Nos llega la pregunta de un léctor sobre la legalidad desde el punto de vista de protección de datos de las tabletas electrónicas donde en varios comercios se recogen ya las firmas de sus clientes, en los casos de pago mediante tarjeta de crédito.
Como casi siempre la respuesta no puede ser otra que la legalidad estará en función de su utilización, no de la herramienta en si, y en este sentido es ilustrativa una sanción recibida por un mal procedimiento de uso.
En el procedimiento sancionador PS/00063/2007, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad EL CORTE INGLES S.A., se trató la denuncia de un cliente al abonar la compra mediante tarjeta bancaria de pago tuvo que firmar sobre una tableta electrónica que permite capturar y almacenar la firma, añadiendo que no prestó su consentimiento para el tratamiento informático de su firma y que solicitó una hoja de reclamaciones para presentar también una reclamación en el Departamento de Consumo.
Entre los Hechos Probados que la AEPD indica están:
- En el ticket de compra que firmó D. J.P.G. contenía sus apellidos, firma, número de su tarjeta y detalle de los productos adquiridos
- Tales datos se almacenaron en el fichero denominado “Clientes Otras Tarjetas Externas” sin que hayan sido cancelados
- En el ticket de compra que firmó D. J.P.G. no contenía ninguna información relativa al tratamiento informatizado de su firma
La Agencia señala claramente dónde está la infracción:
En este caso, el denunciante abonó una compra realizada en las tiendas Opencor mediante una tarjeta bancaria de pago, siendo almacenados los datos contenidos en el ticket de compra junto con su firma en el fichero “Clientes otras tarjetas externas”, sin haber sido informado ni prestado su consentimiento.
El denunciante debió ser informado de que se iban a recabar más datos de los estrictamente necesarios para que se realice la transacción comercial.
El titular de una tarjeta bancaria sabe, porque así fue informado por la entidad emisora de la tarjeta de débito o crédito, en el momento de la firma del contrato, que el establecimiento en el que realiza una compra con tarjeta almacenará determinados datos que serán trasmitidos a la entidad bancaria y que son necesarios para la realización de la transacción comercial. El titular de la tarjeta únicamente presta su consentimiento para que el establecimiento comercial capture los datos necesarios para la transacción comercial.
Sin embargo, en el supuesto examinado, se almacenaron en el aludido fichero datos adicionales que no son necesarios para la transacción comercial y respecto de los cuales el denunciante no había prestado su consentimiento, por lo que ha de entenderse infringido el artículo 6.1 de la LOPD.
Y por si quedaban dudas al final lo resume así:
En conclusión, el Corte Inglés recabó los datos del denunciante, relativos a una compra efectuada en las tiendas Opencor, para incluirlos en su fichero “Clientes otras tarjetas externas” sin contar con su consentimiento informado y sin que concurriera ninguna de las causas de exclusión del consentimiento recogidas en el apartado 2 del mencionado artículo 6, conducta que encuentra su tipificación en el citado artículo 44.3.d) de la LOPD.
Y lo castiga así:
IMPONER a la entidad EL CORTE INGLES, S.A. por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.
Si disfrutaste nuestro artículo, siéntete libre de suscribirte a nuestro feed rss
Diciembre 2nd, 2010 a las 20:09
Hola Jesús y resto de lectores de este interesante blog,
Y digo yo que si la firma no es necesaria para dar autenticidad a la boleta (aunque sea virtual) que genera el TPV… O sea, que si no fueran tan modernos y sacaran las dos copias papel de la boleta y le dan una a firmar al cliente, no se vulnera nada, pero si se recoge la firma en la tablet, entonces sí ¿es así, no?…. Pero, además, la firma, ¿no se la da el cliente al establecimiento en el marco de una relación contractual de las que exime de la solcitud de consentimiento y la sustituye por un reforzamiento del artículo 5…? Y si es así, ¿es que hay que informar uno por uno de cada uno de los datos que se recaban, o por el contrario de lo que se informa es de que “sus datos van a ser incorporados….para…”? La verdad es que aunque la Agencia sancione, me genera muchas dudas…
En cualquer caso, gracias por tu entrada, Jesús.
Diciembre 2nd, 2010 a las 20:25
Gracias Luis por visitarnos y comentar.
Hay que tener en cuenta que la exención del consentimiento en la relación con clientes se limita a los datos necesarios para llevar a cabo la operación comercial, y para hacer la compra en un super no es realmente necesaria ninguna información del comprador.
Cuando firmas un comprobante de pago, dentro de la operativa normal de las tarjetas de crédito, sólo permites el uso del dato de cara a una posible comprobación en caso de duda sobre la autoría del pago, y ese dato no puede ser introducido en ningún fichero sin tu consentimiento (entendiendo “fichero” dentro de la definición LOPD)
Al firmar un papel, como comentas, el dato (se supone) no va a ninguna parte más y no puede ser por ejemplo relacionado con tus costumbres de compra, sin embargo, almacenado por una tablet y sistematizado a posteriori puede proporcionar perfiles de consumo al establecimiento sin contar con tu permiso ni conocimiento. Eso es lo que entiendo que se sanciona en este caso.
Diciembre 2nd, 2010 a las 20:36
Puffffff…. Yo creo que el dato se ha recabado siempre… pero la diferencia es que antes solo se conservaba en papel, que no deja de ser fichero… Si tu querías hcer un estudio de hábitos de compra, te costaría más, pero evidentemente podías hacerlo, ya que el histórico de tus ventas, por algún sitio vincularía con la boleta del pago, y evidentemente, en la boleta dejas el titular de la tarjeta con la que has pagado ¿no?. Así pues, creo que ahora que todo está informatizado es más fácil pero no deja de ser lo mismo que se hacía siempre… Salvo mejor opinión ¿no?.
Saludos cordiales.
Diciembre 2nd, 2010 a las 20:54
Luis: si revisas un comprobante en papel de pago con tarjeta verás que allí no se incluye tu nombre ni apellidos, ni siquiera todo el número de tarjeta, ya que se sustituyen las primeras cifras por asteriscos. Que eso puede llegar a identificar a una persona es evidente, ya que en caso contrario sería absurdo como medida de seguridad, pero estarás de acuerdo conmigo que excepto para la compañía emisora de la tarjeta y para la entidad bancaria que la gestiona (en ocasiones la misma) esa identificación requeriría medidas desproporcionadas.
En cambio en este caso la información almacenada “contenía sus apellidos, firma, número de su tarjeta y detalle de los productos adquiridos”
En cualquier caso no cabe duda que como muchas otras aplicaciones de las nuevas tecnologías, ese asunto se mueve en los límites y puede estar sujeto a distintas interpretaciones legales.
Sin embargo por apasionantes (que lo son) que estas disquisiciones nos puedan parecer a los profesionales de la cosa (“club del dato” dicen algunos), lo cierto es que este tipo de resoluciones nos ayudan a saber por dónde van los tiros (tiros de 60.000€ nada más y nada menos) de la AEPD de cara a asesorar a nuestros clientes.
Diciembre 2nd, 2010 a las 21:10
Toda la razón… tienes toda la razón, Jesús…
Al diablo con la tecnología
))))
Un saludo desde Zamora.
Diciembre 2nd, 2010 a las 21:47
Hola,
Esta resolución fue anulada por Sentencia de la Audiencia Nacional de 5 de noviembre de 2008, que además cita otra del 2007 resolviendo un caso idéntico.
El Corte Inglés estaba contratado por Opencor (Tiendas de Conveniencia) para que gestionara los pagos. Se consideró que aunque fuera titular del fichero “Clientes otras tarjetas externas”, nada impedía que ECI pudiera tratar datos en ese fichero como encargado, que es lo que realmente era respecto de Opencor, como se demostró con el contrato del art. 12 LOPD.
Como consecuencia, al ser un mero encargado de tratamiento, no tenía obligación de recabar el consentimiento.
Si os interesa la sentencia os la remito.
Saludos,
Diciembre 2nd, 2010 a las 21:59
Muchísimas gracias por la aclaración Félix.
Esa alegación es la que presentó el Corte Inglés ante la AEPD, pero ahí no le hicieron mucho caso.
Sin embargo, entiendo que la AN no anula el fondo del asunto, sobre la necesidad de recabar el consentimiento para almacenar los datos enumerados en el procedimiento, sino que indica que el verdadero responsable del fichero era Opencor, y que era éste quien debería haber sido sancionado en el procedimiento de la AEPD y no el Corte Inglés.
Diciembre 3rd, 2010 a las 9:43
Yo creo que no tiene ni pies ni cabeza la resolución. En especial porque dice “el denunciante debió ser informado de que se iban a recabar más datos de los estrictamente necesarios para que se realice la transacción comercial”. Los datos que recabaron para pagar con la tarjeta son estrictamente necesarios.
A mí sí que me interesa la sentencia, Félix, si me la envías a infoARROBAntabogadosPUNTOcom, te lo agradecería.
Un saludo a todos.
Diciembre 9th, 2010 a las 13:47
Recuerdo un caso muy similar de hace unos años, pero con Sfera como entidad usuaria de la plataforma de pagos de El Corte Inglés. Imagino que acabó en la sentencia de 2007 a la que se refiere Félix.
Curioso cómo se retuercen los conceptos de responsable de fichero, responsable de tratamiento y encargado de tratamiento.
Al final esto va a ser cómo jugar al quién es quién.
Depende de dónde pongamos el foco de atención a cada uno le toca un rol diferente.
¿El tratamiento corresponde a una operación de pago que hacemos frente a un comercio, el cual tiene un proveedor que le presta servicios para procesar los pagos (ECI como encargado de tratamiento)?
¿O está el cliente celebrando una nueva relación con el proveedor de la plataforma de procesamiento de pago por el mero hecho de pasar su tarjeta por el TPV (ECI como responsable de fichero)?
¿O estamos tanto el comercio como el cliente haciendo uso del servicio de liquidación de pago de un tercero con el que tiene relación contractual previa y por escrito el comercio, pero no el cliente (ECI como responsable de fichero cesionario de los datos que le son entregados por el comercio)?
¿Y qué pasa cuándo se usa la tarjeta de ECI en Opencor?
En mi humilde opinión una plataforma de pagos es un encargado de tratamiento tanto para emisores como adquirentes de las tarjetas.
Y los emisores y los adquirentes de tarjetas, así como los comercios son responsables de fichero que se ceden los datos con la intermediación de las plataformas de pago, todas ellas encargados de tratamiento tanto de emisores como de adquirentes.
A su vez los adquirentes son encargados del tratamiento para los comercios que contratan sus TPVs y servicios, siendo las plataformas de pago un subencargado del tratamiento.
Mucho me temo por otra parte que estos sistemas de almacenamiento de la firma manuscrita digitalizada no son más que un problema de calidad de datos -¿realmente son exactos?- y, sobre todo, de seguridad (las firmas han de ser accesibles y se almacenan en una base de datos, no se contrasta la firma entregada en un pago concreto con el histórico almacenado, seguramente porque no se parece ninguna a las otras,…).
Además son una solución que debería estar sustituida por el PIN de las tarjetas EMV.
Ahora empiezo a ver estas tabletas en los bancos, aunque aseguran que la firma digitalizada está en mejor calidad que en las tableta de ECI.
¿Por qué no dejarse de líos y poner lectores de tarjetas inteligentes para que pasemos nuestro DNI electrónico y tecleemos el PIN?
Mucho me temo que mejoraría en mucho la seguridad en las transacciones presenciales, pues se dan casos de fraude “ay, se me ha olvidado la cartera, pero te puedo dar un montón de datos para que veas que soy yo y luego me haces esta transferencia para dejar limpia la cuenta”, se contaría con la traza de identificación/autenticación del cliente en todo caso, siendo de gran importancia por ejemplo en lo que a la gestión del fraude y prevención de blanqueo de capitales se refiere (ahora sólo tenemos la palabra del banco al respecto de que identificaron/autenticaron adecuadamente a la persona que tenían en frente),…
Un saludo
Diciembre 9th, 2010 a las 15:51
Mil gracias Álvaro por tu valiosa contribución.
La verdad es que este caso, como varios otros relacionados con nuevas tecnologías, da para muchas vueltas. Seguiremos investigando
Diciembre 10th, 2010 a las 10:23
Buenas, Jesús
Casualidades.
Con respecto a las tarjetas EMV y las condiciones de confidencialidad en el tecleo en el TPV de los comercios del PIN de las tarjetas: no aplica la LOPD porque no hay tratamiento dado que el PIN no se registra en el TPV
http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/common/pdfs/2010-0446_Marcaci-oo-n-de-PIN-en-tarjetas.-No-es-aplicable-la-LOPD.pdf
En mi opinión, existe tratamiento del PIN por parte de las pasarelas de pago, que son encargados de tratamiento tanto del emisor de la tarjeta en cuestión como del adquirente (quien le pone el TPV al comercio), puesto que aunque no queda registrado el PIN en el TPV (al menos si se cumple adecuadamente el requisito 3.2 PCI DSS) éste sí que se hace llegar hasta los sistemas de la plataforma de pago a fin de autorizar o denegar la transacción de pago, quedando traza como evidencia de la operación.
Podía haber dicho la AEPD que no obstante debieran revisarse las condiciones contractuales impuestas por el adquirente al comercio, pues deberían contemplar medidas de seguridad para preservar la confidencialidad del PIN.
Imagina un caso en el que el TPV queda en la parte alta del mostrador de una pescadería. Le tienes que pasar tu tarjeta al pescadero y cantarle el PIN para que el lo teclee. Teniendo enemigos de lo ajeno en las proximidades entiendo que se te ocurre que es lo que puede pasar
Diciembre 10th, 2010 a las 13:01
Gracias de nuevo Álvaro por tu comentario.
El informe jurídico que citas lo publicaré el lunes, que los viernes son malos días, y si no tienes nada en contra incluiré tu comentario como parte del post.
Saludos
Febrero 5th, 2011 a las 3:55
[...] and here… http://www.ayudaleyprotecciondatos.es/2010/12/02/firma-tableta-e…; [...]
Marzo 2nd, 2011 a las 10:52
[...] аnd here… http://www.ayudaleyprotecciondatos.es/2010/12/02/firma-tableta-e…; [...]
Marzo 24th, 2011 a las 3:31
[...] here… http://www.ayudaleyprotecciondatos.es/2010/12/02/firma-tableta-e…; This entry was posted in Tablet PC and tagged 7Inch, Android, Black, Tablet, Unlocked, ViewPad, [...]
Abril 25th, 2011 a las 18:42
[...] and here… http://www.ayudaleyprotecciondatos.es/2010/12/02/firma-tableta-e…; [...]
Mayo 5th, 2011 a las 13:03
[...] Recogida de firma en una tableta electrónica [...]
Mayo 5th, 2011 a las 13:06
[...] Recogida de firma en una tableta electrónica [...]
Agosto 30th, 2011 a las 15:25
Buenas tardes, Jesús:
Aunque hace ya tiempo de este post, como responsable comercial de StepOver, proveedor de pads o tabletas de firmas y de software para la firma electrónica, me gustaría compartir mi opinión al respecto.
En primer lugar, comentar que, en este tipo de comercios es fundamental informar al firmante de que sus datos van a quedar guardados en un fichero, además de sus derechos a este respecto, lo cual se puede incluir como un mensaje en la propia tableta de firmas.
Por otro lado, a la hora de analizar la seguridad de las tabletas de firma, es necesario diferenciar entre las que sólo captan una imagen de la firma (se emplean en algunas tiendas) y las que además obtienen los datos biométricos (presión, velocidad, coordenadas de la firma). Estas últimas, con la calidad suficiente, permiten la posterior identificación del firmante con las mismas garantías que una firma sobre papel.
Para mayor seguridad, los datos biométricos deben transmitirse encriptados al PC. Las tabletas más avanzadas ya incorporan esta característica, fundamental para impedir que en ningún momento los datos biométricos puedan ser capturados en el ordenador.
La firma electrónica es una solución que, correctamente aplicada, presenta ventajas frente a la firma mediante smartcard/DNI electrónico en ciertos aspectos, por ejemplo por su universalidad de uso. No requiere que el firmante disponga de un certificado, lo tenga actualizado y además, lo lleve consigo en el momento de efectuar la firma.
En general, las principales ventajas que ofrece un sistema de firma electrónica escrita son:
• Mediante la firma electrónica escrita se suprime el choque de medios, es decir se evita la impresión en papel para la firma.
• Como la firma escrita es intransferible, la firma electrónica escrita es una forma de identificación que al contrario que las contraseñas y llaves no se puede robar ni olvidar.
• La firma es sin duda un acto voluntario.
• La firma es un proceso reconocido y aceptado por todos, que da constancia de un acuerdo voluntario.
• El sujeto firmante no tiene que ser socio de ninguna compañía certificadora ni llevar consigo ningún certificado para poder utilizar la firma electrónica escrita.
• La firma capturada mediante la firma electrónica escrita puede ser examinada por expertos grafólogos.
En resumen, la firma electrónica escrita o manuscrita es un sistema perfectamente seguro y que puede ser complementario a la firma reconocida mediante smartcard o DNI electrónico, por lo que no necesariamente sustituye o dificulta el uso de ésta. En cambio su sencillez para el usuario puede contribuir y complementar este sistema ayudando a lograr una auténtica oficina sin papel.
Agosto 30th, 2011 a las 16:46
Muchísimas gracias Carlos por tan completo comentario. Son evidentes las ventajas del sistema, sólo se trata de hacerlas compatibles con la legislación que protege nuestro derecho a la privacidad. Las tensiones entre desarrollo tecnológico (a velocidad máxima) y el derecho (velocidad de paquidermo en día caluroso) existirán siempre. Esperemos que tanto desarrolladores como legisladores sepan acordar lo mejor para todos.