Se prohíbe a una agencia de crédito recabar datos a través de solicitudes de acceso y registros civiles
Hace dos años, noyb presentó una denuncia en virtud del RGPD contra la agencia de datos crediticios KSV 1870. La agencia de información crediticia austriaca almacenaba datos no solicitados de personas hasta entonces desconocidas que ejercían su derecho legal a acceder a sus datos. Ahora, la Autoridad Austriaca de Protección de Datos (DSB) ha publicado su decisión sobre el caso: la agencia de información crediticia no puede recopilar datos a través de solicitudes de acceso y registros civiles.
La agencia de información crediticia almacena datos procedentes de solicitudes de información. Los europeos tienen derecho a presentar una solicitud de información a las empresas para saber qué datos se están tratando sobre ellos. Para confirmar la identidad de la persona, una empresa suele pedir datos adicionales: DNI, nombre, dirección o fecha de nacimiento, por ejemplo. Naturalmente, las empresas sólo pueden utilizar esta información adicional para responder a una solicitud de acceso y después deben volver a eliminarla. Este no es el caso del líder del sector de las agencias de información crediticia austriacas: KSV 1870 almacena información sobre particulares cuando éstos solicitan acceso a sus datos.
Enfoque sistemático de la KSV. El planteamiento de la KSV es sistemático: hemos recibido numerosos casos similares en . Un interesado había presentado al KSV una solicitud de acceso con arreglo al artículo 15 del RGPD. La agencia de crédito respondió que no se había tratado ningún dato personal del interesado. Al menos hasta ahora. El KSV alegó que la información adicional facilitada por el interesado para hacer valer su derecho de acceso se almacenaría ahora en la "base de datos comercial". Pero eso no es todo: antes, la información del interesado procedente de la solicitud de acceso se comparaba con sus datos en el Registro Central de Residentes y se añadía a la base de datos empresarial.
"El DSB nos ha dado la razón: El modelo empresarial de KSV 1870 de utilizar las solicitudes de información de los interesados para enriquecer su base de datos económica es ilegal. El tratamiento de cualquier información adicional procedente del registro civil también es claramente ilegal. Suponemos que, además de la persona a la que representamos, hay otros innumerables austriacos afectados. Estos pueden exigir a la KSV la supresión de los datos tratados ilegalmente"- Marco Blocher, abogado especializado en protección de datos de noyb.eu
La DPA y noyb están de acuerdo: KSV actúa ilegalmente. Las acciones de KSV violan el principio de limitación de la finalidad de acuerdo con el artículo 5, apartado 1, letra b), del GDPR. Este establece que los datos deben recopilarse para un fin específico. El tratamiento posterior para otro fin sólo está permitido si es compatible con el fin original. El RPD sostuvo que no había motivo aparente para procesar los datos de la solicitud de acceso para calificaciones crediticias, ni existía un mandato legal para la recogida general de datos. Además, el RPD ordenó la supresión de los datos obtenidos ilegalmente.
noyb vigila de cerca a los comerciantes de datos. Las industrias cuya actividad principal es el comercio de datos deben cumplir normas especialmente estrictas en materia de protección de datos. El problema es que las agencias de información crediticia apenas están reguladas: aunque sólo se les permite procesar datos relevantes para la solvencia, no hay ninguna definición de qué información específica incluye esto. Como las agencias de información crediticia tienen acceso a muchos datos, deben manejarlos de forma especialmente responsable.
