Fonte: ICO (Information Commissioner’s Office)
Relatório divulgado pela ICO (Autoridade britânica de proteção de dados) apontou falhas na proteção dos dados coletados e tratados pelos três grandes birôs de crédito que atuam no Reino Unido. Os dados obtidos para a base legal ou hipótese de tratamento “proteção de crédito” estavam sendo utilizados para fins de marketing.
Esses dados foram usados por empresas para fins comerciais, por partidos para campanhas políticas e por instituições de caridade para campanhas de arrecadação. Mas poucos titulares dos dados tinham consciência disso, já que não foram devidamente informados, como exige o GDPR, o regulamento europeu de proteção de dados.
Data broking sector
A investigação da Autoridade se dedicou ao chamado “data broking sector” (setor de corretagem de dados, na tradução literal para o português). Como o próprio nome diz, essas empresas coletam dados pessoais e revendem ou compartilham com outras. Elas coletam dados sobre indivíduos de fontes variadas, combinando essas informações de forma inteligente, para posteriormente vendê-las ou licenciá-las para outras organizações. É justamente isso que o birô de crédito faz ao oferecer para o mercado a nota de crédito ou o score dos consumidores, para que as instituições financeiras possam avaliar, por exemplo, a viabilidade de conceder um empréstimo.
Constatações do relatório
Primeira constatação:
As informações de privacidade dos birôs de crédito, no contexto dos seus próprios serviços de marketing, não explicavam claramente o processo. A Autoridade exigiu que os birôs revisassem e melhorassem suas informações de privacidade. O objetivo foi fazer com que estivessem em conformidade com o GDPR.
Segunda constatação:
Os birôs estavam usando dados pessoais coletados com o propósito de proteção do crédito para fins de marketing direto, sem que os titulares autorizassem isso. De acordo com a ICO, os birôs não podem usar essas informações para fins de marketing a não ser que esse propósito seja apresentado com transparência para os titulares dos dados, com a obtenção do seu consentimento.
Terceira constatação:
Em alguns casos, um dos birôs auditados coletava dados pessoais por meio do consentimento para depois processá-lo por meio da base legal de legítimo interesse. Trocar o consentimento pelo legítimo interesse nessa situação, de acordo com a ICO, é inadequado. Caso o dado pessoal seja coletado por terceiro e compartilhado para propósito de marketing direto por meio do consentimento, então a base legal para o processamento subsequente também será a do consentimento.
A Autoridade britânica tomou algumas medidas legais para exigir a conformidade ao GDPR, o que resultou em mudanças consideráveis.