contato

16 de Julho, 2024

Agências de crédito devem justificar pontuações de credit score na Áustria

image 17

O Tribunal Administrativo Federal da Áustria decidiu que a pontuação de crédito calculada por uma agência de referência de crédito configura tomada de decisão automatizada. O tribunal também determinou que a agência de crédito é obrigada a fornecer ao titular dos dados as razões que justificam a pontuação de crédito atribuída.

Em 1º de outubro de 2020, um titular de dados tentou firmar um contrato de fornecimento de energia com uma empresa fornecedora, mas recebeu uma resposta negativa devido a uma verificação de crédito insuficiente realizada por uma agência de referência de crédito. Em 7 de outubro de 2020, o titular dos dados solicitou acesso aos dados pessoais conforme o Artigo 15 do GDPR à agência de crédito.

A agência de crédito respondeu no dia seguinte, fornecendo os dados pessoais do titular, incluindo nome e endereço, e informou que a consulta de crédito havia sido feita pelo fornecedor de energia em 1º de outubro de 2020. Em 7 de janeiro de 2021, o titular dos dados solicitou novamente à agência que cumprisse adequadamente sua obrigação de fornecer acesso.

Em 13 de janeiro de 2021, a agência de crédito alegou que não havia direito de acesso conforme o Artigo 15 do GDPR sobre a origem dos valores de risco, parâmetros e métodos usados para calcular o valor de risco, pois eram considerados segredos comerciais. Insatisfeito, o titular dos dados apresentou uma queixa à Autoridade Austríaca de Proteção de Dados (DSB) em 17 de março de 2021.

O tribunal rejeitou o argumento da agência de crédito de que não havia tomada de decisão automatizada conforme o Artigo 22 do GDPR, uma vez que o valor da probabilidade fornecido à empresa de energia foi o critério decisivo para a recusa do contrato. O tribunal afirmou que a decisão de não concluir o contrato de fornecimento de energia com o titular dos dados produz efeitos legais ou afeta significativamente o titular, conforme o Artigo 22(1) do GDPR.

O tribunal também rejeitou o argumento da agência de que a pontuação de crédito era apenas um ato preparatório e não uma decisão, afirmando que isso criaria um risco de contornar o Artigo 22 do GDPR e uma lacuna de proteção legal.

Além disso, o tribunal constatou que a agência de crédito violou os princípios de "legalidade" e "justiça" do Artigo 5(1)(a) do GDPR e que a agência estava sujeita a obrigações adicionais de informação conforme os Artigos 13(2)(f) e 14(2)(g) do GDPR, que não foram cumpridas.

O tribunal concordou com a DSB que a agência de crédito não atendeu ao pedido de acesso do titular dos dados conforme o Artigo 15 do GDPR, pois não forneceu informações suficientes sobre a lógica envolvida no cálculo da pontuação de crédito. Embora a fórmula específica de cálculo seja um segredo comercial, o tribunal determinou que a agência deve fornecer informações suficientes para que o titular dos dados entenda as razões para o valor da pontuação, sem comprometer segredos comerciais.

Portanto, o tribunal concluiu que a agência violou o Artigo 15(1)(h) do GDPR ao não fornecer informações suficientes ao titular dos dados e confirmou a decisão da DSB, ordenando que a agência cumprisse o pedido de acesso no prazo de oito semanas.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4, com revisão humana.

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Vulnerabilidades críticas em plugins do WordPress expõem mais de 4 milhões de sites
20 de Novembro, 2024

Duas graves vulnerabilidades foram identificadas em plugins amplamente utilizados no WordPress, expondo milhões de sites a riscos de invasão e controle malicioso. Uma das falhas, rastreada como CVE-2024-10924 (pontuação CVSS: 9.8), foi encontrada no plugin Really Simple Security (antigamente Really Simple SSL). A vulnerabilidade, presente nas versões 9.0.0 a 9.1.1.1 do plugin, permite que atacantes […]

Ler Mais
Falha na segurança e violação da LGPD levam à condenação de bancos
20 de Novembro, 2024

A 2ª Turma Recursal dos Juizados Especiais do Tribunal de Justiça do Paraná manteve a condenação do Banco Bradesco S.A. e do Itaú Unibanco S.A. por falhas na segurança de dados e por violação à Lei Geral de Proteção de Dados (LGPD) em um caso de fraude financeira envolvendo empréstimos consignados. Um cliente foi vítima […]

Ler Mais
Banco condenado por descontos indevidos e falhas na proteção de dados pessoais
20 de Novembro, 2024

O Tribunal de Justiça do Estado de São Paulo negou o recurso do Banco Itaú Consignado S.A. em um processo envolvendo descontos indevidos no benefício previdenciário de um consumidor. A decisão manteve a condenação da instituição ao pagamento de R$ 5.000 por danos morais e à devolução em dobro dos valores descontados irregularmente. No caso, […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram