Intercambio ilegal de datos entre el editor de direcciones y la agencia de clasificación crediticia
noyb presentó el 18 de marzo de 2021 una denuncia en virtud del GDPR contra la agencia de clasificación crediticia CRIF GmbH y el editor de direcciones AZ Direct . Las empresas intercambian datos que violan el GDPR, así como la legislación austriaca. Los editores de direcciones solo están autorizados a transmitir datos con fines publicitarios, pero no a las agencias de crédito para la calificación crediticia.
Descargar: Denuncia ante la Autoridad de Protección de Datos de Austria (PDF)
Descargar: Traducción automática al inglés de la denuncia (PDF)
CRIF y AZ Direct: la violación del GDPR como modelo de negocio comúnEl denunciante había presentado una solicitud de acceso en virtud del artículo 15 del GDPR a CRIF. CRIF declaró que había almacenado su nombre, fecha de nacimiento y algunas direcciones residenciales (en parte obsoletas). La única fuente de datos mencionada era el editor de direcciones AZ Direct. Sin embargo, los editores de direcciones sólo pueden transmitir datos con fines publicitarios. En el caso de CRIF, era muy evidente que habían calculado varias puntuaciones de solvencia sobre la base de los datos recibidos de AZ Direct y los habían enviado a diversas empresas.
Comercio secreto de datosLas agencias de crédito pueden acceder a datos disponibles públicamente, como los procedentes de diferentes registros para recoger datos de identificación. Sin embargo, allí sólo se encuentra una fracción de la población. Al parecer, la mayoría de los datos proceden de una fuente diferente, a saber, los editores de direcciones que, por ley, sólo están autorizados a transmitir datos con fines publicitarios
"La mayoría de los datos de las agencias de clasificación de créditos proceden de editores de direcciones, sin ninguna base legal y sin pedir nunca el consentimiento de los interesados ni informarles". El denunciante tampoco sabía que sus datos estaban siendo recogidos hasta su solicitud de acceso, aunque el GDPR establece claramente que alan Dahi, abogado especializado en protección de datos de noyb.eu
La limitación de la finalidad como concepto ajeno El principio de limitación de la finalidad establece que los datos sólo pueden recogerse para " fines determinados, explícitos y legítimos " y no pueden tratarse para otros fines incompatibles. Sin embargo, según el registro mercantil, AZ Direct es únicamente un editor de direcciones y, por tanto, sólo puede transmitir datos con fines de marketing directo. Sin embargo, es evidente que CRIF utilizó los datos con fines de evaluación crediticia, lo que supone una grave violación del principio de "limitación de la finalidad" según el artículo 5 de la DSGVO
"Elmarketing directo y la calificación crediticia son dos fines completamente diferentes e incompatibles. Tanto CRIF como AZ Direct están violando el principio de limitación de la finalidad. Además, existen posibles violaciones del derecho mercantil austriaco, que también estamos examinando. " Alan Dahi, abogado de protección de datos de noyb.eu
No es un caso aisladoEl CRIF no oculta su relación con los editores de direcciones: los editores de direcciones se mencionan en la declaración de protección de datos como proveedores habituales de datos. Además, el CRIF declara en su página web que no dispone de datos negativos (es decir, de datos sobre impagos) de más del 90% de las personas almacenadas. Por lo tanto, inevitablemente obtienen la mayoría de los datos de los editores de direcciones.
"La situación del denunciante no es un caso aislado. noyb tiene conocimiento de varios casos similares. Al parecer, el CRIF ha adquirido millones de registros de datos de editores de direcciones como AZ Direct durante un periodo de años sin informar a una sola persona afectada. Si usted tiene una residencia en Austria, es muy probable que también se vea afectado." Alan Dahi, abogado especializado en privacidad de noyb.eu
El turno de la autoridad Si la Autoridad de Protección de Datos austriaca (DPA) sigue nuestra denuncia, CRIF tendrá que abstenerse de este tipo de recopilación de datos en el futuro - y eliminar todos los datos recogidos en violación del GDPR. Además, la DPA puede imponer una multa de hasta 20 millones de euros o el 4% de la facturación anual tanto a CRIF como a AZ Direct.
"Los sectores del comercio de direcciones y de la clasificación crediticia aún no han adaptado sus prácticas empresariales a los requisitos del RGPD. Ya es hora de que estas industrias también lleguen al presente y respeten la protección de datos! " Alan Dahi, abogado especializado en protección de datos de noyb.eu
Ejerza sus derechos! También puede averiguar si el CRIF ha recogido ilegalmente sus datos de un editor de direcciones como AZ Direct. Para ello, envíe una solicitud de acceso en virtud del artículo 15 del GDPR al CRIF (auskunft@crif.com) y pregunte en particular por el origen de los datos tratados. Puede obtener más información aquí. El CRIF está obligado a proporcionarle esta información en el plazo de un mes. Después de eso, le invitamos a ponerse en contacto con nosotros para realizar otros pasos.
