De la începutul lunii februarie, CEJ a audiat în două dosare privind Schufa germană, este în joc nimic mai puțin decât întregul sistem de birouri de credit netransparente – pentru că ar putea eșua din cauza GDPR. Avocatul general responsabil la CEJ a ajuns acum la concluzia că crearea valorilor scorului încalcă GDPR și că Schufa nu are voie să stocheze date din directoare publice mai mult decât ei înșiși.
Birourile de credit au făcut viața dificilă consumatorilor de zeci de ani. O singură intrare – adesea neautorizată – greșită și telefonul mobil dorit sau contractul de împrumut este în mod automat de domeniul trecutului. Dar întrebarea cum își calculează birourile de credit „scorul” pentru bonitatea cetățenilor a fost până acum un secret comercial – chiar aprobat de Curtea Federală de Justiție. Dar acum sistemul opac este tăiat chiar de sus, din mai multe părți în același timp. Pentru că instanța de contencios administrativ (VG) Wiesbaden a adresat mai multe întrebări Curții Europene de Justiție (CEJ) în două proceduri. De joi, 26 ianuarie 2023, CEJ examinează dacă ceea ce fac Schufa & Co. este în conformitate cu Regulamentul general al UE privind protecția datelor (GDPR). Avocatul general și-a prezentat acum concluziile.
Metoda 1: Crearea valorilor scorului este pe un prag
Primul caz, asupra căruia CEJ trebuie să se pronunțe (cauza C 634/21 ), se referă la inima Schufa & Co.: valoarea punctajului. VG Wiesbaden este de părere că calcularea și transmiterea acestei valori de bonitate este o decizie automată în conformitate cu Art. 22 Alineatul 1 GDPR acte. După aceea, este interzis – cu câteva excepții – computerelor să ia decizii cu privire la persoane care au efecte adverse legale sau similare. În cele din urmă, băncile sau furnizorii de telefonie mobilă ar putea decide singuri dacă să încheie contracte pe baza unui scor Schufa negativ. În cele din urmă, totuși, acest lucru duce întotdeauna la consecințe negative în practică. Prin urmare, situația este în cele din urmă aceeași ca și în cazul unei decizii complet automatizate. În acest caz, procedura Schufa ar încălca cel mai probabil dreptul UE și ar trebui reformată în mod fundamental.
În cea de-a doua întrebare adresată CEJ, VG dorește să abordeze temeiul juridic special german al Schufa: dacă articolul 22 nu este relevant, CEJ ar trebui să răspundă dacă GDPR intră în conflict cu secțiunea 31 din Legea federală germană privind protecția datelor ( BDSG ) . „Cu toate acestea, în ceea ce privește compatibilitatea sa cu Art. 22 (1) GDPR, există îngrijorări serioase”, a spus textul Curții Administrative în comunicatul său de presă. În orice caz, VG este de părere că legiuitorul german nu are competențe de reglementare aici. Aceasta înseamnă că sistemul birourilor de credit ar fi permis numai pe baza articolului 6 GDPR, iar autoritățile de supraveghere ar avea un domeniu de aplicare complet diferit de examinare. Întregul sistem anterior al agențiilor de credit germane ar fi pe un prag.
În concluziile sale, avocatul general ajunge acum la concluzia că crearea de către Schufa a valorilor scorurilor pentru bonitate încalcă de fapt GDPR. Chiar și crearea automată a unei valori de probabilitate despre bonitatea (valoarea scorului) reprezintă o astfel de decizie automată interzisă, iar asta se aplică și în cazul în care terți precum băncile decid în cele din urmă dacă persoana respectivă este solvabilă. În opinia avocatului general, GDPR se opune și unei reglementări naționale precum cea a secțiunii 31 BDSG.
Metoda 2: Stocarea datelor din directoare publice este ilegală?
În a doua procedură (cauza C 26/22 și C 64/22) este vorba despre ce date îi este permis să stocheze Schufa – și pentru cât timp. În prezent, Schufa stochează și informații din directoare publice, fără motiv și în rezervă. În acest caz specific, a fost vorba despre o descărcare de datorie reziduală dintr-un faliment personal. Schufa a obținut aceste informații din registrul public al anunțurilor de insolvență și le-a stocat. VG Wiesbaden are îndoieli dacă o „stocare paralelă” a acestor date în birourile private de credit este permisă. Și chiar dacă ar face-o, ar trebui să se aplice aceleași perioade de stocare și ștergere ca și în registrele publice. În timp ce informațiile din registru care sunt accesibile la cerere trebuie șterse după șase luni, Schufa le stochează timp de trei ani. Schufa & Co. 17 alin.1 GDPR le șterge și după șase luni – iar după aceea nu ar trebui să-și mai calculeze scorul pe baza unor astfel de informații.
Potrivit avocatului general la CEJ, Schufa nu poate stoca date din registrele publice – cum ar fi registrele instanțelor de insolvență – mai mult decât registrul public în sine.Ștergerea numai după până la trei ani este, prin urmare, ilegală. În cele din urmă, scopul eliminării datoriilor reziduale este ca cei afectați să poată participa din nou la viața economică. Totuși, acest lucru ar fi împiedicat dacă agențiilor private de credit li s-ar permite să stocheze datele privind insolvența mai mult timp. În opinia avocatului general, cei afectați au dreptul de a cere ca Schufa să șteargă imediat datele.
Hotărârile sunt așteptate la sfârșitul acestui an, sau cel târziu la începutul lui 2024. erichmocanu.tv va raporta decizia finala