A multa de 90 mil libras foi anunciada depois que o regulador de dados britânico concluiu que o banco dos EUA havia infringido a lei ao realizar o disparo, de um total de cerca de 50 milhões, para clientes que já haviam optado por não receber campanhas de marketing da empresa.

"Este é um exemplo claro de uma empresa que errou e agora enfrenta as consequências", disse o chefe de investigações da ICO, Andy Curry, reconhecendo que a multa foi, efetivamente, um pequeno troco para a Amex (O banco lucrou U$ 1.4 BI somente no último trimestre de 2020, segundo balanço).

“Foi uma ação deliberada para ganho financeiro da organização", disse a ICO (agência responsável pela Lei de Proteção de Dados no Reino Unido) em um comunicado. Os clientes foram incentivados a gastar 500 libras em seus cartões de crédito American Express em troca de um benefício de 50 libras, sob o título "ofertas premiadas só para você".

O banco ignorou as reclamações, alegando que o spam era "uma exigência de seus contratos de crédito com os clientes". Isso não era verdade, e os clientes bombardeados com spam já haviam optado por não receber e-mails de marketing.

Segundo a Amex, o spam foi classificado internamente como uma mensagem de serviço em vez de marketing. As mensagens de serviço devem ser usadas para obter informações sobre o mesmo ‒ por exemplo, notificações de tempo de inatividade programado ou alterações nas taxas de juros. Em vez disso, a Amex enviava uma caixa de entrada indesejada anunciando novos produtos e serviços.

O banco disse aos seus clientes: "Sentimos que os membros do cartão estariam em desvantagem se não estivessem cientes dessas campanhas e períodos promocionais".