A raíz de una iniciativa de noybmás de 2.400 afectados solicitaron sus datos a la agencia de crédito CRIF y ya los han recibido. Una evaluación de noyb muestra que muchas empresas austriacas de renombre, como Erste Bank, Verbund y Drei, evalúan a sus clientes utilizando los datos de CRIF. Algunas empresas, como T-Mobile, el minorista en línea Otto y la compañía de seguros Allianz, también parecen proporcionar los datos de sus clientes a CRIF. La evaluación inicial de más de 40.000 consultas con más de 28.000 puntuaciones transmitidas muestra también que los hombres reciben una puntuación significativamente peor que las mujeres. La gente de las ciudades recibe una puntuación más baja que la del campo. noyb realizará análisis detallados en las próximas semanas para evaluar la precisión individual de las puntuaciones CRIF.
Fuentes de datos: Tres grandes editores de direcciones. Los datos de direcciones del CRIF proceden principalmente de tres editores de direcciones: AZ Direct (parte del grupo Bertelsmann), Compass Verlag y DPIT de Viena. Según el artículo 151 del Código de Comercio austriaco y varias sentencias judiciales, los editores de direcciones sólo pueden venderlas con fines comerciales. Sin embargo, acaban en CRIF y constituyen la base de la calificación crediticia de CRIF. Si se pusiera fin a la transferencia ilegal de datos de direcciones, el CRIF tendría que borrar potencialmente los datos de casi todas las personas que viven en Austria el día de mañana. Para averiguar de dónde han obtenido los datos de todos los austriacos los editores de direcciones mencionados, noyb les ha enviado ahora también solicitudes de acceso en nombre de los 2.440 participantes. Además de los tres grandes comerciantes de direcciones, las telecomunicaciones, los bancos y los proveedores de energía también aparecen como fuentes de datos de direcciones a menor escala. En este caso, los propios clientes de CRIF parecen incapaces de explicar cómo acaban los datos en CRIF, según las primeras indagaciones.
Max Schrems: "Incluso según la jurisprudencia vigente, el tratamiento de datos de CRIF está construido sobre arena. Las autoridades han hecho la vista gorda, permitiendo que el CRIF procese los datos del 90% de la población que siempre ha pagado sus facturas."
"Verificación de datos Los bancos y las telecomunicaciones proporcionan información al CRIF. Para sorpresa de noyb, empresas como T-Mobile, Drei, bank99, Allianz y Klarna también aparecen como fuentes para la "verificación" de direcciones y datos. Esto es especialmente problemático porque los proveedores de telecomunicaciones y los bancos, por ejemplo, están obligados por ley a identificar a los clientes con un documento de identidad. Cuando estos datos acaban en el CRIF, van mucho más allá de lo que exige la ley para la identificación de titulares de cuentas o clientes de telefonía móvil. En conversaciones directas, estas empresas siempre han afirmado que no proporcionan datos al CRIF, sino que sólo los recuperan. Es posible que este uso adicional de los datos se esté produciendo a espaldas de los bancos y las empresas de telecomunicaciones. noyb se pondrá ahora en contacto con estas empresas para pedir más aclaraciones. Todavía no está claro si estas empresas son conscientes de que esto está ocurriendo.
Max Schrems:"La novedad es que T-Mobile y Drei, por ejemplo, también suministran los datos de sus clientes al CRIF con fines de verificación de identidad. Esto es especialmente delicado porque hay que identificarse con DNI en los proveedores de telefonía móvil o en los bancos. Estos datos verificados acaban después en el CRIF. noyb investiga ahora si esto puede ser legal de alguna manera"
Información financiera: Sólo unos pocos registros de cobro de deudas. El CRIF dispone de datos sobre el historial de pagos de alrededor del 10% de la población austriaca. Se trata sobre todo de reclamaciones de cobro de deudas, incluidas las que hace tiempo que se pagaron. CRIF también almacena las reclamaciones pagadas hasta 7 años si superan los 20 euros. Las insolvencias sólo aparecen en 15 casos de los 2.440 sujetos de prueba, presumiblemente porque, según la jurisprudencia del TJUE, estos datos deben borrarse al cabo de un año.
Max Schrems:"Parece que el CRIF elimina ahora las insolvencias al cabo de un año. Sin embargo, los pagos atrasados de pequeñas cantidades se almacenan durante siete años. No podemos entender la lógica de por qué las insolvencias se eliminan rápidamente, pero los retrasos en los pagos no"
Klarna es el mayor cliente de CRIF. Basándose en los 40.000 registros de datos disponibles, el proveedor de pagos sueco Klarna parece ser el mayor cliente de CRIF. Sin embargo, la aseguradora Allianz y la tienda de lujo en línea Breuninger también aparecen entre los principales usuarios, seguidos de Erste Bank, el proveedor canadiense de verificación Trulioo, el proveedor de tarjetas de crédito card complete, TF Bank y bank99. Entre los proveedores de energía, MaxEnergy, Energie AG y Verbund parecen evaluar a sus clientes con regularidad. Sin embargo, muchas solicitudes son difíciles de explicar: por ejemplo, empresas inmobiliarias o bufetes de abogados han accedido a veces a los datos de los interesados aunque no hubiera contrato de crédito ni compra a cuenta. También parece haber consultas "preventivas" . A primera vista, parece que algunas empresas las utilizan como una especie de "comprobación de antecedentes", sin tener realmente una razón válida para realizar una consulta. Por ello, noyb planteará a los afectados y a los clientes de CRIF preguntas más detalladas para saber más sobre su relación comercial con CRIF.
Max Schrems: "A primera vista, algunas consultas no parecen necesariamente justificadas. Ahora estamos preguntando a nuestros más de 2.400 participantes si han observado alguna consulta ilegal en sus datos. Podría ser que algunos de los propios clientes del CRIF hayan infringido el GDPR"
Puntuaciones: sexo, edad y dirección. Las 28.000 puntuaciones muestran que las mujeres tienden a recibir puntuaciones más altas que los hombres (547 frente a 522). También se observan pautas geográficas. Las ciudades de Viena (523), Graz (519) y Linz (513) tienen puntuaciones medias más bajas que el resto de Austria (530), aunque hay diferencias significativas dentro de las ciudades. Sin embargo, la edad parece tener la mayor influencia: por término medio, la puntuación aumenta unos 2,6 puntos por año de vida.
Max Schrems:"Incluso con más de 28.000 puntuaciones, parece claro que, para la mayoría de los afectados, la puntuación se basa principalmente en los datos de la dirección. La edad y el sexo parecen influir poco en las puntuaciones"
noyb pide más pistas a los participantes. Con el fin de recabar más información sobre las prácticas del CRIF y sus empresas asociadas, noyb pide a los 2.440 participantes que informen de cualquier anomalía en sus solicitudes de acceso. Con este fin, noyb también ha publicado una descripción detallada de todos los campos de datos disponibles.
Max Schrems: "En la mayoría de los casos, los afectados tienen la mejor información sobre a qué se ha podido acceder o qué puede ser incorrecto. Por ello, hemos pedido a todos los participantes que comprueben sus datos y nos comuniquen cualquier incoherencia. Estamos impacientes por ver lo que esto revelará"
Evaluación detallada en las próximas semanas. noyb trabajará ahora con un profesor de matemáticas financieras para comparar las más de 28.000 puntuaciones con los datos financieros reales de los afectados, a fin de averiguar si las puntuaciones del CRIF son estadísticamente fiables. Actualmente, todo parece indicar que la puntuación CRIF tiene poco o nada que ver con la situación financiera individual real. Se esperan nuevos resultados en las próximas semanas. Después de ello, noyb decidirá también si presenta una demanda colectiva de mayor envergadura contra CRIF. Si los datos personales se han procesado ilegalmente, los afectados bien podrían tener derecho a las reclamaciones pertinentes por daños y perjuicios.
Actualización en respuesta a la declaración del CRIF:
A pesar de las alegaciones de información "incorrecta " en este comunicado de prensa, CRIF confirma todas las declaraciones hechas por noyb:
- Las empresas mencionadas por noyb forman parte de la red CRIF
- Los datos son proporcionados a CRIF por corredores de direcciones y también por algunos clientes de CRIF
- CRIF genera puntuaciones de crédito a pesar de que, según sus propias declaraciones, no dispone de "ninguna información sobre ingresos y activos".
Max Schrems: "Esencialmente, no hay disputa sobre lo que CRIF y sus socios hacen. El comunicado de prensa de CRIF no contiene ninguna crítica de fondo"
