contato

16 de Julho, 2024

Agências de crédito devem justificar pontuações de credit score na Áustria

image 17

O Tribunal Administrativo Federal da Áustria decidiu que a pontuação de crédito calculada por uma agência de referência de crédito configura tomada de decisão automatizada. O tribunal também determinou que a agência de crédito é obrigada a fornecer ao titular dos dados as razões que justificam a pontuação de crédito atribuída.

Em 1º de outubro de 2020, um titular de dados tentou firmar um contrato de fornecimento de energia com uma empresa fornecedora, mas recebeu uma resposta negativa devido a uma verificação de crédito insuficiente realizada por uma agência de referência de crédito. Em 7 de outubro de 2020, o titular dos dados solicitou acesso aos dados pessoais conforme o Artigo 15 do GDPR à agência de crédito.

A agência de crédito respondeu no dia seguinte, fornecendo os dados pessoais do titular, incluindo nome e endereço, e informou que a consulta de crédito havia sido feita pelo fornecedor de energia em 1º de outubro de 2020. Em 7 de janeiro de 2021, o titular dos dados solicitou novamente à agência que cumprisse adequadamente sua obrigação de fornecer acesso.

Em 13 de janeiro de 2021, a agência de crédito alegou que não havia direito de acesso conforme o Artigo 15 do GDPR sobre a origem dos valores de risco, parâmetros e métodos usados para calcular o valor de risco, pois eram considerados segredos comerciais. Insatisfeito, o titular dos dados apresentou uma queixa à Autoridade Austríaca de Proteção de Dados (DSB) em 17 de março de 2021.

O tribunal rejeitou o argumento da agência de crédito de que não havia tomada de decisão automatizada conforme o Artigo 22 do GDPR, uma vez que o valor da probabilidade fornecido à empresa de energia foi o critério decisivo para a recusa do contrato. O tribunal afirmou que a decisão de não concluir o contrato de fornecimento de energia com o titular dos dados produz efeitos legais ou afeta significativamente o titular, conforme o Artigo 22(1) do GDPR.

O tribunal também rejeitou o argumento da agência de que a pontuação de crédito era apenas um ato preparatório e não uma decisão, afirmando que isso criaria um risco de contornar o Artigo 22 do GDPR e uma lacuna de proteção legal.

Além disso, o tribunal constatou que a agência de crédito violou os princípios de "legalidade" e "justiça" do Artigo 5(1)(a) do GDPR e que a agência estava sujeita a obrigações adicionais de informação conforme os Artigos 13(2)(f) e 14(2)(g) do GDPR, que não foram cumpridas.

O tribunal concordou com a DSB que a agência de crédito não atendeu ao pedido de acesso do titular dos dados conforme o Artigo 15 do GDPR, pois não forneceu informações suficientes sobre a lógica envolvida no cálculo da pontuação de crédito. Embora a fórmula específica de cálculo seja um segredo comercial, o tribunal determinou que a agência deve fornecer informações suficientes para que o titular dos dados entenda as razões para o valor da pontuação, sem comprometer segredos comerciais.

Portanto, o tribunal concluiu que a agência violou o Artigo 15(1)(h) do GDPR ao não fornecer informações suficientes ao titular dos dados e confirmou a decisão da DSB, ordenando que a agência cumprisse o pedido de acesso no prazo de oito semanas.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4, com revisão humana.

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Justiça aplica LGPD para responsabilizar empresa por inscrição em SCR sem notificação
13 de Junho, 2025

O Tribunal de Justiça de Minas Gerais negou provimento a recursos de apelação em ação que discutia indenização por danos morais decorrente de inscrição no Sistema de Informações de Crédito (SCR) do Banco Central sem prévia comunicação. O consumidor teve seu nome inscrito pela DM Financeira no cadastro restritivo sem a devida notificação, violando dispositivos […]

Ler Mais
ANPD abre consulta pública sobre regulamentação de dados biométricos
13 de Junho, 2025

A Autoridade Nacional de Proteção de Dados (ANPD) iniciou uma tomada de subsídios para o tratamento de dados biométricos, visando coletar contribuições da sociedade para a regulação dessa categoria de dados sensíveis. A medida surge após o procedimento de fiscalização instaurado contra a Tools for Humanity, empresa responsável pelo projeto Worldcoin que tentava coletar dados […]

Ler Mais
Microsoft corrige 67 vulnerabilidades incluindo falha zero-day no WebDAV
11 de Junho, 2025

A Microsoft lançou correções para 67 falhas de segurança, incluindo uma vulnerabilidade zero-day no Web Distributed Authoring and Versioning (WebDAV) que está sendo explorada ativamente por criminosos cibernéticos. Das 67 vulnerabilidades corrigidas, 11 são classificadas como críticas e 56 como importantes, abrangendo 26 falhas de execução remota de código, 17 de divulgação de informações e […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram