La Autoridad Holandesa de Protección de Datos (AP) sancionó a la compañía Experian por recopilar información de millones de personas sin consentimiento ni justificación válida, vulnerando el Reglamento General de Protección de Datos (GDPR).
La Autoridad Holandesa de Protección de Datos (AP) impuso una multa de 2,7 millones de euros a Experian Países Bajos, tras comprobar que la empresa de análisis crediticio y servicios financieros utilizó datos personales de manera indebida, recopilándolos desde diversas fuentes públicas y privadas sin informar a los titulares ni contar con su consentimiento.
El organismo inició la investigación luego de recibir numerosas quejas de consumidores que reportaron problemas al contratar servicios, como la exigencia de depósitos elevados o la denegación de planes en cuotas. Según la AP, estos inconvenientes estaban vinculados a las evaluaciones de riesgo crediticio generadas por Experian, las cuales eran utilizadas por empresas de telecomunicaciones, proveedores de energía y minoristas en línea para definir condiciones comerciales.
“Porque las personas no eran conscientes de la verificación de crédito, no podían comprobar a tiempo si la información utilizada era precisa”, explicó Aleid Wolfsen, presidente de la autoridad reguladora.
La investigación reveló que Experian obtuvo datos del registro mercantil de la Cámara de Comercio y de compañías de telecomunicaciones y energía que vendían información de clientes, consolidando así una base de datos con detalles sobre millones de residentes de ese país. Entre los datos recopilados figuraban conductas de pago, deudas impagas y antecedentes de quiebra, información que luego era empleada para elaborar perfiles crediticios.
El regulador concluyó que la empresa no pudo justificar el alcance ni la necesidad de la información recopilada, infringiendo de forma directa el Reglamento General de Protección de Datos (GDPR). Además, determinó que Experian no informó a las personas afectadas ni obtuvo su consentimiento explícito, vulnerando principios esenciales de transparencia y legitimidad en el tratamiento de datos personales.
En su resolución, la AP precisó que “hasta el 1 de enero de 2025, Experian proporcionaba evaluaciones de crédito sobre individuos a sus clientes, utilizando información obtenida de múltiples fuentes”, y que tales prácticas contravenían la normativa europea de privacidad.
Experian reconoció las infracciones y confirmó que no apelará la decisión. Asimismo, anunció el cese total de sus operaciones en los Países Bajos y el borrado completo de su base de datos antes de que finalice el año.