All'agenzia di credito è vietato raccogliere dati tramite richieste di accesso e registri civili
Due anni fa, noyb ha presentato un reclamo GDPR contro il broker di dati creditizi KSV 1870. L'agenzia austriaca di informazioni creditizie aveva memorizzato dati non richiesti di persone precedentemente sconosciute che avevano esercitato il diritto legale di accedere ai propri dati. Ora l'Autorità austriaca per la protezione dei dati (DSB) ha pubblicato la sua decisione sul caso: l'agenzia di informazioni creditizie non può raccogliere dati attraverso richieste di accesso e registri civili.
L'ufficio di credito conserva i dati provenienti da richieste di informazioni. I cittadini europei hanno il diritto di presentare una richiesta di informazioni alle aziende per sapere quali dati vengono elaborati su di loro. Per confermare l'identità della persona, un'azienda spesso chiede dati aggiuntivi: un documento d'identità, il nome, l'indirizzo o la data di nascita, ad esempio. Naturalmente, le aziende possono utilizzare queste informazioni aggiuntive solo per rispondere a una richiesta di accesso e devono poi cancellarle nuovamente. Questo non è il caso dell'agenzia austriaca leader nel settore delle segnalazioni creditizie: KSV 1870 conserva le informazioni relative alle persone che richiedono l'accesso ai propri dati.
Approccio sistematico di KSV. L'approccio del KSV è sistematico - abbiamo ricevuto numerosi casi simili su . Un interessato ha presentato al KSV una richiesta di accesso ai dati ai sensi dell'articolo 15 del GDPR. L'agenzia di credito ha risposto che nessun dato personale dell'interessato era stato trattato. Almeno fino ad ora. KSV ha sostenuto che le informazioni aggiuntive fornite dall'interessato per far valere il proprio diritto di accesso sarebbero state archiviate nel "database aziendale". Ma non è tutto: prima di ciò, le informazioni fornite dall'interessato in seguito alla richiesta di accesso venivano confrontate con i suoi dati nel Registro centrale dei residenti e aggiunte al database aziendale.
"Il DSB ci ha dato ragione: Il modello commerciale di KSV 1870, che utilizza le richieste di informazioni degli interessati per arricchire il proprio database economico, è illegale. Anche il trattamento di qualsiasi informazione aggiuntiva proveniente dall'anagrafe è chiaramente illegale. Riteniamo che, oltre alla persona che rappresentiamo, siano interessati innumerevoli altri austriaci. Questi possono chiedere a KSV la cancellazione dei dati trattati illegalmente" - Marco Blocher, avvocato per la protezione dei dati di noyb.eu
DPA e noyb sono d'accordo: KSV agisce illegalmente. Le azioni di KSV violano il principio della limitazione delle finalità ai sensi dell'articolo 5, paragrafo 1, lettera b), del GDPR. Questo stabilisce che i dati devono essere raccolti per uno scopo specifico. Un ulteriore trattamento per un'altra finalità è consentito solo se è compatibile con la finalità originaria. Il DPO ha ritenuto che non vi fosse alcun motivo apparente per trattare i dati della richiesta di accesso ai rating del credito, né vi fosse un mandato legale per la raccolta di dati generali. Inoltre, il DPO ha ordinato la cancellazione dei dati ottenuti illegalmente.
la noyb tiene sotto controllo i commercianti di dati. Le industrie il cui core business è lo scambio di dati devono rispettare standard particolarmente severi in materia di protezione dei dati. Il problema è che i credit bureau sono poco regolamentati: se è vero che sono autorizzati a trattare solo i dati rilevanti per il merito creditizio, non c'è alcuna definizione di quali informazioni specifiche questo includa. Poiché le agenzie di credit reporting hanno accesso a una grande quantità di dati, devono gestirli in modo particolarmente responsabile.
