noyb ha ottenuto una vittoria di tappa nel suo procedimento contro l'agenzia di riferimento creditizio CRIF e il commerciante di indirizzi Acxiom in Germania. Le società stanno commerciando illegalmente i dati personali di milioni di tedeschi. Poco più di due anni fa, noyb ha quindi presentato una denuncia. Ora l'autorità bavarese per la protezione dei dati ha stabilito che CRIF ha utilizzato in modo improprio i dati acquistati - e quindi ha violato la legge europea sulla protezione dei dati. Nel frattempo, l'autorità dell'Assia ha respinto un'istanza di Acxiom per negare a noyb l'accesso ai file del caso.
Premessa: Commercio di dati segreto e illegale. L'agenzia di riferimento creditizio CRIF acquista costantemente dati personali come nomi, indirizzi e date di nascita di milioni di tedeschi dal commerciante di indirizzi Acxiom e li utilizza per valutare la loro affidabilità creditizia. Lo scambio avviene in segreto e senza il consenso o la notifica degli interessati. Secondo il principio del GDPR di limitazione delle finalità, i dati raccolti per scopi di marketing possono essere utilizzati per il credit scoring solo con il consenso. Di conseguenza, entrambe le società violano la legge europea sulla protezione dei dati.
Commercio di dati dichiarato illegale. L'autorità bavarese per la protezione dei dati (DPA), che si occupa del procedimento contro CRIF, ha ora seguito questa valutazione: CRIF ha trattato i dati del ricorrente in violazione del principio di limitazione delle finalità e ha violato l'obbligo di informarlo dell'acquisizione dei suoi dati da Acxiom. Ma non è tutto: l'autorità afferma che l'agenzia di credito ha fornito risposte incomplete a una richiesta di informazioni da parte del denunciante e che ha addirittura fornito informazioni false.
Max Schrems, presidente della noyb: "Le autorità tedesche hanno resistito abbastanza a lungo mentre CRIF si arricchiva segretamente con i dati di milioni di tedeschi. Il fatto che l'autorità bavarese per la protezione dei dati abbia ora dichiarato illegale lo scambio di dati con Acxiom è un buon primo passo. Sono necessarie conseguenze chiare per le agenzie di credito che credono di essere al di sopra della legge"
Il divieto generale è in fase di revisione. Con la sua decisione, l'autorità bavarese per la protezione dei dati segue una sentenza dell'autorità austriaca (DSB) del marzo 2023. In un caso di noyb contro la filiale austriaca di CRIF, il DSB ha stabilito che il commercio segreto tra agenzie di credito e commercianti di indirizzi viola il GDPR ed è quindi illegale. Sulla base di questa sentenza, noyb ha recentemente intentato una causa contro CRIF anche in Austria. La DPA bavarese sta attualmente conducendo un ulteriore procedimento contro CRIF Germania, nel quale sta esaminando un divieto generale di acquisto di dati da commercianti di indirizzi come Acxiom.
Ritardo nel procedimento da parte di Acxiom. Il procedimento contro Acxiom (gestito dall'autorità per la protezione dei dati dell'Assia) è in ritardo di diversi mesi. Il commerciante di indirizzi si è rivolto al tribunale per impedire al denunciante di accedere ai fascicoli del caso. Ciò ha bloccato l'intero procedimento, consentendo ad Acxiom di continuare il suo commercio illegale di dati. Il tribunale ha ora respinto la richiesta di Acxiom in quanto irricevibile