Voodoo dei dati: l'agenzia di credito CRIF crea l'affidabilità creditizia dal nulla. L'autorità per la protezione dei dati esige anche la divulgazione della logica di "scoring".
Dopo un buon anno, l'autorità austriaca per la protezione dei dati (DPA) ha emesso una decisione sul nostro primo reclamo contro l'agenzia di credit reporting CRIF. CRIF aveva attribuito un merito di credito negativo a un soggetto di dati anche se la persona era sconosciuta all'agenzia di credito. La persona interessata non ha ricevuto un contratto di elettricità a causa della sua presunta "cattiva" affidabilità creditizia
Il DPO nota da un lato che CRIF deve informare le aziende che interrogano che il "merito di credito" è stato calcolato solo da indirizzo, sesso, nome e data di nascita. Inoltre, CRIF deve (a differenza della Germania, per esempio) spiegare il punteggio al consumatore interessato.
Le informazioni erano insufficienti - CRIF deve spiegare come si è arrivati al punteggio. L'interessato aveva invocato il suo diritto di accesso ai sensi dell'articolo 15 GDPR per richiedere le finalità del trattamento e i destinatari dei suoi dati. Questa settimana, la DPA ha ritenuto che la valutazione del credito operata da CRIF è considerata "profiling", come pei dati personali sono stati valutati e analizzati al fine di prevedere la futura probabilità di insolvenza dell'interessato. Il DPO vede le attività di CRIF come un'interferenza particolarmente intensa con i diritti di protezione dei dati della persona interessata - infine, il denunciante erainfine, un punteggio negativo è stato attribuito al denunciante anche se non aveva mai causato alcuna reale storia di pagamento (come casi di recupero crediti o procedure di insolvenza). CRIF aveva cercato di evitare anche una minima trasparenza e aveva rifiutato qualsiasi spiegazione fino alla fine della proceduracRIF ha cercato di evitare anche una minima trasparenza e ha rifiutato di spiegare come era arrivato al punteggio specifico fino alla fine della procedura. Senza successo - il DPO ha ora ordinato a CRIF di fornire CRIF per fornire informazioni. Solo la logica concreta del computer è protetta come segreto commerciale.
Alan Dahi, Datan avvocato di protezione anoyb: „La decisione è un passo importante verso una maggiore trasparenza per gli interessati. Gli uffici di credito hanno sempre fatto un completo segreto dei loro processi interni, anche se gli piace guadagnare i loro soldi con le informazioni degli altri. Ora è chiaro: secondo il GDPR, gli uffici di credito devono anche spiegare in modo comprensibile come vengono compilati i loro punteggi a volte assurdi. Siamo curiosi di vedere come CRIF spiegherà il punteggio completamente arbitrario della persona interessata in questo cason vuole spiegare.“
Calcolo illegittimo del merito di credito basato su dati demografici Inoltre, il DPO ha anche criticato la mancanza di trasparenza di CRIF nei confronti dei suoi clienti. CRIF non rivela a sufficienza che nella maggior parte dei casi il punteggio di affidabilità creditizia venduto è calcolato solo sulla base di dati demografici come il sesso, l'età e il luogo di residenzaetà e luogo di residenza. Per i clienti CRIF, questo dà l'impressione di una scarsa affidabilità creditizia, senza che la persona interessata abbia mai causato dati negativi di esperienza di pagamento. In ultima analisi, questo può portare a un deterioramento dell'economiail DPO ha quindi deciso che in tali casi CRIF non può invocare interessi legittimi ai sensi dell'articolo 6, paragrafo 1, lettera f), del GDPR, perché l'interesse dell'interessato a non essere discriminato nelle transazioni commerciali non è protettogli interessi dell'interessato a non essere svantaggiato nelle transazioni commerciali superano gli interessi di trattamento di CRIF. Ora CRIF deve ridisegnare completamente i suoi rapporti di credito - in modo che un soggetto di dati possa spiegare equamente ai clienti di CRIF perché il punteggio dato da CRIF è di scarso valorepunteggio rilasciato dal CRIF ha poco ha poco a che fare con la realtà.
Alan Dahi: „CRIF deve infatti rivelare ai suoi clienti che questi sono in realtà semplici punteggi voodoo, che sono calcolati calcolato senza alcun dato reale rilevante per la solvibilità. Il punteggio calcolato da noyb non è un caso isolato. Lasolo il 10% degli austriaci ha dati negativi secondo le informazioni del CRIF - quindi il 90% ha solo un indirizzo, data di nascita e nome.“
La decisione del DPO non è legalmente vincolante. Assumiamo che noyb ma anche CRIF combatterà parti della decisione di oltre 20 pagine.
