Il 18 marzo scorso l’organizzazione no-profit NOYB (None Of Your Business), fondata da Maximilian Schrems a tutela degli interessi collettivi per la protezione dei dati personali, ha presentato un reclamo all’autorità di controllo austriaca per la protezione dei dati personali, lamentando un presunto utilizzo illecito di dati personali, raccolti a fini di marketing ma successivamente impiegati per valutazioni creditizie.
Quanto segnalato da NOYB, pur in corso di accertamento, dovrebbe far sorgere alcuni dubbi soprattutto a enti creditizi e di finanziamento che usano servizi di questo tipo.
Stando al legale di NOYB, il caso potrebbe esplodere in tutto il settore del rating creditizio e non è detto sia circoscritto alla sola Austria.
Indice degli argomenti
Il quadro generale e il reclamo di NOYB
Il caso segnalato coinvolge due società: da un lato CRIF GmbH, branch austriaca del colosso CRIF, società leader nel settore dei sistemi di informazioni creditizie (abbreviati di prassi come “SIC”), business information e soluzioni per la gestione del credito; dall’altro AZ Direct GmbH, società austriaca specializzata in servizi marketing diretto (data mining ecc.) e acquisizione della clientela.
NOYB riporta che sarebbe avvenuta una cessione a CRIF, da parte di AZ Direct, di dati personali raccolti per altri fini, sì da essere indebitamente riutilizzati per scoring creditizio, perfezionando peraltro un modello di business consolidato tra le due società.
Com’è noto, le agenzie di valutazione del credito possono accedere a diversi dati presenti in pubblici registri e sistemi informativi dedicati e regolamentati. Questi dati sono un importante strumento per realizzare attività di scoring sui diversi soggetti richiedenti (ad es. per mutui, prestiti, apertura di conto corrente, ecc.) al fine di valutarne l’affidabilità creditizia e così decidere se concedere o meno il servizio finanziario richiesto.
Tuttavia, solo una piccola frazione di richiedenti può essere trovata in detti registri, inoltre spesso gli operatori del settore lamentano la parzialità – e dunque scarsa utilità – dei dati così raccolti. Maggiori informazioni utili possono arrivare da fonti diverse: società di varia natura – autorizzate dalla legge a cedere i dati solo per finalità di marketing – venderebbero, in realtà, dati personali alle società di business information così da creare un’enorme e più completa banca dati per le valutazioni creditizie.
L’intervento di NOYB parte da una richiesta di esercizio a CRIF dei diritti spettanti a un interessato, ovvero il diritto di accesso ex art. 15 GDPR, effettuata per conto di un utente austriaco che non si spiegava come la società per la gestione del credito fosse in possesso di suoi dati e informazioni personali.
Nello specifico, il richiedente ha demandato conferma circa un eventuale cambiamento delle finalità di trattamento e se fosse stato adeguatamente, previamente informato della raccolta dei suoi dati in merito.
Nella risposta di CRIF (arrivata a un mese esatto dalla richiesta, nei termini di legge) si è evinto che i dati trattati erano nome, cognome, data di nascita e indirizzo di residenza (parzialmente obsoleti, oltretutto) ma soprattutto che la fonte di acquisizione era AZ Direct.
Secondo quanto segnalato da NOYB pare che l’interessato in passato non avesse avuto alcun rapporto né con CRIF né tantomeno con AZ Direct. Per la legge austriaca, AZ Direct sarebbe autorizzata, per la sua attività, a raccogliere e utilizzare dati personali in quanto “editore di indirizzi”, tuttavia solo per finalità di marketing da parte di terzi.
Il trattamento sarebbe avvenuto senza adempiere all’obbligo di informativa previsto dagli articoli 13 e 14 GDPR e senza neanche avvisare l’interessato di finalità di trattamento diverse e aggiuntive rispetto a quelle previste alla raccolta dei dati.
Peraltro, nella sua richiesta l’interessato non aveva mai chiesto la cancellazione dei dati, espressamente rifiutandola, bensì la loro limitazione (art. 18 GDPR), senza però che i titolari vi abbiano provveduto.
I principi del GDPR violati, secondo NOYB
Le violazioni di legge contestate riguardano il principio di limitazione delle finalità trattamento (art. dall’art. 5.1, lett. b) e art. 6.4 del GDPR) e il principio di liceità del trattamento (art. 6 GDPR).
Quanto alla prima violazione, l’accusa rivolta ad AZ Direct è che la società abbia venduto i dati degli interessati – acquisiti per fini di marketing – trasferendoli a CRIF, nella consapevolezza che quest’ultimo soggetto li avrebbe utilizzati per finalità di scoring creditizio. Finalità certamente incompatibili con quella originaria.
Sempre in tema di violazione del principio di limitazione delle finalità, si contesta a CRIF di mantenere un database unico e “misto”, in cui i dati per finalità di marketing e quelli per finalità di scoring risultano mischiati e confusi tra loro.
Secondo il reclamo sarebbe “irrealistico” supporre che CRIF – come pare affermi in sua difesa – abbia originariamente raccolto i dati del reclamante allo scopo di svolgere proprie attività di marketing, per poi ulteriormente elaborarli allo scopo di valutare l’affidabilità in materia creditizia: difatti l’interessato non avrebbe mai ricevuto alcuna comunicazione pubblicitaria da parte di CRIF, a smentita di tale ricostruzione.
Riguardo la violazione del principio di liceità del trattamento, risulterebbe che – dall’informativa fornita a seguito delle richieste avanzate da NOYB – il trasferimento dei dati da AZ Direct a CRIF sarebbe basato sul legittimo interesse della società di marketing.
Secondo NOYB, tuttavia, non sussisterebbe alcun interesse legittimo in capo ad AZ Direct e, qualora esistesse, sarebbe senz’altro subordinato alle libertà e ai diritti fondamentali dell’interessato.
Allo stesso modo anche CRIF non potrebbe raccogliere e successivamente trattare i dati dell’interessato sulla base di un proprio interesse legittimo: qualora vi fosse, sarebbe senz’altro non prevalente se paragonato agli interessi e ai diritti fondamentali del richiedente.
Che lezione trarre dal caso segnalato da NOYB
Quanto si ipotizza possa essere stato realizzato dalle due società non sarebbe un caso isolato. Secondo quanto affermato da NOYB, non sarebbe un segreto che le società di scoring acquisiscano montagne di dati personali da società di marketing.
Il caso potrebbe fare da apripista e generare una vera e propria reazione a catena. Secondo l’avv. Alan Dahi di NOYB, CRIF GmbH potrebbe aver acquisito milioni di record da società di marketing, per anni e senza mai informare un solo interessato, e ha dichiarato che “il marketing diretto e la valutazione del credito sono due scopi completamente diversi e incompatibili. CRIF e AZ Direct stanno entrambi violando il principio della limitazione degli scopi. Inoltre, ci sono possibili violazioni del diritto commerciale austriaco, che stiamo esaminando.”
Se l’autorità austriaca accoglierà il reclamo di NOYB, CRIF dovrà astenersi da simili trattamenti e dovrà provvedere con la cancellazione di tutti i dati raccolti in violazione del GDPR.
Inoltre, l’autorità potrà comminare sia a CRIF che ad AZ Direct una sanzione pecuniaria fino a 20 milioni di euro o di un ammontare pari al 4% del fatturato annuo di ogni società.
L’uso dei SIC in Italia e le possibili conseguenze
Ricordiamo che in Italia, peraltro, l’uso di dati personali per scoring creditizio, in quanto delicata e altamente impattante forma di profilazione, è soggetta non solo al GDPR e al Codice di protezione dei dati italiano ma anche al “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti”, emanato nel 12 settembre 2019 dal Garante italiano, ad adesione volontaria ma di fatto sottoscritto da quasi tutti gli utilizzatori.
Tale Codice di condotta, in un caso come quello descritto sopra, paleserebbe evidenti violazioni, specie alla luce degli artt. 5 (modalità di raccolta e registrazione dei dati) e 6 (base giuridica e Informazione agli interessati).
Il rischio sussiste per due categorie: da una parte i gestori delle banche dati SIC e dall’altra i partecipanti che attingono a tali banche dati (come ad es. un ente creditizio) per effettuare le valutazioni creditizie. Sebbene il rapporto sia di titolarità autonoma, pure i meri partecipanti potrebbero trovarsi colposamente coinvolti da errori e vizi dei dati conferiti dal gestore.
In definitiva, naturalmente si dovrà monitorare il caso austriaco per sapere se e come le accuse di NOYB verranno accolte dall’autorità di controllo e con quale esito.
Nondimeno questo caso può rappresentare fin d’ora un importante avviso sia per agenzie di marketing (che non devono condividere i dati raccolti per finalità non previste né pertinenti) che per gestori di servizi SIC (che dovrebbero avere contezza di non utilizzare dati personali da fonti non lecite).
Nonché per gli utilizzatori di tali servizi che potrebbero avviare una verifica interna e sui propri fornitori (ad es. mediante audit, visto che una mera garanzia contrattuale potrebbe non bastare) per evitare di essere coinvolti, un domani, in operazioni come quelle segnalate da NOYB.
Oltre ai potenziali profili sanzionatori lato privacy, si rischia di avere serie ripercussioni quanto alla brand reputation, specie per soggetti che fondano molto del loro rapporto sulla fiducia con gli utenti, come gli istituti di credito e finanziamento.
