noyb ha conseguido una victoria de etapa en su proceso contra la agencia de referencia de crédito CRIF y el comerciante de direcciones Acxiom en Alemania. Estas empresas comercian ilegalmente con los datos personales de millones de alemanes. Hace poco más de dos años noyb presentó una denuncia. Ahora, la autoridad bávara de protección de datos ha dictaminado que CRIF ha hecho un uso indebido de los datos adquiridos y, por tanto, ha infringido la legislación europea de protección de datos. Mientras tanto, la autoridad de Hesse ha rechazado una solicitud de Acxiom para denegar a noyb el acceso a los expedientes.
Antecedentes: Comercio secreto e ilegal de datos. La agencia de referencia de crédito CRIF compra constantemente datos personales como nombres, direcciones y fechas de nacimiento de millones de alemanes al comerciante de direcciones Acxiom y los utiliza para evaluar su solvencia. El comercio se realiza en secreto y sin el consentimiento ni notificación de los afectados. Según el principio del GDPR de limitación de la finalidad, los datos recogidos con fines de marketing solo pueden utilizarse para la calificación crediticia con consentimiento. En consecuencia, ambas empresas infringen la legislación europea sobre protección de datos.
Comercio de datos declarado ilegal. La autoridad bávara de protección de datos (DPA), que lleva el procedimiento contra CRIF, ha seguido ahora esta evaluación: CRIF trató los datos del denunciante contraviniendo el principio de limitación de la finalidad e incumplió su deber de informarle sobre la adquisición de sus datos a Acxiom. Pero eso no es todo: la autoridad afirma que la agencia de crédito proporcionó respuestas incompletas a una solicitud de información del denunciante y que incluso facilitó información falsa.
Max Schrems, presidente de noyb: "Las autoridades alemanas han aguantado bastante tiempo mientras el CRIF se enriquecía en secreto con los datos de millones de alemanes. El hecho de que la autoridad bávara de protección de datos haya declarado ilegal el comercio de datos con Acxiom es un buen primer paso. Se necesitan consecuencias claras para las agencias de crédito que se creen por encima de la ley"
Prohibición general en revisión. Con su decisión, la DPA bávara sigue una sentencia de la autoridad austriaca (DSB) de marzo de 2023. En un caso de noyb contra la rama austriaca de CRIF, el DSB dictaminó en ese momento que el comercio secreto entre agencias de crédito y comerciantes de direcciones viola el GDPR y, por lo tanto, es ilegal. Basándose en esto, noyb también presentó recientemente una demanda contra CRIF en Austria. La DPA bávara está llevando a cabo actualmente otros procedimientos contra CRIF Alemania, en los que está examinando una prohibición general de la compra de datos a comerciantes de direcciones como Acxiom.
Retraso en los procedimientos por parte de Acxiom. El procedimiento contra Acxiom (tramitado por la autoridad de protección de datos de Hesse) lleva varios meses de retraso. El comerciante de direcciones acudió a los tribunales para impedir que el denunciante accediera a los expedientes del caso. Esto paralizó todo el procedimiento, lo que permitió a Acxiom continuar con su comercio ilegal de datos. El tribunal ha rechazado ahora la solicitud de Acxiom por inadmisible
