Amendă în valoare de 300 000 de euro aplicată de către Autoritatea Federală de Protecție a Datelor din Germania unei bănci pentru lipsa de transparență într-o decizie individuală automatizată

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda în valoare de 300 000 de euro aplicată de către Autoritatea Federală de Protecție a Datelor din Germania (DPA) unei bănci, pentru lipsa de transparență într-o decizie individuală automatizată.

O decizie automatizată este o decizie luată de un sistem IT bazat exclusiv pe algoritmi și fără intervenție umană. În acest caz, Regulamentul (UE) 2016/679 (GDPR) prevede obligații speciale de transparență. Datele cu caracter personal trebuie prelucrate într-un mod care să fie ușor de înțeles pentru subiecții de date. Persoanele afectate au dreptul la o explicație cu privire la decizia luată după o evaluare corespunzătoare.

În acest caz, însă, banca nu a luat în calcul acest lucru în aplicația sa digitală pentru un card de credit. Folosind un formular online, banca a solicitat diverse date despre veniturile, ocupația și datele cu caracter pesonal ale solicitantului. Pe baza informațiilor solicitate și a datelor suplimentare din surse externe, algoritmul băncii a respins cererea clientului fără nicio justificare anume. Algoritmul se bazează pe criterii și reguli definite anterior de bancă. Deoarece clientul avea un Credit Score bun și un venit regulat ridicat, s-a îndoit de respingerea automatizată și a depus o plângere la DPA din Germania.

O bancă este obligată să își informeze clienții cu privire la principalele motive ale respingerii atunci când ia o decizie automatizată cu privire la o cerere de card de credit. Aceasta include informații concrete cu privire la baza de date și factorii decizionali, precum și criteriile de respingere.

În urma investigațiilor, DPA din Germania a constatat că banca a încălcat articolul 22 alineatul (3), articolul 5 alineatul (1) litera (a) și articolul 15 alineatul (1) litera (h) din GDPR. La impunerea amenzii, s-a luat în considerare, în special, cifra de afaceri ridicată a băncii, structura intenționată a procesului de depunere a cererilor și de solicitare a informației.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.