L’ICO ha multato Join the Triboo Limited (Triboo) di £ 130.000 per aver inviato 107 milioni di e-mail di spam a 437.324 persone tra agosto 2019 e agosto 2020. Le azioni di Triboo hanno violato il Regolamento sulla privacy e le comunicazioni elettroniche del 2003 (PECR) in quanto il consenso al marketing ottenuto non era specifico o informato sul tipo di marketing che il destinatario avrebbe ricevuto o da chi sarebbe stato inviato.
Questa sanzione pecuniaria è particolarmente degna di nota in quanto nessun individuo si è mai lamentato con l’ICO delle azioni di Triboo, indicando che l’ICO sta adottando una linea sempre più dura sulla conformità al PECR.
Sfondo
Triboo gestisce siti Web di ricerca di lavoro tra cui “uk.job-search.online”, “uk.jobinaclick.net”, “uk.jobs4you.website” e “findajob.website”. Triboo ha ottenuto i dettagli di contatto per le proprie campagne e-mail attraverso questi siti Web.
Una volta atterrati sulla pagina di registrazione, agli utenti è stata data la possibilità di scegliere tramite una casella di controllo: (a) di ricevere comunicazioni di marketing e (b) di condividere i propri dati con terze parti, come i “partner” di Triboo. In alcuni casi, un elenco di “partner” è stato reso disponibile nell’informativa sulla privacy di Triboo, a cui è stato collegato il modulo di registrazione.
Nel periodo di un anno, 459.562 persone si sono registrate sui siti Web, con 253.774 che hanno optato per ricevere comunicazioni di marketing. Triboo ha inviato 108.769.000 e-mail durante questo periodo, di cui circa 107 milioni sono state recapitate con successo. Triboo ha anche gestito 40 campagne di e-mail marketing per partner terzi. In totale, queste e-mail hanno raggiunto 437.324 individui unici, con una media di 244 e-mail a persona durante il periodo.
La legge
Il Regolamento PECR 22 stabilisce che le aziende non devono inviare e-mail di marketing indesiderate a singoli abbonati, a meno che:
- hanno acconsentito a ricevere tale posta elettronica; O
- sono un cliente esistente che ha precedentemente acquistato o richiesto informazioni su un prodotto o servizio simile dal mittente e ha fornito loro un’opzione di rinuncia semplice durante la raccolta iniziale dei dati e in ogni messaggio successivo (noto anche come “soft opt-out” In”).
Il mittente non deve mascherare o nascondere la propria identità e deve fornire un indirizzo di contatto valido in modo che le persone possano rinunciare o annullare l’iscrizione.
Contravvenzione
Il Commissario ha riconosciuto che non sono stati identificati reclami in relazione all’email marketing, ma non ne è rimasto sorpreso, dato che l’attività è stata spesso condotta tramite una terza parte e il coinvolgimento di Triboo non sarebbe stato evidente. Le attività di marketing di Triboo sono giunte all’attenzione dell’ICO durante un’indagine su una terza parte che aveva acquistato dati da Triboo.
L’ICO ha scoperto che il consenso ottenuto da Triboo non era “specifico” o “informato” per: (a) il tipo di comunicazione di marketing da ricevere, o (b) l’organizzazione che l’avrebbe inviata. Ad esempio, la formulazione del consenso su un sito affermava semplicemente “Accetto l’attività di marketing” mentre un’altra affermazione menzionava la ricezione di e-mail da “aziende selezionate” o “partner”, ma non identificava chi fossero queste terze parti. Questa informazione deve essere comunicata in modo chiaro e non nascosta in un’informativa sulla privacy o in caratteri piccoli.
Il Commissario ha concluso che la violazione era abbastanza grave da giustificare una sanzione pecuniaria. Ha osservato che Triboo era a conoscenza o avrebbe dovuto essere a conoscenza del rischio di conformità perché il Commissario aveva pubblicato una guida dettagliata, il problema del marketing indesiderato era stato ampiamente pubblicizzato dai media e Triboo era un esperto host marketer e fornitore di dati che operava da oltre 10 anni.
Conclusione e casi simili
La multa di Triboo fa eco alla decisione dell’ICO di gennaio di multare HelloFresh di 140.000 sterline per aver inviato 79 milioni di email e 1 milione di SMS in sette mesi. In questo caso la dichiarazione di consenso opt-in è stata giudicata non specifica e informata in quanto non menzionava il marketing tramite SMS e non richiedeva il consenso per il marketing via e-mail in una dichiarazione di conferma dell’età che si riteneva avesse ingiustamente incentivato i clienti ad accettare di ricevere marketing . Inoltre, i clienti non sono stati informati che i loro dati sarebbero stati utilizzati per scopi di marketing fino a 24 mesi dopo aver annullato l’abbonamento.
Questi casi dimostrano che l’ICO si sta concentrando sui requisiti affinché il consenso sia specifico e informato e le organizzazioni sono incoraggiate a rivedere la formulazione del consenso per garantire che sia conforme. Il consenso non sarà valido se agli individui viene chiesto di accettare di ricevere marketing da o per conto di organizzazioni non specificate. Gli individui devono inoltre avere la possibilità di scegliere con cognizione di causa il tipo di marketing che riceveranno.
Con i ringraziamenti a Matteo Konadu-Yiadomattuale tirocinante del team, per l’aiuto fornito nella preparazione di questo briefing.
La presente pubblicazione costituisce una sintesi generale della normativa. Non dovrebbe sostituire la consulenza legale adattata alle vostre circostanze specifiche.
© Farrer & Co LLP, luglio 2024
