Cuando las primeras tarjetas de crédito comenzaron a llegar al público en general, la gente era bastante reacia a utilizarlas. Con los primeros pagos realizados a través de Internet surgieron los mismos problemas, factores que indirectamente favorecieron (aunque en menor medida que otros) la gran crisis de los .com, al existir servicios intersantes pero que finalmente eran incapaces de conseguir clientes para rentabilizar las inversiones. Poco a poco vamos viendo como se comienza a hablar de una gran diversidad de medios a la hora de realizar una identificación inequívoca del titular utilizando las tecnologías que van apareciendo día a día.
La tecnología cuando se relaciona con medios de pago se ve como algo ajeno y peligroso. Pagar con dinero que no pasa físicamente por nuestras manos se ve como algo antinatural. No obstante, en ocasiones nuestros temores puedan estar justificados. En este caso vamos a hablar de la proliferación en sistemas de captura de firma en soportes electrónicos. Si antes cuando se nos entregaba un paquete debíamos firmar en alguna de las múltiples hojas que traía el repartidor, no resulta ahora extraño que algunas empresas utilizan en cambio sistemas de captura como el presentado en la imagen que acompaña este post. El mismo sistema se sigue en algunos comercios, con tal de capturar la firma del titular de una tarjeta (abandonando el antiguo sistema del ticket para la tienda firmado a mano y ticket para el cliente). Mucha gente firma sin tan siquiera pegarle un vistazo al papel más allá del importe propiamente dicho. Pero en uno de estos casos, la Agencia Española de Protección de Datos ha metido la mano a causa de una denuncia presentada por una persona más interesada de lo común en la protección de sus datos.
Tal y como podemos ver en el enlace a la Resolución, el denunciante plasmó su firma en uno de estos dispositivos de captura a la hora de realizar una compra en un establecimiento de Opencor. El primer problema surge a la hora de comprobar el cumplimiento de los requisitos del Art. 5 (derecho de información) y Art. 6 (requisito de consentimiento inequívoco) de la LOPD. En particular, dentro del articulado ya podemos encontrar la siguiente afirmación
El denunciante debió ser informado de que se iban a recabar más datos de los estrictamente necesarios para que se realice la transacción comercial.
Es precisamente gracias al establecimiento de este hecho que se entiende por vulnerado el Art. 6.1 LOPD al interpretarse que no puede entenderse que el cliente haya permitido el tratamiento de esos datos que superan lo ordinario para realizar dicha transacción comercial con la entidad bancaria a la que pertenece. Pensemos que además de los datos correspondientes a la tarjeta, nos encontramos con que se almacenaban los apellidos del titular, así como la propia firma digitalizada en el fichero con el cual trabajaban.
Más curioso si cabe es la afirmación del establecimiento de la existencia de panfletos informativos, pero que no fueron facilitados al denunciante. Pensemos en que la información debe realizarse de forma efectiva, y no es sencillamente un requisito formal que se puede cumplir sencillamente con la posibilidad de que, en situaciones ocasionales y bajo condiciones perfectas, se pueda llegar a cumplir dicho requisito.
Por otro lado, encuentro curioso el mareo que parece dar el representante de El Corte Inglés al respecto de la terminología de responsable y encargado del tratamiento, con tal de intentar limitar su responsabilidad en el tratamiento de dichos datos adicionales. Recordemos que ambos conceptos aparecen definidos en el Art. 3 LOPD
Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
En la Resolución se nos indica que existe un contrato realizado entre Opencor y El Corte Inglés, lo cual nos intenta dar a entender que los datos personales eran tratados por El Corte Inglés en nombre de Opencor. Por supuesto, la celebración del contrato para el acceso a los datos personales tienen una serie de requisitos que debe ser incorporado a su redacción, que también aparecen mencionados
[…] seguir las instrucciones del responsable del tratamiento, no utilizar los datos para un fin distinto, no comunicarlos a otras personas, estipular las medidas de seguridad del artículo 9 y, cumplida la prestación, destruir los datos o proceder a su devolución al responsable del tratamiento.
Esta presunción que comenzaba a realizarse con la entrada en juego de este contrato pierde fuerza cuando se observa que, entre otras cosas, el Registro General de Protección de Datos nos muestra que El Corte Inglés aparece como responsable del fichero al que han sido incorporados dichos datos. Además, al parecer en el contrato no aparecen las instrucciones que debe cumplir El Corte Inglés, así como la especificación de los servicios a realizar, con lo cual no se cumplen los requisitos del Art. 12 LOPD, lo que finaliza en la propia Resolución estableciendo la condición de responsable del tratamiento a El Corte Inglés.
El problema que parece sucede más de lo que debería es que se desconocen los requisitos exactos para determinadas actuaciones a la hora de trabajar con datos personales (he podido observar como en multitud de ocasiones hay empresas que confunden datos personales con datos pertenecientes a la intimidad propiamente dicha de las personas), lo cual provoca que entren en juego las sanciones establecidas en la LOPD, que son bastante importantes.
