Un comerciante de direcciones demanda a la DPA alemana para impedir que noyb acceda a sus archivos
Hace dos años, noyb presentó una denuncia contra el comerciante de direcciones Acxiom y la agencia de referencia de crédito CRIF en Alemania. Aunque hay pruebas fehacientes de que el comercio a gran escala de los datos personales de estas empresas viola el GDPR, el caso sigue pendiente ante la DPA de Baviera y Hesse. Así que en la primavera de 2023, noyb solicitó a la autoridad de Hesse acceso al expediente de la denuncia de Acxiom. El comerciante de direcciones reaccionó rápidamente: con una solicitud de medida cautelar contra la autoridad para impedir cualquier tipo de acceso a los expedientes.
- Denuncia contra el CRIF y Acxiom (alemán)
- Traducción automática de la denuncia al inglés
- cronología de la denuncia
Antecedentes: comercio secreto e ilegal de datos personales. La agencia de referencia de crédito CRIF compra continuamente los nombres, fechas de nacimiento y direcciones de millones de alemanes al comerciante de direcciones Acxiom. Aunque los datos se recogieron originalmente con fines comerciales, CRIF los utiliza para evaluar la solvencia de las personas. Por lo general, esto se hace sin informar nunca a las personas y sin su consentimiento, lo que probablemente viola la legislación europea de protección de datos en varios aspectos.
Sin notificación ni consentimiento. En virtud de los principios de limitación de la finalidad y licitud del RGPD, los datos recogidos con fines de marketing no pueden utilizarse sin consentimiento para la calificación crediticia (es decir, para prever las probabilidades de impago). Esto no debería ser nuevo para Acxiom y CRIF: la Conferencia de Protección de Datos, un consejo de todas las autoridades supervisoras de protección de datos alemanas, ha subrayado en varias ocasiones que los datos que no sean experiencias de pago negativas u otros comportamientos no contractuales solo pueden utilizarse para el scoring crediticio con consentimiento. CRIF y Acxiom no sólo no piden categóricamente a los interesados dicho consentimiento, sino que ni siquiera les informan de que sus datos se venderán a CRIF. El interesado representado por noyb, por ejemplo, sólo se enteró del tratamiento ilegal de sus datos a través de una solicitud de acceso.
Marco Blocher, abogado especializado en protección de datos de noyb: "Utilizar en secreto los datos de un comerciante de direcciones para calcular las puntuaciones de crédito de las personas es como un caso de libro de texto de tratamiento ilícito con arreglo al RGPD. Esta práctica se realiza en secreto, implica un cambio ilegal en la finalidad del tratamiento - y simplemente carece de base jurídica."
Dos años de paralización. Las violaciones de la legislación europea de protección de datos son difíciles de negar. Sin embargo, el caso sigue pendiente ante las autoridades de protección de datos (APD) de Hesse (responsable de Acxiom) y Baviera (responsable de CRIF) casi dos años después de su presentación. Para hacerse una idea del estado actual de esos casos, noyb solicitó a la autoridad de Hesse acceso a los expedientes (Baviera no concede este derecho, pero eso es un problema en sí mismo). La DPA de Hesse parecía dispuesta a conceder el acceso solicitado y escuchó a Acxiom al respecto, pero fue demandada rápidamente. El comerciante de direcciones trata ahora de obtener una medida cautelar en los tribunales para impedir al denunciante cualquier acceso a los archivos, mientras que la propia empresa solicitó y obtuvo acceso a los archivos.
Retraso procesal. Existen algunas excepciones al derecho de acceso a los expedientes, por ejemplo en el caso de secretos comerciales. Sin embargo, no existe base jurídica para cerrar todo el expediente administrativo. Es probable que Acxiom sea consciente de ello. En realidad, la empresa parece estar intentando retrasar una decisión de la autoridad de protección de datos de Hesse creando un procedimiento secundario. Esto permite a Acxiom continuar con la venta ilegal de datos personales.
Una medida similar a una SLAPP. La moción de prohibición de Acxiom parece seguir el concepto de las llamadas "SLAPPs" ("Strategic Lawsuits Against Public Participation"), que la UE quiere criminalizar. La presentación de demandas abusivas, combinada con los costes disuasorios y la complejidad de los litigios, así como la frecuente congestión de los tribunales, pretende disuadir a particulares y ONG como noyb de exigir responsabilidades a las empresas.
Jonas Breyer, abogado alemán que representa al denunciante y a noyb ante el Tribunal Administrativo de Wiesbaden: "Las empresas siguen intentando alargar la aplicación de los derechos de protección de datos para mantener artificialmente vivos modelos de negocio turbios pero lucrativos. Habla por sí solo el hecho de que Axciom inicie procedimientos judiciales, por ejemplo, calificando de secretos comerciales sus términos y condiciones de 2008 y otros documentos obsoletos."
Abuso del sistema legal. El caso Acxiom demuestra una vez más que, incluso después de cinco años de GDPR, algunas empresas creen que se puede abusar del sistema legal para mantener modelos de negocio ilegales. Esto es inaceptable, especialmente para una empresa que maneja los datos de millones de personas y trabaja con clientes internacionales como Meta, Adobe, Google, IBM y PayPal. noyb no dará marcha atrás y está dispuesta a presentar nuevas denuncias o demandar a empresas como Acxiom para obtener medidas cautelares y daños y perjuicios sobre la base de la nueva directiva de acciones representativas.