Un'indagine sui flussi di dati presso l'agenzia di credito austriaca CRIF ha fatto ulteriore luce sulla questione: la maggior parte dei dati sugli indirizzi presenti nel database CRIF proviene dai broker di indirizzi AZ Direct (Gruppo Bertelsmann), Compass-Verlag e DPIT di Vienna. Ma da dove prendono i dati questi commercianti di indirizzi? Un nuovo noyb che ha coinvolto più di 2.400 persone interessate, mostra che accedono a registri pubblici come il registro delle imprese e dei terreni, il registro delle associazioni e il sistema di informazione sulle imprese (GISA), introdotto nel 2015. Compass indica anche la Camera di Commercio (WKO) come fonte di dati. Tuttavia, non è chiaro dove AZ Direct (il principale fornitore di dati di CRIF) ottenga i suoi dati. AZ Direct afferma di non sapere dove ha ottenuto i dati su 7 milioni di persone in Austria.
Dati estratti da registri pubblici. L'agenzia di credito CRIF ottiene la maggior parte dei dati sugli indirizzi dai broker di indirizzi AZ Direct, Compass-Verlag e DPIT. Grazie alle richieste di accesso effettuate per conto degli oltre 2.400 partecipanti al progetto CRIF, ora sappiamo che i tre broker di indirizzi utilizzano principalmente registri pubblici come il registro degli atti e delle imprese, il registro delle associazioni e il registro del commercio.
Max Schrems, presidente di noyb: "Naturalmente questi registri non sono destinati a soddisfare i desideri degli intermediari di dati, ma a dimostrare diritti, proprietà e poteri di rappresentanza"
Registro fondiario, registro commerciale, ZVR, GISA e WKO. In particolare, Compass-Verlag dichiara spesso di aver ottenuto dati dal registro delle imprese, dal registro delle associazioni (ZVR) e dal registro del commercio (GISA). Anche la Camera di Commercio (WKO) compare come fonte e sembra trasmettere i dati dei propri membri. Nel frattempo, il DPIT dichiara di accedere al registro fondiario, al registro delle imprese e al registro del commercio. Ciò significa che ogni lavoratore autonomo, ogni proprietario di immobili e ogni persona attiva in un'associazione è stata potenzialmente registrata. Tuttavia, non sono le informazioni sulle proprietà o sulle attività commerciali a essere utilizzate ai fini del rating. Vengono invece utilizzati solo nomi, date di nascita e indirizzi.
Max Schrems: "I registri pubblici sono utilizzati come indirizzari, non per il loro scopo effettivo di fornire prove economiche o legali. Alla fine, i dati economicamente rilevanti non vengono affatto utilizzati per il rating del credito - si tratta solo di dati anagrafici"
Il governo non fa nulla per combattere lo "scraping" dei registri pubblici? I registri pubblici sono indispensabili in uno stato di diritto ben amministrato (ad esempio per verificare se qualcuno ha una licenza commerciale o è proprietario di un immobile). In passato, ciò doveva essere fatto manualmente. Grazie alla digitalizzazione, la maggior parte dei registri è ora disponibile anche online, ma a quanto pare spesso senza una protezione sufficiente contro lo "scraping" su larga scala. Sembrano mancare misure di protezione di base come i captchas, i limiti di interrogazione per indirizzo IP o i termini e le condizioni che stabiliscono chiaramente che i dati possono essere utilizzati solo per scopi specifici (ad esempio per verificare una compravendita, la proprietà o il potere di rappresentanza).
Max Schrems: "L'Austria non dispone di norme tecniche e legali chiare per impedire lo scraping di massa per altri scopi. Chiunque cerchi di proteggere la propria privacy viene attualmente "smascherato" dallo Stato e le aziende raccolgono questi dati su larga scala. È giunto il momento che i politici pongano un freno a questo abuso con limiti tecnici di interrogazione e chiare restrizioni di scopo. Non teniamo il registro delle associazioni per l'industria pubblicitaria o per i commercianti di dati"
La legge è chiara: i registri pubblici sono soggetti a "limitazioni di scopo". Non solo è ovvio che questo riutilizzo commerciale non è nell'interesse pubblico, ma viola anche il principio del GDPR di "limitazione delle finalità" di cui all'articolo 5, paragrafo 1, lettera b) Articolo 5, paragrafo 1, lettera b) del GDPR. L'Autorità austriaca per la protezione dei dati (DSB) ha già deciso in merito al Registro degli atti che, ad esempio, l'ulteriore trattamento a fini pubblicitari viola il GDPR. La ben nota Sentenza della CGUE sul "diritto all'oblio riguardava anche i dati pubblicati legalmente, che tuttavia non potevano essere semplicemente riutilizzati da Google Search.
Max Schrems: "Il fatto che i dati siano disponibili pubblicamente non significa che possano essere utilizzati per qualsiasi scopo. Non si può semplicemente filmare le persone su una strada pubblica per i propri scopi"
AZ Direct: 7 milioni di dati senza fonte? Nel frattempo, AZ Direct, parte del grande gruppo tedesco Bertelsmann, sta rivelando un problema completamente diverso: nonostante l'obbligo legale di fornire informazioni, il rivenditore di indirizzi non ha rivelato fonti di dati specifiche per quasi nessuno dei 2.400 partecipanti. Tuttavia, AZ Direct ha venduto a CRIF un totale di oltre 7 milioni di record di dati. Attualmente non è assolutamente chiaro dove il principale fornitore di dati di CRIF ottenga le sue informazioni, il che rende impossibile esercitare i propri diritti in base al GDPR.
Max Schrems: "È assolutamente ridicolo che una filiale di Bertelsmann, che possiede i dati privati di 7 milioni di persone in Austria, non sappia da dove provengono i dati. Attualmente, un set di dati che contiene quasi tutti gli austriaci potrebbe provenire da qualsiasi fonte - gli interessati non hanno modo di verificare se le fonti sono legali"
Percorso verso l'azione legale collettiva: Valutazione dettagliata quasi completata. noyb continua a lavorare a una valutazione dettagliata dei punteggi di credito ricevuti dai 2.400 partecipanti. Insieme a un professore di matematica finanziaria, si stanno confrontando gli oltre 28.000 punteggi ricevuti con i dati finanziari effettivi delle persone interessate per scoprire se i punteggi CRIF sono statisticamente validi. Attualmente, tutte le indicazioni sembrano suggerire che il punteggio CRIF ha poco a che fare con la reale situazione finanziaria individuale e non fornisce una valutazione affidabile del rischio per le persone che pagano sempre le bollette. Per questo 90% della popolazione, il punteggio si basa essenzialmente solo su età, sesso e indirizzo. Ulteriori risultati sono attesi nelle prossime settimane. Dopodiché, noyb deciderà se presentare un'azione legale collettiva più ampia contro CRIF, che probabilmente interesserà milioni di persone. In caso di trattamento illecito dei dati personali, ogni persona interessata potrebbe avere diritto a richieste di risarcimento danni.
