La agencia de referencia crediticia (CRA) Experian debe realizar cambios significativos en la forma en que maneja los datos personales de las personas dentro de su práctica de marketing directo, o enfrentarse a sanciones en virtud de un nuevo aviso de ejecución emitido por la Oficina del Comisionado de Información del Reino Unido (ICO).
La orden se produce después de una investigación de dos años sobre las prácticas de procesamiento de datos utilizadas por Experian y sus competidores, Equifax y TransUnion, que encontraron importantes fallas de protección de datos en cada uno.
Durante la investigación, la ICO descubrió que cada agencia estaba «comercializando, enriqueciendo y mejorando» los datos personales de las personas sin su conocimiento para desarrollar productos que luego se vendían a organizaciones comerciales, partidos políticos y organizaciones benéficas. Dijo que este procesamiento de datos «invisible» afectó a millones de adultos en el Reino Unido que no sabían que sus datos estaban siendo recopilados y utilizados de esta manera, una violación del Reglamento General de Protección de Datos (GDPR).
“Nuestra investigación descubrió fallas en la protección de datos que probablemente afectaron a millones de adultos en el Reino Unido”, dijo la comisionada de información Elizabeth Denham. “Nuestra investigación ha cambiado la forma en que las agencias de referencia crediticia operan sus servicios de marketing directo fuera de línea. Ha encontrado un procesamiento invisible, que permite a las personas comprender mejor cómo se utilizan sus datos, lo que significa que las personas pueden ejercer sus derechos de privacidad y protección de datos.
«La información que las CRA tienen el privilegio de conservar para fines de referencia crediticia legal fue utilizada ilegalmente por ellos en su calidad de intermediarios de datos, sin tener en cuenta lo que la gente podría querer o esperar».
La investigación también descubrió una serie de otras fallas en la protección de datos en las CRA, incluida la falta de transparencia en lo que las agencias le dijeron a las personas que estaban haciendo con sus datos y el uso incorrecto de bases legales para el procesamiento de datos.
Tanto Equifax como TransUnion han aceptado los hallazgos de la ICO y han retirado una serie de productos y servicios. Sin embargo, dijo el organismo de control, Experian no ha aceptado que se le requiera realizar cambios y, como tal, no está preparado para emitir información de privacidad directamente a las personas o para dejar de usar datos de referencia crediticia con fines de marketing directo.
“El sector del intercambio de datos es un ecosistema complejo en el que la información parece comercializarse ampliamente, sin tener en cuenta la transparencia, lo que da a millones de adultos en el Reino Unido poca o ninguna opción o control sobre sus datos personales”, dijo Denham. “La falta de transparencia y la falta de bases legales, combinadas con la naturaleza intrusiva de la elaboración de perfiles, ha resultado en una grave violación de los derechos de información de las personas.
“El comercio de datos personales con otras organizaciones tiene implicaciones más allá de la industria. La interrupción del flujo de datos personales que no cumplen con las normas tendrá un impacto significativo no solo en todo el sector, sino que generará beneficios para las personas y las organizaciones dondequiera que se utilicen estos datos «.
Denham agregó: “Me alienta la voluntad de Equifax y TransUnion de cambiar sus prácticas y dar prioridad a los derechos legales de las personas. Ahora espero que el sector de la intermediación de datos asuma los mismos compromisos «.
La ICO ha emitido un aviso de cumplimiento que obliga a Experian a realizar cambios en un plazo de nueve meses o arriesgarse a una multa de hasta 20 millones de libras esterlinas o el 4% de su facturación mundial anual, según el GDPR.
El aviso obliga a Experian a: informar a las personas que tiene sus datos y cómo los usa o planea usarlos para marketing para julio de 2021; dejar de usar datos derivados del lado de referencia crediticia de sus actividades para marketing directo para enero de 2021; para mejorar la transparencia sobre qué datos recopila, de dónde provienen, para qué se utilizan, a quién se venden y por qué; para eliminar cualquier dato que se le proporcione sobre la base legal del consentimiento que se esté procesando utilizando una base legal diferente de interés legítimo; y dejar de procesar cualquier dato personal que haya recopilado ilegalmente.
El CEO de Experian, Brian Cassin, dijo: “No estamos de acuerdo con la decisión de la ICO de hoy y tenemos la intención de apelar. En el fondo, se trata de la interpretación de GDPR y creemos que la visión de la ICO va más allá de los requisitos legales.
«Esta interpretación también corre el riesgo de dañar los servicios que ayudan a los consumidores, miles de pequeñas empresas y organizaciones benéficas, especialmente cuando intentan recuperarse de la crisis de Covid-19».
Cassin dijo que muchas de las empresas que utilizan los servicios de marketing de Experian son pymes con menos de 200 empleados, en sectores que se han visto muy afectados por Covid-19, como el comercio minorista, el ocio y los viajes.
Dijo que los datos proporcionados por Experian habían ayudado a las autoridades locales, organizaciones del NHS, bancos de alimentos, consejos y organizaciones benéficas a obtener ayuda para algunas de las personas más vulnerables en el Reino Unido durante la pandemia, y ayudaron a pronosticar el apoyo del gobierno a las empresas.
Cassin también rechazó la afirmación de la ICO de que Experian no estaba clara sobre la claridad que brinda a las personas sobre cómo usa sus datos.