Una società inglese che si occupa di pensioni è stata sanzionata per 40.000 sterline dall’ICO in base alla direttiva ePrivacy. La multa dell’ICO (l’Autorità inglese per la protezione dei dati personali) riguarda la società Grove Pensions Solutions Ltd, per aver utilizzato i dati di contatto raccolti da una terza parte per la sua campagna di marketing diretto.
L’autorità ha sanzionato la società basandosi sulla legge nazionale inglese attuativa della direttiva UE ePrivacy, che norma le comunicazioni elettroniche tramite provider telefonici e internet.
Indice degli argomenti
Le contestazioni a Grove
Secondo la ricostruzione dei fatti, Grove si sarebbe servita di un’agenzia di marketing per inviare e-mail per suo conto, omettendo per negligenza di chiedere il consenso a chi avrebbe ricevuto tali email. L’ICO ha stabilito che Grove doveva sapere che il suo comportamento avrebbe potuto violare le norme sul marketing diretto.
Attraverso l’agenzia di marketing, Grove ha inviato quasi due milioni di e-mail di marketing diretto tra il 31 ottobre 2016 e il 31 ottobre 2017. L’agente ha fornito servizi di lead generation, tra cui la collaborazione con i provider di posta elettronica che hanno inviato e-mail previamente approvate agli abbonati. Sebbene i destinatari delle e-mail avessero dato il consenso alle terze parti che hanno consegnato e-mail di marketing per conto di Grove, Grove non è stato specificamente nominato come mittente di comunicazioni di marketing quando sono stati ottenuti i relativi consensi, e non aveva alcun rapporto precedente con gli individui.
La violazione della direttiva ePrivacy
Secondo l’ex Garante della privacy Francesco Pizzetti, “ICO ha sanzionato un’attività di marketing diretto fatta attraverso un processor terzo, per il fatto che il processor non aveva avuto incarico dal controller di segnalare che la comunicazione era inviata a suo nome”.
Il caso è importante per segnalare come la direttiva ePrivacy, che richiede un consenso specifico, è in vigore: “ICO ha seguito la legge nazionale inglese in applicazione della direttiva ePrivacy, che in quanto direttiva trova appunto in ogni Paese applicazione tramite le leggi nazionali, fino a che verrà approvato il regolamento”.
Si entrerà nel vivo della discussione sulla normativa ePrivacy la prossima settimana, in quanto tra l’8 e il 9 aprile è prevista l’eventuale approvazione del regolamento, che affiancherà il GDPR. L’obiettivo è attuarlo prima delle elezioni europee: “Se il regolamento sarà approvato, in quanto tale non avrà bisogno di leggi nazionali per essere applicato”, precisa Pizzetti.
