incluso superas algunos de sus requisitos.

La diferencia clave con el GDPR: Envío de correos de marketing B2B

• Direcciones genéricas (por ejemplo, [email protected]): La PECR permite el envío sin consentimiento previo.

• Direcciones personales (por ejemplo, [email protected]): El interés legítimo suele ser suficiente, siempre que el mensaje sea relevante para el rol del destinatario.

CASL (Canadá)

Si pensabas que el GDPR era estricto, prepárate: ¡Canadá se toma el cold emailing muy en serio!

¿Qué es la CASL?

La Canadian Anti-Spam Legislation (CASL), promulgada en 2014, es una de las leyes más estrictas del mundo en lo que respecta al envío de correos comerciales. A diferencia de la CAN-SPAM Act y el GDPR, la CASL requiere consentimiento explícito (opt-in), con pocas excepciones específicas.

Principio básico: OPT-IN OBLIGATORIO. A diferencia de la CAN-SPAM Act (donde un simple opt-out es suficiente), la CASL exige consentimiento previo (opt-in) en casi todos los casos. El consentimiento implícito está regulado de forma muy limitada.

💡 Bueno saber: Un consentimiento implícito expira después de 6 a 24 meses si el destinatario no tiene más interacción con la empresa.

Sanciones por incumplimiento de la CASL

Las multas son particularmente duras: hasta 10 millones de CAD para una empresa. Hasta 1 millón de CAD para un individuo. Además, se pueden presentar demandas civiles.

Lista de verificación de mejores prácticas para el cold emailing conforme a la CASL

Para ser más eficiente, recomendamos usar la lista de verificación específica del GDPR detallada anteriormente. Aquí están los puntos que difieren del GDPR para garantizar el cumplimiento de la CASL:

1️⃣ Opt-In

El opt-in es obligatorio tanto para comunicaciones B2C como para la mayoría de las B2B.

Ejemplos:

Un formulario donde la persona marca una casilla no marcada para aceptar recibir correos.

Una suscripción voluntaria a un boletín.

Un doble opt-in (correo de confirmación después del registro).

2️⃣ El consentimiento implícito es excepcional y estrictamente limitado:

• Relación comercial existente: Por ejemplo, el destinatario ha comprado un producto o servicio en los últimos 24 meses.

• Consulta de cliente potencial: Por ejemplo, una persona ha rellenado un formulario de contacto en tu sitio web en los últimos 6 meses.

• Relación entre organizaciones sin fines de lucro o miembros de la misma asociación.

3️⃣ La solicitud de baja debe procesarse en un plazo máximo de 10 días (en lugar de 30 días como exige el GDPR).

Spam Act (Australia)

¿Qué es la Spam Act?

La Spam Act (2003) se aplica a cualquier individuo u organización que envíe mensajes electrónicos a destinatarios en Australia, independientemente del país de origen del remitente. Esta ley es muy similar a la CASL (Canadá).

Lista de verificación de mejores prácticas para el cold emailing conforme a la Spam Act

Recomendamos seguir la lista de verificación específica de la CASL descrita anteriormente. Sin embargo, dos puntos clave difieren:

Primero, la Spam Act permite el consentimiento inferido en situaciones B2B si se establece una relación comercial preexistente (por ejemplo, una compra realizada en los últimos 24 meses).

💡 Definición útil: Consentimiento inferido es una interpretación razonable de que el destinatario acepta recibir correos, basada en una relación comercial preexistente o una consulta reciente (típicamente en los últimos 6 meses). La ley especifica que debe basarse en una relación comercial previa o una solicitud de información reciente.

Luego, las solicitudes de baja deben procesarse en un plazo de 5 días hábiles en lugar de los 10 días que exige la CASL.

Perspectiva de experto: adopta las mejores prácticas para el cold emailing con Mail Merge for Gmail

Proporciona un enlace de baja fácil y visible

Permitir que los destinatarios se den de baja fácilmente no solo es un requisito legal, sino también una señal de respeto.

Además, Mail Merge for Gmail ofrece dos métodos para esto. El primero consiste en insertar un pie de página de baja completo y estandarizado. El segundo consiste en insertar un enlace de baja personalizado.

💡 Lo explicamos todo en una documentación dedicada.

Gestiona las bajas de forma eficiente

Nunca vuelvas a contactar a alguien que se ha dado de baja. Es esencial mantenerse en cumplimiento. La gestión manual es arriesgada y propensa a errores.

Con Mail Merge for Gmail, no hay necesidad de crear un documento adicional: gestiona todo directamente desde tu Google Sheet, creando una columna específica para las bajas.

No descuides la seguridad

La seguridad es un tema crucial en el cold emailing. Debes asegurarte de que los datos de tus clientes potenciales estén protegidos contra cualquier acceso no autorizado, incluyendo tanto la información personal como las interacciones de las campañas de correo.

Con Mail Merge for Gmail:

• Tus datos permanecen seguros en los servidores de Google.
• Protocolos de seguridad avanzados para cifrar datos en tránsito y en reposo (AES 256-bit).
• Autenticación mediante Google Sign-In con 2FA.
• No se comparten datos personales con terceros.
• Mail Merge no tiene acceso a tus correos electrónicos.
• Certificación ISO 27001.
• Certificación CASA Tier 3.

💡 Probamos 20 herramientas de cold emailing entre las más recomendadas. 7 destacaron, evaluadas según 8 criterios.

En conclusión, ¡esperamos que ahora tengas una comprensión clara de las diversas normativas y mejores prácticas! ¿Por qué no pruebas Mail Merge for Gmail, la mejor herramienta para cumplir con los requisitos de cumplimiento?