Datos de la tarjeta de crédito en e-commerce. El caso de Groupon.

La empresa de cupones Groupon ha sido sancionada por almacenar los datos de la tarjeta de crédito de sus clientes contraviniendo lo establecido en la normativa de protección de datos. Esto obliga a una reflexión por la farmacia, donde se recogen cada vez más datos personales, sobre todo a través de las redes sociales y del e-commerce.

Esa recogida se hace en soporte informático, pero a veces también en soporte papel. Muchas veces, por desconocimiento, se almacenan los datos pero fallan los requisitos que impone la LOPD y su norma de desarrollo y no se ajustan a los criterios de la Agencia de Protección de Datos, ya sea porque no está dado de alta el fichero, porque no coincide lo que está en la AGPD y lo que se recoge o varían las finalidades, porque la página web da una información incompleta o da una información que no coincide con lo que realmente se hace, entre otras cosas.

Un caso muy reciente afecta a una empresa que todos conocemos por sus cupones: Groupon Spain SLU.

Puedes leer la resolución en este enlace: http://bit.ly/1cPHbDH

¿Qué le ha pasado a Groupon?

La Agencia Española de Protección de Datos le ha impuesto una multa de 20.000€ por infringir la Ley de Protección de Datos (LOPD)

¿Por qué se denuncia a Groupon?

Concurren varias cosas. La más importante es que la AGPD entiende que la web de cupones almacenaba los datos de la tarjeta de crédito de sus clientes, incluido el código de seguridad CVV, pero además, según dice la AGPD Groupon aporta información errónea en su web y no ha respondido a los requerimientos de este organismo público. Todo ello afecta a la valoración final de la multa.

¿Actuó de oficio la AGPD o por denuncia, en el caso Groupon por el almacenamiento de los datos de la tarjeta de crédito en ecommerce?

Como casi siempre, y en esta caso también, el expediente sancionador se inició a través de denuncia realizada por cuatro clientes de la empresa afectada que indicaron que el formulario de compra recordaba sus datos de la tarjeta de crédito, a pesar de que Groupon asegura que no almacena los números de tarjeta de créditoy, por otro lado, no ofrecía posibilidad de optar sobre si se desea que se recuerde la tarjeta o incluso modificar la misma.

Lo que ocurría era que no coincidía la información que se daba de protección de datos a los clientes con lo que realmente luego se hacía. Así, la AGPD, refiriéndose a Groupon, dice que “en su página web que no almacena los datos de las tarjetas de crédito, pero al realizar compras se comprueba que la aplicación rellena automáticamente el dato de la tarjeta de crédito y el código de seguridad (CVC o CVV)”.

¿Qué hizo la AGPD ante la denuncia a Groupon?

A raíz de la denuncia envió a inspectores a las oficinas de Groupon que están en Madrid. Realizaron su trabajo que consistió en acceder a los sistemas, dar de alta un nuevo usuario y realizar una primera compra en la que se introdujo un número de tarjeta y, a continuación, una segunda compra. Dice la AGPD que “al realizar una segunda compra se verifica que el sistema no solicita el número de tarjeta de crédito, sino que ofrece los datos anteriormente utilizados, si bien oculta parte de los dígitos del número de tarjeta mostrando sólo los cuatro últimos. Aparecen también como ocultos los dígitos del CVV. De esta forma, el usuarios no tiene que aportar nuevamente los datos de la tarjeta en cada ocasión”. 

Resalta también la AGPD que “se observa que en ningún momento se informa al usuario de que el dato de la tarjeta de crédito se guardará para futuras compras, ni se da la opción de elegir si dicho dato ha de ser guardado o no”.

Además, comprueba que los clientes de la entidad tienen acceso a través del sitio web de GROUPON a modificar por sí mismos sus datos personales, pero no tienen opción a cambiar o borrar el número de tarjeta, ni indicar a la aplicación si desean que se conserven o no los datos de la tarjeta de crédito, sino que lo deben de hacer por medio de una solicitud al personal GROUPON, pero de dicha opción no se informa específicamente.

Resulta interesante que la AGPD considera la FAQ que consta en la web donde dice “Los datos personales de tu tarjeta de crédito son transmitidos a través de una pasarela electrónica de seguridad. En ningún momento la información de tu tarjeta de crédito queda almacenada en nuestros servidores. En cualquier caso, si quieres realizar una modificación de tus datos personales envíanos un email a través de nuestro formulario indicando en el asunto: “Datos personales tarjeta”.”

Dentro de la labor de inspección la  AGPD solicitó información a Groupon sobre la pasarela de pagos y en concreto el requirió copia del contrato, que no se aportó aún sabiendo que podía también tener responsabilidad por su condición de encargado de tratamiento. Además,  sostiene la AGPD que “la entidad tiene la posibilidad de poder indicar a la pasarela de pagos si debe conservar o no los datos de la tarjeta de crédito”. Por ello, al AGPD considera que hubo una clara falta de diligencia por parte de Groupon.

¿Qué alegó Groupon ante la AGPD?

Esta empresa considera que ella no tiene los datos de la tarjeta de crédito de los clientes sino que aquellos son recuperados de la plataforma de pago. De hecho, confirma la AGPD que no han sido encontrados en la aplicación utilizada por la entidad.

Qué sanción se puso a Groupon

La AGPD considera que Gropon incumple con el deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.” Están acreditados los hechos alegados en las denuncias de las clientes concluye que se ha cometido la infracción del art. 5 LOPD. La sanción se impone a la vista de las circunstancias de la empresa y su actuación en el procedimiento, ascendiendo a un importe de 20.000€.

Reflexiones para la farmacia:

Aquí os dejo unas preguntas:

¿Sabes qué tienes firmado con la pasarela de pago? ¿Te has preocupado de dónde van los datos de la tarjeta de crédito de tus clientes? ¿Y del resto de datos?

¿Sabes cómo tienes dado de alta el fichero en el que se vuelcan los datos del ecommerce?

¿Las condiciones de uso de tu página se ajustan a lo que realmente tienes, o te pasa como a Groupon que decía una cosa y tenía otra?

¿Tienes claramente toda la información a disposición del comprador?

¿Coinciden las FAQ con lo que haces y tienes realmente?

Mi consejo: No te la juegues y tenlo todo bien.

Si tienes dudas, puedes contar conmigo, auditamos la página web y ponemos todo al día.

Autor: Isabel Marín Moral

Abogada especializada en Derecho Farmacéutico, protección de datos y nuevas tecnologías.

Deja un comentario.