Una investigación sobre los flujos de datos en la agencia de crédito austriaca CRIF ha arrojado más luz sobre el asunto: la mayoría de los datos de direcciones de la base de datos CRIF proceden de los intermediarios de direcciones AZ Direct (Grupo Bertelsmann), Compass-Verlag y DPIT de Viena. Pero, ¿de dónde obtienen sus datos estos comerciantes de direcciones? Un nuevo noyb en la que han participado más de 2.400 afectados, muestra que acceden a registros públicos como el de sociedades y el de la propiedad, el registro de asociaciones y el Sistema de Información Empresarial (GISA), que se introdujo en 2015. Compass también menciona la Cámara de Comercio (WKO) como fuente de datos. Sin embargo, sigue sin estar claro de dónde obtiene sus datos AZ Direct (el mayor proveedor de datos del CRIF). AZ Direct afirma que desconoce de dónde ha obtenido los datos de 7 millones de personas en Austria.
Datos extraídos de registros públicos. La agencia de crédito CRIF obtiene la mayor parte de sus datos de direcciones de los corredores de direcciones AZ Direct, Compass-Verlag y DPIT. Gracias a las solicitudes de acceso realizadas en nombre de los más de 2.400 participantes en el proyecto CRIF, ahora sabemos: los tres corredores de direcciones utilizan principalmente registros públicos como el Registro de Escrituras y el Registro Mercantil, el Registro de Asociaciones y el Registro Mercantil.
Max Schrems, presidente de noyb: "Por supuesto, estos registros no están pensados en realidad para satisfacer los deseos de los corredores de datos, sino para demostrar los derechos, la propiedad y los poderes de representación"
Registro de la propiedad, registro mercantil, ZVR, GISA y WKO. Concretamente, Compass-Verlag declara con frecuencia que ha obtenido datos del registro mercantil, del registro de asociaciones (ZVR) y del registro mercantil (GISA). La Cámara de Comercio (WKO) también aparece como fuente y, al parecer, transmite datos de sus propios miembros. Por su parte, DPIT declara que accede al registro de la propiedad, al registro mercantil y al registro mercantil. Esto significa que todos los autónomos, todos los propietarios y todas las personas activas en una asociación estaban potencialmente registrados. Sin embargo, no es la información sobre la propiedad o las actividades comerciales la que se utiliza a efectos de calificación crediticia. En su lugar, sólo se utilizan nombres, fechas de nacimiento y direcciones.
Max Schrems: "Los registros públicos se utilizan como libretas de direcciones, no para su finalidad real de proporcionar pruebas económicas o jurídicas. Al final, los datos económicamente relevantes no se utilizan en absoluto para la calificación crediticia: sólo se trata de los datos maestros"
¿El Gobierno no hace nada para combatir el "raspado" de los registros públicos? Los registros públicos son indispensables en un Estado de Derecho bien administrado (por ejemplo, para comprobar si alguien tiene una licencia comercial o es propietario de un inmueble). Antes había que hacerlo manualmente. Gracias a la digitalización, la mayoría de los registros están ahora también disponibles en línea, pero aparentemente a menudo sin suficiente protección contra el "scraping" a gran escala. Parece que faltan medidas básicas de protección, como captchas, límites de consulta por dirección IP o términos y condiciones que estipulen claramente que los datos sólo pueden utilizarse para fines específicos (por ejemplo, para verificar un comercio, la propiedad o el poder de representación).
Max Schrems: "Austria carece de una normativa técnica y jurídica clara que impida el scraping masivo con otros fines. Cualquiera que intente proteger su privacidad está siendo "delatado" por el Estado, y las empresas están recopilando estos datos a gran escala. Ya es hora de que los políticos pongan freno a este abuso con límites técnicos a la consulta y restricciones claras a la finalidad. No mantenemos el registro de asociaciones para la industria publicitaria ni para los comerciantes de datos"
La ley es clara: los registros públicos están sujetos a una "limitación de finalidad". No solo es obvio que esta reutilización comercial no es de interés público, sino que también viola el principio del GDPR de "limitación de la finalidad" del Artículo 5(1)(b) GDPR. La Autoridad Austriaca de Protección de Datos (DSB) ya ha decidido con respecto al Registro de Escrituras que, por ejemplo, el tratamiento posterior con fines publicitarios viola el GDPR. La conocida Sentencia del TJUE sobre el "derecho al olvido también se refería a datos publicados legalmente, que, sin embargo, no podían ser reutilizados sin más por Google Search.
Max Schrems: "El hecho de que los datos estén a disposición del público no significa que puedan utilizarse para cualquier fin. No puedes simplemente filmar a la gente en una calle pública para tus propios fines"
AZ Direct: ¿7 millones de registros de datos sin fuente? Mientras tanto, AZ Direct, parte del gran grupo alemán Bertelsmann, está revelando un problema completamente distinto: a pesar de su obligación legal de proporcionar información, el distribuidor de direcciones no ha revelado las fuentes de datos específicas de casi ninguno de los 2.400 participantes. Sin embargo, AZ Direct ha vendido al CRIF un total de más de 7 millones de registros de datos. En la actualidad, no está nada claro de dónde obtiene su información el mayor proveedor de datos del CRIF, lo que también imposibilita el ejercicio de los derechos que confiere el GDPR.
Max Schrems: "Es completamente ridículo que una filial de Bertelsmann, que tiene los datos privados de 7 millones de personas en Austria, no sepa de dónde proceden los datos. Actualmente, un conjunto de datos que contiene a casi todo el mundo en Austria podría proceder de cualquier fuente: los afectados no tienen forma de comprobar si las fuentes son legales."
Camino hacia la demanda colectiva: Evaluación detallada casi finalizada. noyb sigue trabajando en una evaluación detallada de las puntuaciones de crédito recibidas de los 2.400 participantes. Junto con un profesor de matemáticas financieras, se están comparando las más de 28.000 puntuaciones recibidas con los datos financieros reales de los afectados para averiguar si las puntuaciones CRIF son estadísticamente sólidas. Actualmente, todo parece indicar que la puntuación CRIF tiene poco que ver con la situación financiera individual real y no proporciona una evaluación fiable del riesgo para las personas que siempre pagan sus facturas. Para este 90% de la población, la puntuación se basa esencialmente sólo en la edad, el sexo y la dirección. Se esperan nuevos resultados en las próximas semanas. Después, noyb decidirá si presenta una demanda colectiva más amplia contra CRIF, que probablemente afectará a millones de personas. En caso de tratamiento ilícito de datos personales, cada persona afectada podría tener derecho a las reclamaciones pertinentes por daños y perjuicios.
