Una investigación sobre el sector de la calificación crediticia con Experian, Equifax y TransUnion en el centro de la misma en relación al tratamiento de datos vinculado a la intermediación de los mismos ha resultado en medidas coercitivas. Así lo comunicaba la ICO en un informe publicado a principios de este mes, el cual incluye extensos detalles sobre la investigación, incluidos los procesos y el marco legal aplicado.
La investigación descubrió que había grandes cantidades de datos que las Agencias de Calificación Crediticia (CRAs) Experian, Equifax y TransUnion estaban tratando sin el conocimiento de los interesados.
La investigación de la ICO descubrió que estas tres Agencias de Calificación Crediticia (CRAs) estaban enriqueciendo datos personales y comerciando con ellos sin ofrecer ningún tipo de información al respecto a los interesados. Estos datos personales eran después utilizados por empresas, partidos políticos y organizaciones benéficas para buscar nuevos clientes, elaborar perfiles e identificar a personas que podrían adquirir sus productos y servicios.
La ICO define la intermediación de datos como “la práctica de obtener información sobre los interesados y comerciar con ella, incluido a través de concesiones y licencias a otras empresas o individuos. La información de los interesados normalmente es información agregada de diferentes fuentes o enriquecida de alguna otra forma con el fin de construir perfiles”. La recogida y tratamiento de datos personales sin el conocimiento de los interesados incumple la normativa de protección de datos.
A través de la investigación, la ICO ha descubierto varios incumplimientos de la normativa de protección de datos por parte de cada empresa.
A través de la investigación, la ICO ha descubierto que cada una de las empresas involucradas utilizaba la información no sólo para la función de calificación crediticia, sino también con fines de marketing. Algunas de ellas incluso llevaban a cabo elaboración de perfiles para generar nueva información sobre datos previamente desconocidos de los interesados.
Estas organizaciones tampoco eran transparentes. Mientras que se ofrecía alguna información en sus páginas web, no se explicaban de manera clara los usos a los que se destinaban los datos. Además, se estaban empleando de manera incorrecta algunas bases legitimadoras del tratamiento.
Mientras que las tres empresas incumplieron la normativa de protección de datos, sólo se han impuesto medidas coercitivas sobre Experian, que no mejoraron sus procesos de cumplimiento.
Las tres agencias realizaron mejoras en sus servicios como resultado del trabajo llevado a cabo por la ICO en la investigación. De manera adicional, Equifax y TransUnion retiraron algunos de sus productos y servicios. Por este motivo la ICO decidió no tomar ninguna medida contra ellos.
Aunque Experian también ha realizado algunos avances, la ICO consideró que no había hecho lo suficiente, pues rechazó las recomendaciones de “accountability” o rendición de cuentas proporcionadas por la ICO, y como resultado no facilitó a los interesados la información de privacidad necesaria, ni paró de utilizar sus datos con fines de marketing.
Experian tendrá que realizar los cambios pertinentes en los próximos 9 meses o afrontar nuevas medidas, incluida una posible multa.
La ICO decidió emitir un apercibimiento, al considerarlo como la forma más efectiva de conseguir el cumplimiento de la compañía en esta situación. El apercibimiento requiere a Experian realizar todos los cambios necesarios en los próximos 9 meses, sujeto a otro tipo de medidas en caso de no hacerlo, lo cual podría incluir una multa de hasta 20 millones de euros o el 4% de su beneficio anual global. Este apercibimiento de la ICO también insta a Experian a informar a los interesados en consecuencia, y asimismo deberá dejar de destinar a marketing los datos derivados de la sección del negocio de calificación crediticia.
