Scambio illegale di dati tra l'editore di indirizzi e l'agenzia di classificazione del credito
noyb ha presentato un reclamo GDPR contro l'agenzia di classificazione del credito CRIF GmbH e l'editore di indirizzi AZ Direct il 18 marzo 2021 . Le aziende si scambiano dati che violano il GDPR e il diritto austriaco. Gli editori di indirizzi sono autorizzati a trasmettere i dati solo per scopi pubblicitari, ma non alle agenzie di credito per la classificazione del credito.
Scaricare: Reclamo all'autorità austriaca per la protezione dei dati (PDF)
Scaricare: Traduzione automatica in inglese del reclamo (PDF)
CRIF e AZ Direct: violazione del GDPR come modello di business comuneIl ricorrente aveva presentato una richiesta di accesso ai sensi dell'articolo 15 GDPR a CRIF. CRIF ha dichiarato di aver memorizzato il suo nome, la data di nascita e alcuni indirizzi residenziali (in parte obsoleti). L'unica fonte di dati menzionata era l'editore di indirizzi AZ Direct. Tuttavia, gli editori di indirizzi sono autorizzati a trasmettere i dati solo per scopi pubblicitari. Nel caso di CRIF, era molto evidente che avevano calcolato diversi punteggi di affidabilità creditizia sulla base dei dati ricevuti da AZ Direct e li avevano inviati a varie aziende.
Commercio segreto di datiLe agenzie di credito possono accedere a dati disponibili pubblicamente, come da diversi registri per raccogliere dati identificativi. Tuttavia, solo una frazione della popolazione può essere trovata lì. La maggior parte dei dati proviene apparentemente da una fonte diversa, vale a dire gli editori di indirizzi che, per legge, sono autorizzati a trasmettere i dati solo per scopi pubblicitari
"La maggior parte dei dati delle agenzie di classificazione del credito provengono dagli editori di indirizzi - senza alcuna base legale e senza mai chiedere il consenso agli interessati o informarli. Il denunciante inoltre non sapeva che i suoi dati venivano raccolti fino alla sua richiesta di accesso, anche se il GDPR afferma chiaramente che avrebbe dovuto essere informato di questa raccolta" Alan Dahi, avvocato per la protezione dei dati di noyb.eu
La limitazione delle finalità come un concetto estraneo Il principio della limitazione delle finalità afferma che i dati possono essere raccolti solo per " scopi determinati, espliciti e legittimi " e non possono essere ulteriormente elaborati per altri scopi incompatibili. Tuttavia, secondo il registro delle imprese AZ Direct è solo un editore di indirizzi e quindi è autorizzato a trasmettere i dati solo per scopi di marketing diretto. Tuttavia, CRIF aveva evidentemente utilizzato i dati per scopi di valutazione del credito - una grave violazione del principio di "limitazione delle finalità" secondo l'articolo 5 DSGVO
"Il marketing diretto e la valutazione del credito sono due scopi completamente diversi e incompatibili. CRIF e AZ Direct stanno entrambi violando il principio della limitazione degli scopi. Inoltre, ci sono possibili violazioni del diritto commerciale austriaco, che stiamo anche esaminando. "Alan Dahi, avvocato per la protezione dei dati in noyb.eu
Non è un caso isolatoCRIF non fa mistero del suo rapporto con gli editori di indirizzi: gli editori di indirizzi sono nominati nella dichiarazione sulla protezione dei dati come fornitori regolari di dati. Inoltre, CRIF dichiara sul suo sito web di non avere dati negativi (cioè nessun dato sui debiti non pagati) da più del 90% delle persone memorizzate. Essi ottengono quindi inevitabilmente la maggior parte dei dati dagli editori di indirizzi.
"La situazione del denunciante non è un caso isolato. noyb è a conoscenza di diversi casi simili. CRIF ha apparentemente acquisito milioni di record di dati da editori di indirizzi come AZ Direct per un periodo di anni senza informare una sola persona interessata. Se avete una residenza in Austria, c'è un'alta probabilità che anche voi siate interessati."Alan Dahi, avvocato della privacy di noyb.eu
Il turno dell'autorità Se l'autorità austriaca per la protezione dei dati (DPA) segue la nostra denuncia, CRIF dovrà astenersi da tale raccolta di dati in futuro - e cancellare tutti i dati raccolti in violazione del GDPR. Inoltre, la DPA può imporre una multa fino a 20 milioni di euro o il 4% del fatturato annuo sia a CRIF che a AZ Direct.
"Le industrie dell'address trading e del credit ranking non hanno ancora adattato le loro pratiche commerciali ai requisiti del GDPR. È ora che anche queste industrie arrivino al presente e rispettino la protezione dei dati! "Alan Dahi, avvocato specializzato in protezione dei dati di noyb.eu
Esercita i tuoi diritti! Puoi anche scoprire se CRIF ha raccolto illegalmente i tuoi dati da un editore di indirizzi come AZ Direct. Per farlo, invia una richiesta di accesso ai sensi dell'articolo 15 del GDPR a CRIF (auskunft@crif.com) e chiedere in particolare l'origine dei dati trattati. Ulteriori informazioni sono disponibili qui. CRIF è obbligata a fornirti queste informazioni entro un mese. Dopo di che, siete invitati a contattarci per ulteriori passi.