Cold emailing: o guia completo para cumprir regulamentações e melhores práticas (e obter resultados!)

O cold emailing e o e-mail marketing são legais?

Existem diferenças entre países?

Estas são apenas algumas das perguntas que responderemos neste artigo, com dois objetivos principais: primeiro, ajudar você a entender completamente as regulamentações em vigor e, segundo, orientar você sobre exatamente o que fazer se estiver enviando e-mails comerciais.

A legalidade do cold emailing e as regulamentações atuais

O cold emailing é legal em todos os países?

Sim, na maioria dos países, o cold emailing é permitido sob condições específicas.

Mas… (sabemos que você não gosta quando há um “mas”!) Alguns países, como Canadá e Dinamarca, possuem regulamentações extremamente rígidas em relação ao cold emailing.

Além disso, é crucial diferenciar entre e-mails enviados para destinatários B2C, que quase sempre exigem consentimento explícito (opt-in), e aqueles enviados para destinatários B2B, que podem ser permitidos sob certas condições, dependendo das leis locais.

Ainda não está claro? Não se preocupe, vamos detalhar tudo com listas de verificação abrangentes para garantir que você esteja totalmente preparado.

Quais são as principais regulamentações?

O envio de e-mails comerciais é regido por várias regulamentações ao redor do mundo. Dependendo do país alvo, as regras podem variar de mais a menos rigorosas. Aqui está uma visão geral das principais leis atualmente em vigor:

• GDPR (União Europeia)

• CAN-SPAM Act (Estados Unidos)

• CASL (Canadá)

• PECR (Reino Unido)

• Spam Act (Austrália)

Todas seguem os mesmos princípios básicos:

1. Aplicam-se a mensagens com propósito comercial ou promocional (venda de produtos, serviços, parcerias).

2. Cobrem diferentes canais de comunicação, como e-mails, SMS, mensagens instantâneas, chamadas telefônicas e mensagens em redes sociais.

3. Aplicam-se a indivíduos ou empresas que enviam mensagens para residentes de um determinado país, independentemente da origem do remetente.

⚠️ Mas tenha cuidado, diferentes regulamentações podem se sobrepor! Se uma empresa americana envia e-mails comerciais para destinatários em países com leis mais rígidas, essas leis mais rigorosas também podem se aplicar.

Exemplos

• Uma empresa francesa envia e-mails para prospects nos Estados Unidos → CAN-SPAM Act aplicável.

• Uma empresa americana envia e-mails para prospects na França → CAN-SPAM Act e GDPR aplicáveis.

CAN-SPAM Act (Estados Unidos)

O que é o CAN-SPAM Act?

O Controlling the Assault of Non-Solicited Pornography And Marketing Act (CAN-SPAM) impõe várias obrigações. Aqui estão as mais importantes:

• O remetente deve ser claramente identificado nos campos “De”, “Para”, “Responder para”, e os cabeçalhos do e-mail não devem ser enganosos.

• O assunto do e-mail deve refletir com precisão seu conteúdo.

• O remetente deve ser transparente sobre a natureza comercial da mensagem. No entanto, não é obrigatório declarar explicitamente que o e-mail é um anúncio, desde que o conteúdo não seja enganoso.

• Cada e-mail deve incluir o endereço postal da empresa remetente (sede, escritório ou caixa postal registrada).

• O e-mail deve incluir um link de cancelamento de inscrição fácil de usar. O remetente tem 10 dias para processar solicitações de cancelamento. A opção de cancelamento deve ser gratuita e não deve exigir nenhuma informação adicional além de um endereço de e-mail. Por exemplo, o remetente não pode exigir que o destinatário faça login em uma conta ou preencha um formulário para cancelar a inscrição.

• Uma vez que uma pessoa tenha cancelado a inscrição, ela não deve mais receber e-mails comerciais daquele remetente.

Quais são as penalidades por não conformidade?

A principal penalidade é que as empresas podem enfrentar multas de até 51.744 dólares por e-mail violador. Além disso, executivos da empresa e responsáveis podem ser responsabilizados pessoalmente. Ademais, e-mails fraudulentos ou enganosos também podem ser tratados como infrações criminais.

Lista de verificação de melhores práticas para cold emailing para cumprir o CAN-SPAM Act

1️⃣ Identifique corretamente o remetente

• Use um nome e endereço de e-mail claros e verificáveis nos campos “De”, “Para” e “Responder para”.

• Não mascare ou falsifique a identidade do remetente.

• Forneça um endereço físico válido onde a empresa possa ser contatada (escritório, sede ou caixa postal registrada nos Estados Unidos).

2️⃣ Crie um e-mail em conformidade com o CAN-SPAM

• A linha de assunto deve ser honesta e refletir com precisão o conteúdo da mensagem (sem títulos enganosos).

• Se o e-mail for um anúncio ou promoção, ele deve ser claramente identificável como tal. O CAN-SPAM Act não exige um rótulo explícito de “Anúncio”, mas qualquer forma de engano é proibida na apresentação da mensagem.

• Evite usar informações falsas ou cabeçalhos enganosos no e-mail.

3️⃣ Inclua uma opção de cancelamento de inscrição clara e fácil

• Adicione um link de cancelamento de inscrição visível e fácil de usar.

• Não exija que o destinatário faça login em uma conta ou forneça informações adicionais para cancelar a inscrição, e garanta que a solicitação seja processada dentro de 10 dias.

4️⃣ Garanta uma boa entregabilidade e evite ser marcado como spam

• Use um endereço de e-mail profissional, evitando endereços genéricos (ex: no-reply@, info@).

• Configure corretamente as definições de DKIM, SPF e DMARC.

• Evite enviar grandes volumes de e-mails de uma só vez; em vez disso, opte por envios graduais e direcionados.

5️⃣ Gerencie respostas e rastreie e-mails enviados

• Certifique-se de que o endereço “Responder para” seja funcional e monitorado (os destinatários devem ser capazes de responder ao seu e-mail).

• Mantenha um registro de contatos que cancelaram a inscrição e garanta que eles não recebam mais mensagens comerciais.

Exemplo de um e-mail comercial em conformidade com o CAN-SPAM

Antes de ver um bom exemplo, vamos examinar um contraexemplo.

❌ Por que este e-mail é ilegal?

• Ele afirma falsamente que a conta do usuário foi suspensa, quando na verdade é um e-mail de marketing.

• O e-mail finge vir da Amazon, embora não seja o caso.

• Cria a impressão de um alerta de segurança em vez de uma mensagem promocional.

• Não há endereço físico ou opção de cancelamento de inscrição incluída.

Aqui está agora um exemplo a ser seguido.

✅ Por que este e-mail está em conformidade?

• A linha de assunto reflete com precisão o conteúdo da mensagem.

• O remetente é claramente identificado (nome e endereço de e-mail profissional).

• O e-mail declara claramente que é uma oferta comercial.

• Inclui um endereço físico para fins de contato.

• A opção de cancelamento de inscrição é clara e funcional.

GDPR (União Europeia)

O que é o GDPR?

O General Data Protection Regulation (GDPR), que entrou em vigor em 2018, visa proteger os dados pessoais dos cidadãos europeus, impondo regras rigorosas às empresas e organizações que coletam e processam esses dados.

📌 Ao contrário do CAN-SPAM Act, que regula apenas o envio de e-mails comerciais, o GDPR aplica-se a todas as formas de processamento de dados pessoais.

O GDPR baseia-se em dois princípios principais:

1. Consentimento Explícito (Opt-In): Geralmente necessário para coletar e usar dados pessoais, especialmente para o envio de e-mails de marketing. Em alguns casos, uma empresa pode invocar outra base legal, como o “interesse legítimo”, particularmente para comunicações B2B.

2. Direito ao Apagamento (“Direito ao Esquecimento”): qualquer indivíduo pode solicitar a exclusão de seus dados pessoais, a menos que a retenção seja necessária (ex: obrigações legais, contratos em curso, interesse público).

💡Definição Útil: O GDPR define dados pessoais como qualquer informação que identifique direta ou indiretamente uma pessoa física:

• Identificadores diretos: Nome, sobrenome, e-mail, número de telefone…

• Identificadores indiretos: Endereço IP, cookies, dados de geolocalização…

• Dados sensíveis: Informações de saúde, origem étnica, opiniões políticas, orientação sexual… (protegidos de forma mais rigorosa).

Princípios-chave impostos às empresas que lidam com dados pessoais:

• Os dados devem ser coletados e processados de forma legal e transparente (sem coleta oculta ou enganosa).

• Os dados devem ser coletados para um propósito específico, legítimo e claramente definido (ex: assinatura de newsletter).

• Apenas dados estritamente necessários devem ser coletados (sem coleta excessiva de dados).

• Os dados não devem ser mantidos indefinidamente, apenas pelo tempo necessário para atingir o propósito inicial.

• As empresas devem proteger os dados contra acesso não autorizado, perda e violações.

Penalidades por não conformidade com o GDPR

As empresas que não cumprem o GDPR estão sujeitas a multas severas: até 20 milhões de euros ou 4% do faturamento anual global, o que for maior.

Exemplo:

Meta/Facebook (2023): multa de 1,2 bilhão de euros pela transferência ilegal de dados para os Estados Unidos.

Lista de verificação de melhores práticas para cold emailing para cumprir o GDPR

1️⃣ Opt-in ou não?

• Pré-consentimento (“Opt-In”) Necessário para B2C: Obtenha consentimento explícito antes de enviar e-mails de marketing para indivíduos (B2C).

• Sem Opt-In Obrigatório para B2B: No entanto, garanta que haja um interesse legítimo e certifique-se de que a mensagem seja relevante para a atividade profissional do destinatário.

2️⃣ Qual endereço de e-mail usar?

• Para o destinatário: não contate profissionais usando seu endereço de e-mail pessoal (ex: Gmail, Yahoo). Sempre use um endereço de e-mail profissional (ex: [email protected]).

• Para o remetente: use um endereço de e-mail profissional e evite endereços genéricos (ex: no-reply@, info@).

3️⃣ Redigindo um e-mail em conformidade com o GDPR

• Declare claramente a identidade do remetente: Inclua o nome do remetente e a empresa.

• Explique o motivo do contato: Esclareça o vínculo profissional legítimo.

• Adicione uma declaração de transparência: Explique de onde vieram as informações de contato (ex: “Encontramos seu contato no [LinkedIn / site oficial]”).

• Sem linha de assunto enganosa: o assunto deve refletir com precisão o conteúdo do e-mail.

• Inclua um link para a política de privacidade: explique claramente como os dados pessoais são gerenciados.

• Forneça uma opção de cancelamento de inscrição clara. Por exemplo, “Se você não deseja mais receber e-mails nossos, clique aqui.”

4️⃣ Garanta uma boa entregabilidade e reputação

• Configure corretamente DKIM, SPF e DMARC para evitar ser marcado como spam.

• Favoreça envios individualizados: Evite o envio em massa para manter uma boa reputação.

• Personalize cada e-mail: Inclua o nome e sobrenome do destinatário para aumentar o engajamento.

5️⃣ Gerencie os direitos dos destinatários

• Processe solicitações de cancelamento de inscrição imediatamente: O mais tardar 30 dias após a solicitação.

• Não contate novamente indivíduos que solicitaram a exclusão: Uma vez que alguém tenha solicitado a exclusão de dados, respeite o pedido permanentemente.

• Mantenha registros de cancelamento de inscrição: Mantenha prova das solicitações para demonstrar conformidade em caso de inspeção.

6️⃣ Gerencie e proteja os dados coletados

• Armazene dados apenas pelo tempo necessário: Evite manter e-mails desatualizados ou desnecessários.

• Proteja os dados adequadamente: Implemente criptografia e acesso restrito para proteger os dados contra uso não autorizado.

• Estabeleça um procedimento de resposta ao GDPR: Garanta a conformidade estabelecendo processos para solicitações de acesso, modificação e exclusão de dados.

PECR (Reino Unido)

O PECR e o UK GDPR são inseparáveis quando se trata de cold emailing no Reino Unido. E agora você pode estar pensando: o quê? Duas regulamentações? 🫨

Não se preocupe! O PECR regula e-mails de marketing, enquanto o UK GDPR regula a gestão de dados pessoais usados nesses e-mails. Em termos de proteção de dados, o UK GDPR é tão rigoroso quanto o GDPR da UE. Portanto, se você domina a conformidade com o GDPR, não há diferença aqui. Quanto ao PECR, ele é mais leniente no B2B, mas tão rigoroso no B2C quanto o GDPR.

👉 Em resumo: Se você cumpre totalmente o GDPR, você está automaticamente em conformidade com o PECR e até excede alguns de seus requisitos.

A principal diferença com o GDPR: Envio de E-mails de Marketing B2B

• Endereços Genéricos (ex: [email protected]): O PECR permite o envio sem consentimento prévio.

• Endereços Pessoais (ex: [email protected]): O interesse legítimo geralmente é suficiente, desde que a mensagem seja relevante para o cargo do destinatário.

CASL (Canadá)

Se você achava que o GDPR era rigoroso, prepare-se: o Canadá leva o cold emailing a sério!

O que é o CASL?

O Canadian Anti-Spam Legislation (CASL), promulgado em 2014, é uma das leis mais rígidas do mundo quando se trata de e-mail comercial. Ao contrário do CAN-SPAM Act e do GDPR, o CASL exige consentimento explícito (opt-in), com poucas exceções específicas.

Princípio Básico: OPT-IN OBRIGATÓRIO. Ao contrário do CAN-SPAM Act (onde um simples opt-out é suficiente), o CASL exige consentimento prévio (opt-in) em quase todos os casos. O consentimento implícito é regulado de forma muito restrita.

💡 Bom saber: Um consentimento implícito expira após 6 a 24 meses se o destinatário não tiver mais interação com a empresa.

Penalidades por não conformidade com o CASL

As multas são particularmente severas: até 10 milhões de CAD para uma empresa. Até 1 milhão de CAD para um indivíduo. Além disso, ações judiciais civis podem ser movidas.

Lista de verificação de melhores práticas para cold emailing para cumprir o CASL

Para ser mais eficiente, recomendamos usar a lista de verificação específica do GDPR detalhada anteriormente. Aqui estão os pontos que diferem do GDPR para garantir a conformidade com o CASL:

1️⃣ Opt-In

O opt-in é necessário tanto para comunicações B2C quanto para a maioria das comunicações B2B.

Exemplos:

Um formulário onde a pessoa marca uma caixa não marcada para concordar em receber e-mails.

Uma assinatura voluntária de uma newsletter.

Um double opt-in (e-mail de confirmação após a inscrição).

2️⃣ O consentimento implícito é excepcional e estritamente limitado:

• Relacionamento comercial existente: Por exemplo, o destinatário comprou um produto ou serviço nos últimos 24 meses.

• Consulta de prospect: Por exemplo, uma pessoa preencheu um formulário de contato em seu site nos últimos 6 meses.

• Relacionamento entre organizações sem fins lucrativos ou membros da mesma associação.

3️⃣ A solicitação de cancelamento de inscrição deve ser processada dentro de 10 dias no máximo (em vez de 30 dias conforme exigido pelo GDPR).

Spam Act (Austrália)

O que é o Spam Act?

O Spam Act (2003) aplica-se a qualquer indivíduo ou organização que envie mensagens eletrônicas para destinatários na Austrália, independentemente do país de origem do remetente. Esta lei é muito semelhante ao CASL (Canadá).

Lista de verificação de melhores práticas para cold emailing para cumprir o Spam Act

Recomendamos seguir a lista de verificação específica do CASL descrita anteriormente. No entanto, dois pontos principais diferem:

Primeiro, o Spam Act permite o consentimento inferido em situações B2B se um relacionamento comercial pré-existente for estabelecido (ex: uma compra feita nos últimos 24 meses).

💡 Definição Útil: Consentimento inferido é uma interpretação razoável de que o destinatário aceita receber e-mails, com base em um relacionamento comercial pré-existente ou uma consulta recente (geralmente nos últimos 6 meses). A lei especifica que deve ser baseada em um relacionamento comercial anterior ou em uma solicitação de informações recente.

Depois, as solicitações de cancelamento de inscrição devem ser processadas dentro de 5 dias úteis em vez de 10 dias conforme exigido pelo CASL.

Insight de Especialista: adote melhores práticas para cold emailing com Mail Merge for Gmail

Forneça um link de cancelamento de inscrição fácil e visível

Permitir que os destinatários cancelem a inscrição facilmente não é apenas um requisito legal, mas também um sinal de respeito.

Além disso, o Mail Merge for Gmail oferece dois métodos para isso. O primeiro consiste em inserir um rodapé de cancelamento de inscrição completo e padronizado. O segundo consiste em inserir um link de cancelamento de inscrição personalizado.

💡 Explicamos tudo em uma documentação dedicada.

Gerencie eficientemente os cancelamentos de inscrição

Nunca contate novamente alguém que cancelou a inscrição. É essencial permanecer em conformidade. O gerenciamento manual é arriscado e propenso a erros.

Com o Mail Merge for Gmail, não há necessidade de criar um documento extra: gerencie tudo diretamente da sua Google Sheet, criando uma coluna específica para cancelamentos de inscrição.

Não negligencie a segurança

A segurança é uma questão crucial no cold emailing. Você deve garantir que os dados de seus prospects estejam protegidos contra qualquer acesso não autorizado, incluindo informações pessoais e interações de campanhas de e-mail.

Com o Mail Merge for Gmail:

• Seus dados permanecem seguros nos servidores do Google.
• Protocolos de segurança avançados para criptografar dados em trânsito e em repouso (AES 256-bit).
• Autenticação via Google Sign-In com 2FA.
• Nenhum dado pessoal é compartilhado com terceiros.
• O Mail Merge não tem acesso aos seus e-mails.
• Certificação ISO 27001.
• Certificação CASA Tier 3.

💡 Testamos 20 ferramentas de cold emailing entre as mais recomendadas. 7 se destacaram, avaliadas com base em 8 critérios.

Em conclusão, esperamos que agora você tenha uma compreensão clara das várias regulamentações e melhores práticas! Por que não experimentar o Mail Merge for Gmail, a melhor ferramenta para atender aos requisitos de conformidade?