¿El derecho de acceso como boomerang de la protección de datos? La agencia de referencia de crédito recoge datos de personas que solicitan información
El 08.02.2021, noyb presentó una denuncia en virtud del RGPD contra el agente de datos de solvencia crediticia KSV 1870. La agencia de referencia de crédito austriaca almacena datos de personas previamente desconocidas que ejercen su derecho legal a acceder a sus datos sin permiso.
- Descargar: Denuncia ante la autoridad austriaca de protección de datos (PDF)
- Descargar: Traducción automática al inglés de la reclamación (PDF)
¿El derecho de acceso como boomerang de la protección de datos? Todo el mundo tiene derecho a obtener información sobre los datos que una empresa trata sobre él. Sin embargo, muchas personas tienen miedo de solicitar información porque una empresa puede tener incluso más datos sobre ellos que antes: A menudo, uno tiene que proporcionar un documento de identidad o dar su nombre, dirección y fecha de nacimiento para recibir la información solicitada. En teoría, no hay razón para tener miedo: obviamente, las empresas sólo pueden utilizar los datos con el fin de proporcionar información y deben eliminarlos después. Este no es el caso de KSV, el líder del sector entre las agencias de referencia de crédito de Austria:
KSV: La curiosidad mató al gato. El interesado había enviado a KSV una solicitud de acceso en virtud del artículo 15 del RGPD. KSV respondió que no se procesan datos personales del interesado. Al menos hasta ahora. Pero el siguiente párrafo dice: "Tras recibir su solicitud, los datos de identificación que nos ha proporcionado serán procesados ahora en nuestra base de datos comercial en el contexto de nuestro negocio según el artículo 152 de la Ley de Regulación Comercial."
"Esta audacia es sorprendente. La KSV recibe los datos sólo para responder a la solicitud de acceso, pero luego los introduce en su base de datos sin permiso. Posteriormente, los datos se utilizan para calcular puntuaciones de crédito, que la KSV vende a sus clientes. ¿Quiere saber si la KSV tiene sus datos? Sólo tiene que preguntar, ¡y seguro que los tienen!" Marco Blocher, abogado especialista en protección de datos de noyb.eu
¿Ganar sistemáticamente la base de datos? El enfoque de la KSV es sistemático: noyb conoce varios casos similares: Si una persona era desconocida para la KSV, el nombre, la dirección y la fecha de nacimiento de la solicitud de acceso se almacenaban en la base de datos. Si la KSV ya conocía a la persona, actualizaba su base de datos basándose en esta información. Las acciones de la KSV violan el principio de limitación de la finalidad según el artículo 5.1.b) del RGPD. Según este principio, los datos deben recogerse con un fin determinado, explícito y legítimo. El tratamiento posterior para otra finalidad sólo está permitido si es compatible con la finalidad original
"Lagente hace solicitudes de acceso para conocer el tratamiento de datos y, si es necesario, para tomar medidas contra él. Es simplemente grotesco que, de todas las cosas, esas solicitudes acaben en la base de datos del KSV." Marco Blocher, abogado especializado en protección de datos de noyb.eu
noyb vigila de cerca a los corredores de datos. Las empresas de comercio de datos deben cumplir normas especialmente estrictas en materia de protección de datos. Esto se aplica no solo a las agencias de referencia de crédito y a los editores de direcciones, sino también a las grandes empresas de tecnología y medios sociales. Como estas empresas tienen acceso a enormes cantidades de datos, es aún más importante manejarlos con mucho cuidado
"Desgraciadamente, muchas de las llamadas "empresas basadas en datos" tienen una imagen completamente equivocada de sí mismas. Una vez que tienen los datos, esencialmente hacen lo que quieren, sin importar por qué o cómo los obtuvieron originalmente. El GDPR ha introducido conceptos como la limitación de la finalidad para evitar esto.. En realidad no les importa demasiado" Marco Blocher, abogado especializado en protección de datos de noyb.eu
