Ley CAN-SPAM y legislación anti-spam: lo que debes saber

Ley CAN-SPAM y legislación anti-spam: lo que debes saber

La ley antispam no prohíbe el correo comercial: regula cómo enviarlo. Esa es la trampa que casi nadie entiende. La CAN-SPAM Act de Estados Unidos (2003) permite bombardearte a emails siempre que el remitente cumpla unas reglas mínimas, mientras que en Europa el RGPD y la Directiva ePrivacy invierten el planteamiento: sin tu permiso previo, nada. Entender esta diferencia es la base de toda la legislación spam moderna. Aquí desmontamos qué exige cada normativa de email marketing, qué sanciones existen de verdad y por qué el correo basura sigue llegando a tu bandeja pese a tanta ley. Sin letra pequeña de abogado, con lo que necesitas saber.

Qué es la CAN-SPAM Act y por qué se queda corta

La CAN-SPAM Act (Controlling the Assault of Non-Solicited Pornography And Marketing) es la ley federal estadounidense que desde 2003 marca las reglas del correo comercial. La gestiona la Federal Trade Commission (FTC), y su nombre es medio broma legislativa: el acrónimo suena a "se puede spamear", y básicamente lo permite.

Su enfoque es opt-out. Una empresa puede enviarte un primer email sin haberte pedido permiso. Solo debe cumplir estos requisitos:

  • Cabeceras honestas. El "De", "Para" y la ruta del mensaje no pueden falsear quién envía.
  • Asunto no engañoso. Nada de "Has ganado un iPhone" cuando venden hipotecas.
  • Identificar el mensaje como publicidad. No hace falta un cartel enorme, pero sí quedar claro.
  • Dirección física válida del remitente en el pie.
  • Mecanismo de baja visible y funcional durante al menos 30 días.
  • Procesar la baja en un máximo de 10 días hábiles.

La sanción teórica llega hasta 51.744 dólares por email infractor (cifra actualizada por inflación por la FTC en años recientes). Suena demoledor. En la práctica, la FTC persigue a los reincidentes graves, no al florista que se despistó con una casilla. Ese es el agujero: la CAN-SPAM Act legaliza el primer disparo, y los spammers profesionales operan desde jurisdicciones donde la FTC no llega.

Europa juega al revés: RGPD y el consentimiento previo

Aquí cambia todo. La normativa de email marketing europea parte del opt-in: primero pides permiso, luego envías. El Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679, aplicable desde mayo de 2018) exige un consentimiento libre, específico, informado e inequívoco. La casilla premarcada murió con él.

A eso se suma la Directiva ePrivacy (2002/58/CE) y, en España, la LSSI-CE (Ley 34/2002) junto a la LOPDGDD (Ley Orgánica 3/2018). La combinación deja una regulación del correo masivo mucho más estricta que la americana. Puntos clave que impone esta legislación spam en la UE:

  • Consentimiento previo antes del primer envío comercial.
  • Excepción de relación contractual previa: si ya te compró, una empresa puede enviarte ofertas de productos similares, siempre con baja fácil.
  • Derecho de acceso, rectificación y supresión de tus datos en cualquier momento.
  • Baja gratuita en cada comunicación.

La AEPD (Agencia Española de Protección de Datos) es quien reparte multas aquí, y no son simbólicas. El RGPD contempla sanciones de hasta 20 millones de euros o el 4% de la facturación anual global de la empresa, lo que sea mayor. Hay resoluciones públicas en el BOE contra empresas que enviaron promociones sin base legal. La diferencia con la FTC es que la AEPD sí actúa sobre casos cotidianos.

Comparativa rápida: EE. UU. vs. Unión Europea

AspectoCAN-SPAM Act (EE. UU.)RGPD + ePrivacy (UE)
Modelo baseOpt-out (permiso implícito)Opt-in (permiso explícito)
Primer email sin permisoPermitidoProhibido (salvo cliente previo)
AutoridadFTCAEPD y homólogas nacionales
Sanción máxima~51.744 $ por email20 M€ o 4% facturación global
Baja obligatoriaSí, ≤10 díasSí, inmediata y gratuita

Traducción para quien envía newsletters: si tu lista incluye contactos europeos, la ley que manda es la europea, aunque tu servidor esté en Texas. El criterio es dónde está el destinatario, no la empresa. Muchos negocios que montan su página web con formulario de suscripción descubren tarde que necesitan doble opt-in para dormir tranquilos.

Por qué sigue llegando spam si hay tantas leyes

Buena pregunta, y la respuesta incomoda. La ley antispam funciona contra empresas legítimas con nombre, dirección y cuentas bancarias rastreables. No hace nada contra el crimen organizado que envía millones de correos desde botnets.

El spam real no cumple ninguna norma porque a quien lo envía le da igual la FTC o la AEPD. Usa identidades falsas, servidores comprometidos y dominios de usar y tirar. Perseguirlos requiere cooperación policial internacional, no una carta de un regulador. Por eso la regulación del correo masivo convive con estas realidades:

  • Spam desde botnets: redes de ordenadores infectados que envían en nombre de víctimas ajenas. Aquí entra el malware en dispositivos móviles, que convierte tu teléfono en un nodo emisor sin que lo notes.
  • Phishing enmascarado: no vende nada, roba. La ley lo persigue como fraude, no como spam. Los timos por phishing con Bizum son el ejemplo que más ha crecido en España.
  • Suplantación de soporte: el angler phishing en redes sociales ni siquiera usa email, esquivando de golpe toda la legislación spam basada en correo.

La ley es una capa de defensa, no la única. Necesitas filtros técnicos que actúen antes de que el mensaje toque tu bandeja. Ahí es donde un filtro con IA como el nuestro hace el trabajo sucio que ninguna normativa puede hacer por ti.

Qué debes cumplir si envías email marketing

Si tienes un negocio y mandas comunicaciones, la normativa de email marketing te aplica aunque seas autónomo con 40 suscriptores. Lista mínima de supervivencia legal en la UE:

  1. Consentimiento documentado. Guarda cuándo, cómo y para qué se suscribió cada contacto. Sin prueba, no hay defensa ante la AEPD.
  2. Doble opt-in. Email de confirmación tras el alta. No es obligatorio por ley, pero es la mejor prueba de consentimiento.
  3. Baja en un clic. Enlace visible en cada envío, sin obligar a iniciar sesión ni rellenar formularios kafkianos.
  4. Identificación clara del responsable: nombre, CIF y dirección.
  5. Política de privacidad enlazada y actualizada.
  6. Registro de actividades de tratamiento, obligatorio para casi cualquier empresa bajo RGPD.

Herramientas útiles para tu higiene digital: Have I Been Pwned para comprobar si tu lista contiene direcciones filtradas en brechas, y VirusTotal para analizar adjuntos sospechosos antes de reenviarlos. Si gestionas datos sensibles, plantéate cifrar las comunicaciones de tu empresa como capa extra, algo que el RGPD valora como medida de seguridad proactiva. Y si tu spam llega por otro canal, revisa cómo frenar el spam en LinkedIn, que se rige por sus propias reglas y no por la CAN-SPAM.

Preguntas frecuentes

¿La CAN-SPAM Act se aplica a empresas europeas?

Solo si envías correo comercial a destinatarios en Estados Unidos. Si tu público está en Europa, mandan el RGPD y la Directiva ePrivacy. Cuando tu lista mezcla ambos, debes cumplir la norma más estricta para cada contacto según dónde esté.

¿Es legal comprar bases de datos de emails para hacer marketing?

En la Unión Europea, prácticamente no. El RGPD exige que cada persona haya consentido recibir tus comunicaciones, y un consentimiento dado a otra empresa no se transfiere. Comprar listas es una de las prácticas que más multas de la AEPD genera.

¿Qué diferencia hay entre spam y phishing a efectos legales?

El spam es correo comercial no solicitado y se regula por leyes de protección de datos. El phishing es fraude: suplanta identidades para robar credenciales o dinero, y se persigue por vía penal. Un mismo email puede ser ambas cosas, pero el phishing conlleva consecuencias mucho más graves.

¿Me pueden multar por no poner un enlace de baja en mi newsletter?

Sí. Tanto la CAN-SPAM como la LSSI-CE española lo exigen. En Europa, omitir la baja o no procesarla vulnera el RGPD y expone a sanciones de la AEPD. Es de las infracciones más fáciles de demostrar, porque basta un solo email como prueba.

¿Denunciar spam a las autoridades sirve de algo?

Con empresas legítimas, sí: la AEPD investiga denuncias y hay resoluciones publicadas en el BOE. Con spam criminal desde botnets, el impacto es limitado porque el emisor es difícil de localizar. Para ese segundo caso, un buen filtro antispam protege más que una denuncia.

El siguiente paso

Abre ahora tu último correo comercial y busca el enlace de baja. Si no lo tiene, o si el remitente no incluye dirección física ni identificación clara, estás ante un incumplimiento de la ley antispam: márcalo como spam y, si es una empresa española con datos identificables, guárdalo como prueba por si decides reportarlo a la AEPD.

can spam act ley antispam legislación spam normativa email marketing regulación correo masivo

Artículos relacionados

Robollamadas en España: qué son y cómo evitarlas
Spam y Correo No Deseado

Robollamadas en España: qué son y cómo evitarlas

Spam vs scam: diferencias y cómo identificar cada uno
Spam y Correo No Deseado

Spam vs scam: diferencias y cómo identificar cada uno

← Volver al blog