Conformidade: TCPA, CAN-SPAM, GDPR, CASL
Conformidade de marketing e um dos poucos lugares onde "bom o suficiente" pode significar acoes coletivas, multas regulatorias ou seu dominio de remetente sendo bloqueado. Engage foi construido com conformidade forcada em tempo de fila e de envio.
Nao e aconselhamento juridico
Este documento explica como Engage implementa controles de conformidade. Nao e aconselhamento juridico. Para sua jurisdicao especifica, consulte advogado de conformidade.
TCPA (SMS dos EUA)
O Telephone Consumer Protection Act regula marketing SMS nos EUA. Engage implementa:
Tratamento de Palavra STOP
O handler de webhook Telnyx roda sincronamente em cada SMS de entrada. Se mensagem casa:
STOPSTOPALLCANCELUNSUBSCRIBEENDQUIT
(case-insensitive, trimmed), Engage imediatamente:
- Insere supressao SMS global para numero do remetente.
- Escreve linha
engage_compliance_audit_log. - Retorna SMS de confirmacao exigida pela carrier ("Voce foi cancelado. Responda START para reinscrever.").
Supressao e global - nenhum operador na plataforma pode mais enviar SMS a esse numero.
Horario de Silencio
Dispatcher forca horario de silencio 21h-9h local do destinatario em SMS. Se customers.timezone esta definido, esse fuso e usado.
Envios em horario de silencio sao mantidos na fila ate fronteira de 9h.
Estados de Double-Opt-In
Alguns estados exigem double opt-in para marketing SMS (CA, MA, FL, WA, OK). Engage registra metodo de opt-in:
| Metodo | Significado |
|---|---|
single | Condutor marcou caixa no cadastro |
double | Confirmado via segundo SMS ou link de email |
imported | Importado de lista - cuidado |
transactional_inferred | SMS operacional mas sem opt-in explicito |
10DLC
Carriers dos EUA exigem registro 10DLC. Levy patrocina centralmente. Contate suporte se subconta nova e SMS nao habilitado.
CAN-SPAM (Email dos EUA)
Elementos de Rodape Obrigatorios
Todo email de marketing deve incluir:
- Seu endereco legal de
subaccounts.legal_address. Se vazio, Engage bloqueia publicacao. - Link de cancelamento via
{{unsubscribe.url}}.
Cabecalhos List-Unsubscribe
List-Unsubscribe: <https://[seu-dominio]/api/engage/u/[token]>
List-Unsubscribe-Post: List-Unsubscribe=One-Click
Esses cabecalhos habilitam o botao "Cancelar" no topo do Gmail.
List-Unsubscribe-Post: List-Unsubscribe=One-Click e o marcador RFC 8058.
Veracidade da Linha de Assunto
CAN-SPAM exige assuntos que "refletem com precisao o conteudo da mensagem". Engage nao forca programaticamente - voce escreve assuntos honestos.
GDPR (UE)
Registros de Consent
Toda decisao de consent e registrada imutavelmente. Quando condutor:
- Marca caixa de marketing no cadastro
- Toggle canal no centro de preferencias
- Cancela via um clique
- Pede ao suporte para opt-out
...Engage escreve linha em engage_compliance_audit_log com:
- ID do cliente
- A mudanca
- Timestamp
- Endereco IP (se disponivel)
- User agent (se disponivel)
Append-only.
Direito de Ser Esquecido
Quando condutor exerce GDPR Artigo 17:
- Linha
customersmarcadais_deleted = true. - Todos
journey_runsativos definemexited_at. - Campos PII em
engagement_eventszerados. - Entrada de audit log da acao RTBF retida.
Base Legal
Base legal para envios de marketing e consent - significa opt-in, nao "se cadastraram, entao implicitamente consentiram".
Residencia de Dados
Dados de condutores UE armazenados em regioes Postgres UE se subconta configurada.
CASL (Canada)
CASL e mais rigida que CAN-SPAM e exige consent expresso.
Consent Expresso
Voce precisa de acao de consent positiva, documentada.
Para condutores canadenses, opt_in_method deve ser single ou double.
Retencao de Audit 10 Anos
CASL exige guardar registros de consent por 10 anos. Engage retem engage_compliance_audit_log indefinidamente por padrao.
Cancelamento em 10 Dias
CASL exige honrar cancelamentos em 10 dias uteis. Engage honra imediatamente.
Outros Frameworks
| Framework | Onde aplica | Suporte Engage |
|---|---|---|
| PECR | Reino Unido | Herdado do GDPR |
| LGPD | Brasil | Como GDPR |
| CPRA | California | RTBF + opt-out automatico |
| VCDPA | Virginia | Como CPRA |
| CTDPA | Connecticut | Como VCDPA |
Como Engage Forca Conformidade
Em Publicacao
Nao pode publicar se:
- Modelo sem
{{unsubscribe.url}} - Modelo sem
{{subaccount.legal_address}} subaccounts.legal_addressvazio- Audiencia inclui condutores sem consent
Em Fila
Para cada envio:
- Lookup de lista de supressao
- Verificacao de consent de canal
- Verificacao de horario de silencio (so SMS)
Em Despacho
Para cada envio:
- Verificacao final de supressao
- Cabecalhos List-Unsubscribe anexados
- Assinatura DKIM via Postmark
Em Webhook
Para cada webhook:
- Deteccao de palavra STOP
- Processamento de bounce/queixa
- Linha de audit log escrita
Trilha de Audit
Tabela engage_compliance_audit_log e sua evidencia de conformidade. Exportar via:
- Engage > Configuracoes > Conformidade > Exportar Audit Log
- API
Manter pelo menos 10 anos de historico.
Melhores Praticas
- Capture consent no cadastro explicitamente.
- Nao preencha consent retroativamente.
- Audite listas importadas.
- Teste o fluxo de cancelamento.
Precisa de ajuda?
Ajuda com conformidade: support@levyelectric.com. Para questoes legais, consulte advogado.