noyb.eu ha presentato un reclamo GDPR contro l'agenzia di rating del credito "CRIF", attiva in oltre 28 paesi. Il CRIF ha assegnato un "punteggio" di esattamente 446 da 700 possibili punti di credito a un cliente di elettricità senza debiti con un lavoro permanente ben pagato. Ciò è sorprendente, poiché la CRIF ha sottolineato più volte di non conoscere l'interessato e di non avere dati memorizzati su di lui. Il punteggio è stato calcolato dal nulla. Tuttavia, la conseguenza era molto reale: la società elettrica si è rifiutata di firmare un contratto con lui.
- Scaricare: Reclamo tedesco all'autorità austriaca per la protezione dei dati (PDF)
- Scaricare: Traduzione automatica in inglese del reclamo (PDF)
Come un mago con un coniglio, la CRIF ha evocato dal nulla la "solvibilità".
Un cliente elettrico voleva firmare un nuovo contratto di elettricità. Il fornitore di energia elettrica si è rifiutato inaspettatamente di firmare il contratto. Il motivo: il suo rating di credito era troppo basso - piuttosto sorprendente visto il suo reddito e la sua professione, che dovrebbe essere più che sufficiente per pagare l'elettricità. In risposta ad ulteriori richieste di informazioni, è stato spiegato che il suo punteggio di credito CRIF sarebbe stato solo 446 punti, mentre il requisito minimo per un contratto energetico era 650 punti. Il cliente si è quindi rivolto alla CRIF e ha richiesto l'accesso alle sue informazioni in conformità all'articolo 15 GDPR. Il CRIF ha risposto affermando di non aver memorizzato alcun dato personale su di lui in quanto consumatore. Il punteggio negativo deve quindi essere sbucato dal nulla.
"La risposta del CRIF è stupefacente. Come si può calcolare un esatto punteggio di rating del credito se non vengono memorizzati dati sulla persona? Sembra che il CRIF abbia calcolato un punteggio di 446 punti in base ai soli dati della richiesta, ovvero nome, indirizzo e data di nascita. Chi vive all'indirizzo sbagliato o ha la data di nascita sbagliata non otterrà un contratto di fornitura di energia elettrica. "Probabilmente è più giusto chiudere gli occhi e scegliere un numero a caso tra 1 e 700" - Alan Dahi, avvocato per la privacy di noyb.eu
L'elaborazione dei dati deve seguire determinati principi secondo il GDPR. Uno di questi è il principio della correttezza dei dati, o accuratezza - i dati personali devono essere corretti nel contenuto. I punteggi arbitrari "voodoo" che stigmatizzano i clienti e li escludono dalla fornitura di energia elettrica sono chiaramente illegali.
"Se una persona non è effettivamente memorizzata nella banca dati CRIF, il risultato dovrebbe essere "Persona sconosciuta", non 446. Un punteggio senza una base è intrinsecamente errato e quindi una violazione del GDPR". - Alan Dahi, avvocato della privacy di noyb.eu
Segreto commerciale? Il cliente dell'elettricità è al buio.
La CRIF si è rifiutata di spiegare come è stato calcolato il credit score, nonostante le ripetute richieste - anche se, secondo il GDPR, ogni persona interessata ha il diritto di conoscere la logica alla base di tali calcoli. Ciò è stato giustificato con l'affermazione generalizzata che il processo decisionale della CRIF era "un segreto commerciale"; tuttavia, un tale "segreto" che può lasciare i clienti elettrici interessati letteralmente seduti al buio.
"In primo luogo, i consumatori non possono più concludere contratti perché sono state inventate valutazioni completamente illogiche. Poi non si può nemmeno sapere come vengono fatte queste valutazioni. Il consumatore diventa una pedina di un algoritmo" - Alan Dahi, avvocato della privacy di noyb.eu
Niente elettricità - e nessuna persona responsabile
Il fornitore di energia elettrica ha citato il punteggio di credito CRIF, troppo basso, come unica ragione per cui non è stato possibile fornire energia e ha presentato il rapporto di credito ottenuto dalla CRIF come prova. Al cliente non è stata data la possibilità di dimostrare che la sua affidabilità creditizia era in realtà impeccabile e di ottenere comunque un contratto di fornitura di energia elettrica. Tuttavia, quando gli è stato chiesto, la CRIF ha dichiarato che la CRIF non aveva effettuato alcuna valutazione del credito. La decisione se concludere il contratto sarebbe stata presa esclusivamente dal fornitore di energia elettrica
Denuncia presentata, con una potenziale multa fino a 20 milioni di euro
A causa della mancanza di informazioni e dei dati ovviamente errati, noyb ha presentato un primo reclamo all'autorità austriaca competente per la protezione dei dati.
"Abbiamo chiesto che l'autorità per la protezione dei dati esamini attentamente le operazioni di trattamento da parte del CRIF. L'autorità può vietare questo tipo di decisioni arbitrarie in materia di rating del credito e può anche imporre una sanzione. Ciò dovrebbe rendere meno probabili le false valutazioni" - Alan Dahi.
noyb mette a fuoco le agenzie di credito
Le agenzie di rating del credito hanno a volte un grande potere sui consumatori e finora hanno mostrato scarsa responsabilità nell'esercizio di questo potere. Spesso seguono le tradizioni nazionali invece del GDPR, che è in vigore in tutta Europa dal 2018. Non solo la qualità dei calcoli è spesso discutibile, ma non è nemmeno chiaro su quali basi società private come la CRIF o la Schufa in Germania si concedano il diritto di creare grandi banche dati sulle finanze di milioni di europei.
"Onestamente non vediamo alcuna base per queste società per creare una raccolta di dati sulle finanze di ogni cittadino. Il reclamo contro la CRIF è quindi solo un primo passo. Nei prossimi mesi e anni, esamineremo l'intero settore pezzo per pezzo e a livello europeo e condurremo le opportune procedure GDPR". - Alan Dahi, avvocato della privacy di noyb.eu