noyb.eu presentó una denuncia contra la agencia de calificación crediticia "CRIF", que opera en más de 28 países. CRIF asignó un "puntaje" de exactamente 446 de 700 posibles puntos de crédito para un cliente de electricidad libre de deudas con un trabajo permanente bien pagado. Esto es sorprendente, ya que el CRIF enfatizó varias veces que no conocía a la persona en cuestión y no tenía ningún dato almacenado sobre ella. El puntaje fue calculado de la nada. Sin embargo, la consecuencia fue muy real: la compañía de electricidad se negó a firmar un contrato con él.
- Descargue: Reclamación de Alemania a la Autoridad de Protección de Datos de Austria (PDF)
- Descargue: Traducción automática al inglés de la queja (PDF)
Como un mago con un conejo, el CRIF ha conjurado la "solvencia" de la nada.
Un cliente de electricidad quería firmar un nuevo contrato de electricidad. El proveedor de energía se negó inesperadamente a firmar el contrato. La razón: su calificación crediticia era demasiado baja, algo sorprendente dados sus ingresos y su profesión, que deberían ser más que suficientes para pagar la electricidad. En respuesta a otras preguntas, se explicó que su calificación crediticia de CRIF sólo sería 446 puntos, mientras que el requisito mínimo para un contrato de energía era 650 puntos. El cliente se acercó al CRIF y pidió acceso a su información de acuerdo con el artículo 15 de la Ley de Protección de Datos. El CRIF respondió afirmando que no ha almacenado ningún dato personal sobre él como consumidor. Por lo tanto, el puntaje negativo debe haber salido de la nada.
"La respuesta del CRIF es asombrosa. ¿Cómo se puede calcular un puntaje exacto de calificación crediticia si no hay datos supuestamente almacenados sobre la persona? Parece que el CRIF calculó un puntaje de 446 puntos a partir de los meros datos de la solicitud, es decir, el nombre, la dirección y la fecha de nacimiento. Quien viva en la dirección equivocada o tenga la fecha de nacimiento equivocada no obtendrá un contrato de electricidad. "Probablemente es más justo cerrar los ojos y elegir un número al azar entre 1 y 700." - Alan Dahi, abogado de privacidad de noyb.eu
El procesamiento de datos tiene que seguir ciertos principios de acuerdo con el GDPR. Uno de ellos es el principio de la corrección de los datos, o la exactitud - los datos personales deben ser correctos en su contenido. Las puntuaciones arbitrarias de "vudú" que estigmatizan a los clientes y los excluyen del suministro de electricidad son claramente ilegales.
"Si una persona no está realmente almacenada en la base de datos del CRIF, el resultado tendría que ser "Persona desconocida", no 446. Un resultado sin base es inherentemente incorrecto y, por lo tanto, una violación de la CRIF". - Alan Dahi, abogado de privacidad de noyb.eu
¿Secreto comercial? El cliente de electricidad está a oscuras.
El CRIF se negó a explicar cómo se había calculado el puntaje crediticio, a pesar de las reiteradas solicitudes, aunque según la GDPR, todas las personas involucradas tienen derecho a conocer la lógica detrás de tales cálculos. Esto se justificó con la afirmación generalizada de que el proceso de toma de decisiones del CRIF era "un secreto comercial"; sin embargo, tal "secreto" puede dejar a los clientes de electricidad afectados literalmente sentados en la oscuridad.
"En primer lugar, los consumidores ya no pueden celebrar contratos porque se inventan evaluaciones completamente ilógicas. Luego, ni siquiera pueden saber cómo se hacen estas evaluaciones. El consumidor se convierte en un peón en un algoritmo." - Alan Dahi, abogado de privacidad de noyb.eu
Sin electricidad - y sin persona responsable
El proveedor de electricidad citó el puntaje crediticio del CRIF, que era demasiado bajo, como la única razón por la que no era posible suministrar energía y presentó como prueba el informe crediticio obtenido del CRIF. Al cliente no se le dio la oportunidad de probar que su solvencia era de hecho impecable y aún así obtener un contrato de electricidad. Sin embargo, cuando se le preguntó, el CRIF declaró que no se había realizado ninguna evaluación de crédito por parte del CRIF. La decisión sobre la celebración del contrato sería tomada únicamente por el proveedor de electricidad
La denuncia presentada, con una posible multa de hasta 20 millones de euros
Debido a la falta de información y a los datos obviamente incorrectos, Noyb ha presentado una primera denuncia ante la autoridad austriaca competente en materia de protección de datos.
"Hemos solicitado que la autoridad de protección de datos examine de cerca las operaciones de procesamiento del CRIF. La autoridad puede prohibir este tipo de decisiones arbitrarias de calificación crediticia y también imponer una sanción por ellas. Esto debería hacer menos probables las evaluaciones falsas" - Alan Dahi.
noyb toma en cuenta a los organismos de crédito
Las agencias de calificación crediticia a veces tienen un gran poder sobre los consumidores y hasta ahora han mostrado poca responsabilidad en el ejercicio de este poder. A menudo siguen las tradiciones nacionales en lugar de la RPI, que está en vigor en toda Europa desde 2018. No sólo la calidad de los cálculos es a menudo cuestionable, sino que incluso no está claro sobre qué base empresas privadas como el CRIF o la Schufa en Alemania se otorgan el derecho de crear grandes bases de datos sobre las finanzas de millones de europeos.
"Honestamente no vemos ninguna base para que estas empresas creen una colección de datos sobre las finanzas de cada ciudadano. Por lo tanto, la denuncia contra el CRIF es sólo un primer paso. En los próximos meses y años, examinaremos toda la industria pieza por pieza y en toda Europa y llevaremos a cabo los procedimientos adecuados de la CRIF". - Alan Dahi, abogado de privacidad en noyb.eu