L'agenzia di riferimento creditizio CRIF GmbH, spesso criticata, ha raccolto indirizzi, date di nascita e nomi di quasi tutti gli austriaci per calcolare i "valori di affidabilità creditizia" senza consenso o altra base legale. L'Autorità austriaca per la protezione dei dati (DPA) ha ora stabilito in un caso di prova che questi dati sono stati trattati illegalmente. Milioni di dati devono essere cancellati.
- Decisione dell'autorità di protezione dei dati (tedesco)
- Decisione tradotta automaticamente (inglese)
- Link al caso di prova di noyb
Un editore di indirizzi fornisce illegalmente dati personali a un'agenzia di referenziazione creditizia. La maggior parte dei dati fondamentali (nome, indirizzo, data di nascita, sesso) che CRIF utilizza per calcolare i discutibili "valori di affidabilità creditizia" provengono dall'editore di indirizzi AZ Direkt (che appartiene al gruppo tedesco Bertelsmann). AZ Direct è autorizzata a trasmettere questi dati solo per scopi di marketing e non per il calcolo del rating. Ciononostante, i dati di milioni di austriaci (quasi l'intera popolazione residente) sono finiti illegalmente a CRIF GmbH per scopi di agenzia di credito. noyb ha intentato una causa su questo approccio problematico e ora ha vinto.
"Il GDPR prevede che i dati possano essere utilizzati solo per scopi specifici. Non si possono vendere i dati di marketing a una società di referenziazione creditizia. Il DSB ci ha dato ragione. Milioni di persone in Austria ne sono interessate" - Max Schrems, presidente della noyb.
Milioni di persone senza problemi di pagamento registrate e "segnate". Con l'aiuto di AZ Direct, CRIF dispone dei dati di milioni di austriaci, assegna a ciascuno un "punteggio di credito" e vende queste informazioni a qualsiasi azienda. Molti fornitori di telefonia mobile, negozi online e banche utilizzano questi dati per conoscere meglio i propri clienti.
"Il database CRIF offre su richiesta indirizzi e date di nascita di quasi tutti gli austriaci. Per pochi soldi, viene calcolato anche un discutibile 'punteggio di credito'. Ai clienti non viene concesso un contratto di telefonia cellulare o di elettricità se il loro punteggio è troppo basso. Se la banca utilizza questo punteggio, si rischia di dover pagare rate di prestito più alte. Riteniamo che i dati debbano essere raccolti solo tra gli inadempienti manifesti, non tra l'intera popolazione" - Max Schrems, presidente della noyb
Ci si aspetta un divieto e un ricorso. Questa decisione riguarda una singola persona interessata e afferma solo che il trattamento dei dati non era legittimo. Tuttavia, il trattamento non è stato vietato dall'autorità austriaca per la protezione dei dati - l'autorità fa riferimento a un divieto ufficiale generale, che è ancora in sospeso. noyb si aspetta che CRIF ricorra in appello contro questa decisione, poiché si tratta di un duro colpo contro il loro modello di business. È tuttavia improbabile che il ricorso venga accolto.
Gli interessati possono raccogliere prove e richiedere informazioni sui propri dati a CRIF. In futuro potrebbe anche essere necessario pagare dei danni. Ciò dipende dalla sentenza della Corte di giustizia su un'altra causa, che sarà decisa a breve.
"Consigliamo di ottenere una copia gratuita dei propri dati dal CRIF a scopo probatorio. Presto potrebbe essere chiarito se si riceve anche un risarcimento per il trattamento illegale dei dati. In questo caso, però, siamo ancora in attesa di altre sentenze" - Max Schrems, Presidente di noyb.
CRIF è fortemente sotto pressione. noyb ha attualmente in corso diverse cause contro CRIF: per il calcolo intrasparente e soggetto a errori dei punteggi di affidabilità creditizia, per l'assenza di una base legale per la memorizzazione dei dati di milioni di persone in Austria e per le fonti di dati illegali. A questo punto, la storia si ripete: f CRIF era già stata coinvolta in uno scandalo di trasferimento illegale di dati dalla magistratura negli anni 2000 (all'epoca ancora con il nome di "Deltavista").