Auditul sistemic al creditării din România — 198+ vicii GDPR documentate
5 axe de atac: BC, CRC, ANSPDCP, INFODEBIT, INTERSECȚIA
O persoană din România are datele financiare în cel puțin 5 baze de date distincte, operate de entități diferite, fără coordonare și fără consimțământ informat.
| Audit | Subiect | Vicii | Critice | Specific |
|---|---|---|---|---|
| 06 | OPANAF 146/2022 (ANAF→bănci) | 31 | 5 | 18 căi atac |
| 07 | CRC/BNR + Biroul de Credit | 35 | 4 | 12 căi atac |
| 08 | Intersecția ANAF ↔ CRC ↔ BC | 10 | 4 | 4 linii atac |
| 09 | Sisteme conexe creditare | 11 | 3 | 13 acțiuni corective |
| 19 | Infodebit & Cesiune (INKASSO) | 13 | 7 | Conflict interese |
| 04 | ANSPDCP (procedură plângeri) | 14 | 2 | Filtre ilegale |
| 10-18 | RNPM, AI Act, Scoring, Daune, Contracte, Cazier, Cod Civil, Grad Risc | 84 | 19 | Multiple |
Descoperire majoră: al doilea birou de credit din România este deținut 100% de o firmă de recuperare creanțe.
INKASSO GROUP (prin FRIO SRL, controlată de Veaceslav Mîrza) deține simultan Infodebit (birou de credit cu FICO și acces ANAF) și FRIO SRL (firmă de recuperare creanțe). Circuitul: colectează datele → produce scorul → cumpără datoriile → recuperează banii → presează debitorii cu raportarea în Infodebit.
| Nivel | Entitate | CUI | Control | Activitate | Financiar 2025 |
|---|---|---|---|---|---|
| Beneficiar real | Veaceslav Mîrza | — | — | Om de afaceri, IT+recuperare | — |
| Compania-mamă | FRIO SRL | 33396476 | V. Mîrza (100%) | Software recuperare, cesiune, colectare, administrator credite (OUG 1/2024) | CA 1,77M | Profit 1,07M |
| Filiala | Infodebit | 46385851 | FRIO SRL (100%) | Birou de credit, FICO, Raport Venituri ANAF, scor Business | CA 0,41M | Pierdere -0,88M |
INKASSO GROUP controlează simultan Infodebit (care decide cine e „datornic rău") și FRIO SRL (care cumpără și recuperează datorii). Infodebit se prezintă ca „entitate independentă, obiectivă" — dar proprietarul real e un recuperator de creanțe. Site-ul Infodebit nu menționează nicăieri numele lui Veaceslav Mîrza sau legătura cu INKASSO GROUP.
Circuitul închis: Infodebit colectează date + venituri ANAF + scor FICO → FRIO selectează ce datorii să cumpere → FRIO presează debitorii: „Plătește sau te raportăm în Infodebit" → Profitul FRIO finanțează pierderile Infodebit → Cercul se închide.
Temei: GDPR Art. 5(1)(a) transparență, Art. 5(1)(b) limitare scop, Legea 21/1996 concurență.
13 vicii (7 critice). Birou de credit deținut de recuperator de creanțe. Conflict de interese structural. Fără cadru legal. Acces ANAF.
AXA BC — ANAF→Bănci31 vicii. Transfer venituri fiscale fără lege. Consimțământ forțat. Scoring FICO netransparent (Art. 22). Date de sănătate (Art. 9).
AXA CRC — BNR35 vicii. Act administrativ ≠ lege. Secret bancar (CCR Dec. 17/2015). Păstrare 7 ani disproporționată. Dublă colectare CRC + BC.
AXA ANSPDCP13 vicii (12 critice). Filtre ilegale. „Admisibilitate" — concept inexistent în GDPR. Prelungire sine die. Dublu blocaj procedural.
| # | Viciu | Audit | Risc | Primul pas |
|---|---|---|---|---|
| 1 | Rezerva legii — OPANAF 146/2022 = ordin, nu lege | 06 V0 | CRITIC | Excepție neconst. CCR |
| 2 | Rezerva legii — Regulament BNR 4/2025 = act infra-legal | 07 V0 | CRITIC | Excepție neconst. CCR |
| 3 | Scoring FICO = decizie automatizată fără Art. 22 | 07 V2 | CRITIC | Plângere ANSPDCP + CJUE |
| 4 | Consimțământ „captiv" — o semnătură pentru 3 prelucrări | 08 I2 | CRITIC | Plângere ANSPDCP |
| 5 | Conflict interese — Infodebit deținut de recuperator (INKASSO) | 19 INF-13 | CRITIC | ANSPDCP + Consiliul Concurenței |
| 6 | Lipsa avizului ANSPDCP — OPANAF 146/2022 | 06 V0bis | CRITIC | Excepție nelegalitate |
| 7 | CNP = super-cheie de interconectare universală | 09 S6 | CRITIC | Plângere ANSPDCP |
| 8 | Câmpuri de sănătate ANAF contaminează scoring-ul | 08 I6 | RIDICAT | Plângere ANSPDCP + CJUE |
| 9 | Profilare completă fără temei legal — combinare date | 08 I1 | CRITIC | Cerere Art. 15 + plângere |
| 10 | Lipsa DPIA sistemice — sistem interconectat | 08 I8 | RIDICAT | Plângere ANSPDCP |
| Instanță | Cauza | An | Principiul stabilit |
|---|---|---|---|
| CJUE | C-634/21 SCHUFA | 2023 | Scoring automatizat = decizie Art. 22 GDPR. Drept la intervenție umană. |
| CJUE | C-26/22 SCHUFA II | 2023 | Dreptul la ștergere (Art. 17) se aplică scoring-ului agențiilor private. |
| CJUE | C-252/21 Meta Platforms | 2023 | Consimțământul nu e liber când există dezechilibru de putere. |
| CJUE | C-210/16 Wirtschaftsakademie | 2018 | Operatori asociați = răspundere solidară (Art. 26 GDPR). |
| CJUE | C-300/21 Österr. Post | 2023 | Simpla teamă de utilizare frauduloasă = daune morale. Fără prag minim. |
| CEDO | S. și Marper v. UK | 2008 | Stocare generalizată, nediferențiată, pe termen lung = încălcare Art. 8. |
| CEDO | Roman Zakharov v. Rusia | 2015 | Testul „calității legii" — legea trebuie să fie accesibilă și previzibilă. |
| CCR | Dec. 17/2015 | 2015 | Secretul bancar = garanție constituțională a Art. 26. |
| CCR | Dec. 461/2014 | 2014 | Confidențialitatea datelor = corolar al dreptului la viață privată. |
Excepție neconstituționalitate Regulament BNR 4/2025. CCR Dec. 17/2015 — secretul bancar = garanție constituțională. Șanse 55-65%.
BC-3 (Art. 22), BC-5 (Art. 9), BC-2 (Art. 7(4)). Argumente sigure, risc scăzut de recul.
Ambele scoruri FICO (Biroul Credit + Infodebit) = high-risk AI. Obligații cumulative.
Filtre ilegale. „Admisibilitate" inexistentă în GDPR. Prelungire sine die.
BC-1 + CRC-1: Act ≠ lege. DOAR după victorii în pașii 1-4. Altfel, ABANDON.