Sanción a Groupon de 20.000€ por guardar datos de tarjetas de credito

La Agencia Española de protección de datos ha aplicado una sanción a Groupon Spain S.L.U. con una multa de 20.000€ por guardar información de las tarjetas de crédito de sus clientes, según el procedimiento sancionador PS/00372/2013, donde se señala que durante los meses de Julio, Agosto y Septiembre han recibido escritos donde denuncian que aunque Groupon asegura  no almacenar datos de tarjetas de credito, estos campos se rellenan automáticamente en el proceso de compra, incluyendo el código de seguridad CCV o CVV.

El procedimiento sancionador cita textualmente:

Los inspectores de la Agencia solicitan al representante de GROUPON que les permita el acceso a sus sistemas para realizar un alta de usuario y compra, que permita examinar el funcionamiento del sistema.

a. Se realiza un acceso con el usuario de la representante legal de GROUPON en un ordenador que, según informa, no ha usado nunca, y se comprueba que el sistema muestra disponer de los datos de la tarjeta de crédito del usuario. No se recaba copia de dichas comprobación al constar los datos personales del representante legal de GROUPON.

b. Se procede a dar de alta como nuevo usuario a la representante legal de GROUPON, realizándose una compra. Se observa que en ningún momento se informa al usuario de que el dato de la tarjeta de crédito se guardará para futuras compras, ni se da la opción de elegir si dicho dato ha de ser guardado o no.

 

Al realizar una segunda compra se verifica que el sistema no solicita el número de tarjeta de crédito, sino que ofrece los anteriormente utilizados, si bien oculta parte de los dígitos del número de tarjeta, mostrando solo los cuatro últimos. Aparecen también como ocultos los dígitos del CVV. De esta forma, el usuario no tiene que aportar nuevamente los datos de la tarjeta en cada ocasión.

Groupon alega que los datos recogidos pertenecen a la pasarela de pago, pero estos datos son desmentidos en la inspección donde se determina que internamente Groupon tiene la posibilidad de guardar o no esta información para futuras compras, pero el cliente no dispone de dicha opción desde su panel de control.

A veces es difícil definir la linea entre lo que se puede y lo que no se puede hacer para cuidar y hacer las tareas mas fáciles al cliente con el fin de crear fidelidad y al mismo tiempo ajustarse a la protección de sus datos. Creemos que Groupon no actuó de mala fe y que el único objetivo era ofrecer facilidades para próximas compras de sus clientes, pero el deber de la Agencia Española de Protección de datos es velar por la protección del ciudadano.

Es en este caso donde una auditoria pudiera haberle evitado esta sanción a Groupon. La competencia y la complejidad de los tiempos que vivimos hacen que sean indispensable contar con profesionales que nos cubran las espaldas y velen por el cumplimiento de una normativa que es del bien común de todos, pero que en la practica puede resultar difícil aplicar si ve en conflicto con la consecución de objetivos económicos.

Sanción a Groupon

 Sanción a Groupon de 20.000 por guardar datos de tarjetas de credito - Equal Protección de datos