05 Mar Información sobre tarjetas de crédito y protección de datos
¿Has realizado últimamente alguna compra en internet y te han dado la opción de “guardar la tarjeta para futuras compras”?
El informe del Comité Europeo de Protección de datos aborda este tema en las Recomendaciones 02/2021 relativas a la base jurídica para el almacenamiento de datos de tarjetas de crédito con el fin exclusivo de facilitar operaciones en línea posteriores:
– Se enuncian estas recomendaciones estableciendo en primer lugar la importancia de que los responsables del tratamiento adopten las salvaguardias adecuadas para los interesados y les aseguren el control sobre sus datos personales. De este modo, se pretende reducir el riesgo de tratamiento ilícito y se promoverá la confianza en el entorno digital.
– Estas recomendaciones tienen por fin fomentar una aplicación armonizada de las normas sobre protección de datos en lo que respecta al tratamiento de los datos de las tarjetas de crédito dentro del Espacio Económico Europeo (EEE) y garantizar una protección homogénea de los derechos de los interesados, respetando plenamente los principios fundamentales relativos a la protección de datos, tal como se exige en el RGPD, en concreto hacen referencia al almacenamiento de los datos de las tarjetas de crédito por los proveedores de productos y servicios en línea con la finalidad única y concreta de facilitar a los interesados las compras futuras.
Hay que resaltar que estas recomendaciones no se aplican:
– A las operaciones de las entidades de pago en las tiendas en línea
– Ni a las operaciones de los poderes públicos.
– Ni tampoco al almacenamiento de los datos de las tarjetas de crédito con cualquier otra finalidad, como, por ejemplo, cumplir una obligación jurídica o efectuar un pago periódico en los contratos de tracto sucesivo o en las suscripciones a un servicio de larga duración.
Así pues, el almacenamiento de dichos datos por el responsable del tratamiento, debe apoyarse en una base jurídica lícita con arreglo a lo dispuesto en el artículo 6 del RGPD.
A este respecto, conviene señalar que varias de las bases jurídicas citadas en dicho artículo no resultan aplicables a esta situación y, por tanto, deben excluirse:
1. El almacenamiento de los datos de una tarjeta de crédito tras una operación con el fin de facilitar las compras futuras no puede considerarse necesario para el cumplimiento de una obligación legal
2. Ni para proteger los intereses vitales de una persona física.
3. Tampoco puede considerarse una base jurídica lícita el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento
4. El almacenamiento de los datos de la tarjeta de crédito tras el pago de productos o servicios no es, en sí mismo, necesario para la ejecución de un contrato
5. Parece que, en el momento de la compra, cuando proporciona los datos de la tarjeta de crédito para efectuar el pago, el interesado no puede esperar de manera razonable que los datos de su tarjeta de crédito se almacenen más tiempo del que resulta necesario para abonar los productos o los servicios que esté adquiriendo. En consecuencia, en este contexto concreto, los derechos y las libertades fundamentales de la persona afectada por la protección de datos presumiblemente prevalecerían sobre el interés del responsable del tratamiento, por lo que tampoco podríamos aplicar la base del interés legítimo de la empresa.
6. Por todo lo descrito anteriormente, el consentimiento parece ser la única base jurídica adecuada que puede justificar la licitud del tratamiento.
Como conclusión:
Es necesario obtener el consentimiento expreso del interesado con carácter previo al almacenamiento de los datos de su tarjeta de crédito tras la realización de una compra, con el fin de hacer frente a los riesgos para la seguridad y permitir que el interesado conserve control sobre sus datos y pueda decidir activamente sobre el uso de los datos de su tarjeta de crédito.
Como siempre, dicho consentimiento debe prestarse mediante una clara acción afirmativa y debe solicitarse de un modo sencillo para el usuario, quien, igualmente, podrá retirarlo de forma gratuita y sencilla. La retirada deberá conllevar la eliminación, por el responsable del tratamiento, de los datos de la tarjeta de crédito almacenados con el fin exclusivo de facilitar las operaciones posteriores.
Fuente: Recomendaciones 02/2021 relativas a la base jurídica para el almacenamiento de datos de tarjetas de crédito con el fin exclusivo de facilitar operaciones en línea posteriores.