AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Protección de datos

Experian Países Bajos sancionada con 2,7 millones de euros por vulnerar la GDPR en el tratamiento de datos

admin

Introducción

La Autoridad Holandesa de Protección de Datos (AP) ha impuesto una sanción de 2,7 millones de euros a Experian Países Bajos, filial de la multinacional británica de servicios de información crediticia, por diversas infracciones de la normativa europea de protección de datos (GDPR). El caso pone de manifiesto la creciente vigilancia regulatoria sobre el tratamiento masivo de datos personales, especialmente en sectores críticos como el financiero, y genera un importante precedente para los responsables y encargados del tratamiento en el resto de Europa.

Contexto del Incidente

Experian, como agencia de información crediticia, recopila y procesa grandes volúmenes de datos personales de ciudadanos y empresas, que posteriormente son utilizados por entidades financieras, compañías de seguros y otras organizaciones para evaluar riesgos crediticios, determinar condiciones contractuales y tomar decisiones automáticas. Según la investigación de la AP, Experian Países Bajos incumplió diversas obligaciones fundamentales del GDPR, incluyendo la transparencia en el tratamiento de datos, la base jurídica utilizada para dicho tratamiento y el respeto de los derechos de los interesados.

La investigación comenzó tras múltiples reclamaciones de afectados y de asociaciones de defensa de los derechos digitales, que alertaban sobre la opacidad de los procesos de Experian y la dificultad para ejercer derechos como el acceso, la rectificación o la oposición al tratamiento de datos.

Detalles Técnicos

El expediente sancionador identifica varias vulnerabilidades y malas prácticas en el tratamiento de datos por parte de Experian:

– Falta de transparencia: Experian no proporcionaba información clara y accesible sobre los fines y métodos de tratamiento de los datos personales (Artículos 12-14 GDPR). Muchos interesados desconocían que sus datos estaban siendo tratados, o el alcance de dicho tratamiento.
– Base jurídica inadecuada: La empresa alegaba intereses legítimos para la recopilación y procesamiento de datos, pero la AP determinó que no se realizó una ponderación adecuada entre el interés comercial de Experian y los derechos y libertades de los afectados (Artículo 6 GDPR).
– Deficiencias en el ejercicio de derechos: Los mecanismos para que los interesados pudieran ejercer derechos como el acceso, la rectificación o la supresión eran complejos, poco efectivos o directamente inexistentes (Artículos 15-17 GDPR).
– Riesgo de profilado automatizado: Se detectó el uso de algoritmos y procesos automáticos para la elaboración de perfiles crediticios, sin ofrecer las garantías adecuadas ni informar claramente a los afectados (Artículos 22 y 13 GDPR).
– Medidas técnicas y organizativas insuficientes: Aunque no se han reportado brechas de seguridad específicas (como fuga de datos masiva), la AP señala que el diseño y mantenimiento de los sistemas de Experian no garantizaba la protección de los derechos de los interesados desde el diseño (privacy by design, Artículo 25 GDPR).

No se han divulgado CVEs específicos ni se ha notificado la explotación de vulnerabilidades técnicas concretas, ya que la investigación se ha centrado en el incumplimiento normativo y los riesgos inherentes al procesado automatizado de datos a escala masiva.

Impacto y Riesgos

El impacto de estas prácticas es significativo: millones de ciudadanos holandeses y residentes en Países Bajos han visto tratados sus datos personales sin las garantías exigidas por el Reglamento. El riesgo más relevante es el uso indebido de la información para toma de decisiones automáticas, discriminación financiera, limitación de acceso a servicios o incluso su posible exposición a terceras partes no autorizadas.

Para las organizaciones que confían en informes de Experian, existe un riesgo añadido de incumplimiento indirecto de la GDPR (responsabilidad solidaria), así como de potenciales demandas colectivas por daño moral o patrimonial. Además, la sanción impuesta, de 2,7 millones de euros, se suma a la tendencia creciente de multas multimillonarias en Europa, donde el acumulado de sanciones GDPR en 2023 superó los 2.000 millones de euros.

Medidas de Mitigación y Recomendaciones

La AP ordena a Experian que:

– Reestructure sus políticas de privacidad y los avisos informativos para garantizar la transparencia.
– Revise y documente adecuadamente la base de legitimación para cada tipo de tratamiento.
– Implemente canales efectivos y accesibles para el ejercicio de derechos de los interesados.
– Someta sus sistemas de perfilado y toma de decisiones automatizada a evaluaciones de impacto (DPIA) y auditorías técnicas.
– Refuerce las medidas técnicas y organizativas bajo el principio de privacy by design y by default.

Se recomienda a las empresas usuarias de informes de crédito (bancos, aseguradoras, fintech) auditar sus relaciones con proveedores como Experian y exigir garantías contractuales de cumplimiento GDPR, así como revisar sus propios procesos internos.

Opinión de Expertos

Juristas y especialistas en protección de datos destacan que la sanción a Experian Países Bajos es un claro aviso a navegantes para el sector del big data, donde la automatización y el tratamiento masivo de información personal requieren un escrupuloso cumplimiento normativo. Según el consultor de privacidad Erik van den Hoven, “la transparencia y el control efectivo por parte de los interesados son piedras angulares de la GDPR, y las agencias de información crediticia deben liderar con el ejemplo”.

Implicaciones para Empresas y Usuarios

Para las empresas, la resolución evidencia la necesidad de reforzar el compliance en materia de protección de datos, especialmente en el uso de datos de terceros para procesos de scoring, profilado o toma de decisiones automáticas. Los usuarios, por su parte, deben ser conscientes de sus derechos y exigir transparencia y acceso a la información tratada sobre ellos.

El caso también anticipa un endurecimiento del escrutinio regulatorio con la entrada en vigor de la Directiva NIS2 y la ampliación de los mecanismos de cooperación transfronteriza entre autoridades europeas de protección de datos.

Conclusiones

La multa a Experian Países Bajos es representativa de una nueva etapa en la aplicación de la GDPR: más allá de las brechas de seguridad, el foco se sitúa ahora en el tratamiento legítimo y transparente de los datos personales, el respeto a la privacidad desde el diseño y la protección efectiva de los derechos de los ciudadanos. El precedente obliga a las organizaciones que procesan grandes volúmenes de datos a revisar no solo sus medidas técnicas, sino también sus fundamentos legales y éticos para el tratamiento automatizado de información.

(Fuente: www.bleepingcomputer.com)