Il commerciante di indirizzi fa causa alla DPA tedesca per impedire a noyb l'accesso ai file
Due anni fa, noyb ha presentato una denuncia contro il commerciante di indirizzi Acxiom e l'agenzia di riferimento creditizio CRIF in Germania. Sebbene vi siano prove inconfutabili che il commercio su larga scala dei dati personali delle persone da parte di queste aziende violi il GDPR, il caso è ancora pendente presso la DPA della Baviera e dell'Assia. Nella primavera del 2023, noyb ha chiesto all'autorità dell'Assia di accedere al fascicolo della denuncia di Acxiom. Il commerciante di indirizzi ha reagito rapidamente - con una richiesta di ingiunzione provvisoria contro l'autorità per impedire qualsiasi tipo di accesso ai file.
- Denuncia contro CRIF e Acxiom (tedesco)
- Traduzione automatica del reclamo in inglese
- cronologia della denuncia
Contesto: commercio segreto e illegale di dati personali. L'agenzia di riferimento creditizio CRIF acquista continuamente nomi, date di nascita e indirizzi di milioni di tedeschi dal commerciante di indirizzi Acxiom. Sebbene i dati siano stati originariamente raccolti per scopi di marketing, CRIF li utilizza per valutare l'affidabilità creditizia delle persone. Questo avviene di solito senza informare le persone e senza il loro consenso, il che probabilmente viola la legge europea sulla protezione dei dati per diversi motivi.
Nessun avviso o consenso. In base ai principi di limitazione delle finalità e di liceità del GDPR, i dati raccolti per scopi di marketing non possono essere utilizzati senza consenso per il credit scoring (cioè per prevedere le probabilità di mancato pagamento). Questa non dovrebbe essere una novità per Acxiom e CRIF: la Conferenza per la protezione dei dati, un comitato che riunisce tutte le autorità tedesche di controllo della protezione dei dati, ha sottolineato più volte che i dati diversi da esperienze di pagamento negative o altri comportamenti non contrattuali possono essere utilizzati per il credit scoring solo con il consenso. CRIF e Acxiom non solo omettono categoricamente di chiedere tale consenso agli interessati, ma non li informano nemmeno che i loro dati saranno venduti a CRIF. L'interessato rappresentato da noyb, ad esempio, è venuto a conoscenza del trattamento illegale dei suoi dati solo attraverso una richiesta di accesso.
Marco Blocher, avvocato specializzato in protezione dei dati presso noyb: "Utilizzare segretamente i dati di un commerciante di indirizzi per calcolare il punteggio di credito delle persone è un caso da manuale di trattamento illecito ai sensi del GDPR. Questa pratica è fatta in segreto, comporta una modifica illegittima dello scopo del trattamento - e semplicemente manca di una base legale"
Due anni di stallo. Le violazioni della legge europea sulla protezione dei dati sono difficili da negare. Ciononostante, il caso è ancora pendente presso le autorità per la protezione dei dati (DPA) dell'Assia (responsabile di Acxiom) e della Baviera (responsabile di CRIF) a quasi due anni dalla sua presentazione. Per avere un'idea dello stato attuale di questi casi, noyb ha chiesto l'accesso ai fascicoli all'autorità dell'Assia (la Baviera non concede questo diritto, ma questo è un problema in sé). La DPA dell'Assia sembrava disposta a concedere l'accesso richiesto e ha ascoltato Acxiom sulla questione, ma è stata prontamente citata in giudizio. Il commerciante di indirizzi sta ora cercando di ottenere un'ingiunzione provvisoria in tribunale per impedire al denunciante di accedere ai file, mentre la società stessa ha richiesto e ottenuto l'accesso ai file.
Ritardo procedurale. Esistono alcune eccezioni al diritto di accesso ai file, ad esempio nel caso di segreti aziendali. Tuttavia, non esiste una base giuridica per chiudere l'intero fascicolo amministrativo. Probabilmente Acxiom ne è consapevole. In realtà, sembra che l'azienda stia cercando di ritardare la decisione dell'autorità di protezione dei dati dell'Assia, creando un contorno procedurale. Ciò consente ad Acxiom di continuare la vendita illegale di dati personali.
Una misura simile a una SLAPP. La mozione di divieto di Acxiom sembra ricalcare il concetto delle cosiddette "SLAPP" ("Strategic Lawsuits Against Public Participation"), che l'UE vuole criminalizzare. La presentazione di domande abusive, unita ai costi dissuasivi e alla complessità delle controversie, nonché alla frequente congestione dei tribunali, ha lo scopo di scoraggiare i singoli e le ONG come la noyb dal chiedere conto alle aziende.
Jonas Breyer, avvocato tedesco che rappresenta il denunciante e la noyb davanti al Tribunale amministrativo di Wiesbaden: "Le aziende continuano a cercare di trascinare l'applicazione dei diritti di protezione dei dati per mantenere artificialmente in vita modelli di business loschi ma lucrativi. Lo dimostra il fatto che Axciom avvia un procedimento legale, ad esempio, definendo segreti commerciali i propri termini e condizioni del 2008 e altri documenti obsoleti"
Abuso del sistema legale. Il caso Acxiom dimostra ancora una volta che, anche dopo cinque anni di GDPR, alcune aziende credono che si possa abusare del sistema legale per mantenere modelli di business illegali. Questo è inaccettabile, soprattutto per un'azienda che gestisce i dati di milioni di persone e lavora con clienti internazionali come Meta, Adobe, Google, IBM e PayPal. noyb non si tirerà indietro ed è pronta a presentare ulteriori denunce o a citare in giudizio aziende come Acxiom per ottenere provvedimenti ingiuntivi e danni sulla base della nuova direttiva sulle azioni rappresentative.