contato

16 de Julho, 2024

Agências de crédito devem justificar pontuações de credit score na Áustria

image 17

O Tribunal Administrativo Federal da Áustria decidiu que a pontuação de crédito calculada por uma agência de referência de crédito configura tomada de decisão automatizada. O tribunal também determinou que a agência de crédito é obrigada a fornecer ao titular dos dados as razões que justificam a pontuação de crédito atribuída.

Em 1º de outubro de 2020, um titular de dados tentou firmar um contrato de fornecimento de energia com uma empresa fornecedora, mas recebeu uma resposta negativa devido a uma verificação de crédito insuficiente realizada por uma agência de referência de crédito. Em 7 de outubro de 2020, o titular dos dados solicitou acesso aos dados pessoais conforme o Artigo 15 do GDPR à agência de crédito.

A agência de crédito respondeu no dia seguinte, fornecendo os dados pessoais do titular, incluindo nome e endereço, e informou que a consulta de crédito havia sido feita pelo fornecedor de energia em 1º de outubro de 2020. Em 7 de janeiro de 2021, o titular dos dados solicitou novamente à agência que cumprisse adequadamente sua obrigação de fornecer acesso.

Em 13 de janeiro de 2021, a agência de crédito alegou que não havia direito de acesso conforme o Artigo 15 do GDPR sobre a origem dos valores de risco, parâmetros e métodos usados para calcular o valor de risco, pois eram considerados segredos comerciais. Insatisfeito, o titular dos dados apresentou uma queixa à Autoridade Austríaca de Proteção de Dados (DSB) em 17 de março de 2021.

O tribunal rejeitou o argumento da agência de crédito de que não havia tomada de decisão automatizada conforme o Artigo 22 do GDPR, uma vez que o valor da probabilidade fornecido à empresa de energia foi o critério decisivo para a recusa do contrato. O tribunal afirmou que a decisão de não concluir o contrato de fornecimento de energia com o titular dos dados produz efeitos legais ou afeta significativamente o titular, conforme o Artigo 22(1) do GDPR.

O tribunal também rejeitou o argumento da agência de que a pontuação de crédito era apenas um ato preparatório e não uma decisão, afirmando que isso criaria um risco de contornar o Artigo 22 do GDPR e uma lacuna de proteção legal.

Além disso, o tribunal constatou que a agência de crédito violou os princípios de "legalidade" e "justiça" do Artigo 5(1)(a) do GDPR e que a agência estava sujeita a obrigações adicionais de informação conforme os Artigos 13(2)(f) e 14(2)(g) do GDPR, que não foram cumpridas.

O tribunal concordou com a DSB que a agência de crédito não atendeu ao pedido de acesso do titular dos dados conforme o Artigo 15 do GDPR, pois não forneceu informações suficientes sobre a lógica envolvida no cálculo da pontuação de crédito. Embora a fórmula específica de cálculo seja um segredo comercial, o tribunal determinou que a agência deve fornecer informações suficientes para que o titular dos dados entenda as razões para o valor da pontuação, sem comprometer segredos comerciais.

Portanto, o tribunal concluiu que a agência violou o Artigo 15(1)(h) do GDPR ao não fornecer informações suficientes ao titular dos dados e confirmou a decisão da DSB, ordenando que a agência cumprisse o pedido de acesso no prazo de oito semanas.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4, com revisão humana.

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Incidente de segurança na XP
2 de Maio, 2025

A XP informou ter tomado conhecimento, em 22 de março de 2025, de um acesso não autorizado a uma base de dados hospedada por um de seus fornecedores externos. A empresa declarou que bloqueou imediatamente o acesso assim que o incidente foi detectado e assegurou que nenhum sistema interno da XP foi comprometido. Segundo o […]

Ler Mais
Fiscalização da ANPD garante nomeação de encarregados em 20 grandes empresas
2 de Maio, 2025

Vinte empresas ajustaram suas operações para cumprir a Lei Geral de Proteção de Dados Pessoais (LGPD) após uma ação de fiscalização da Autoridade Nacional de Proteção de Dados (ANPD), iniciada em novembro do ano passado. O processo foi concluído em 24 de Abril, com todas as companhias fiscalizadas atendendo às determinações da Autoridade. A fiscalização […]

Ler Mais
Discord enfrenta ação judicial por negligência na proteção de crianças
23 de Abril, 2025

O Procurador-Geral de Nova Jersey moveu uma ação judicial contra a plataforma de mensagens Discord, acusando a empresa de práticas comerciais enganosas e irresponsáveis que expõem crianças a conteúdos violentos e sexuais, além de predadores online. A investigação revelou que Discord teria enganado os pais quanto à eficácia de seus controles de segurança, oferecendo garantias […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram