La Agencia Española de Protección de Datos establece la obligación de informar debidamente a los usuarios del almacenamiento del código CVV y otros datos de las tarjetas de crédito.

En el caso de las empresas de comercio electrónico, de acuerdo al art. 5 de la LOPD, deben informar de manera clara y precisa respecto del tratamiento al que iban a someterse los datos personales correspondientes a las tarjetas de crédito.

Un caso en particular, en el que los usuarios denunciaban que sus datos del código CVV y otros de las tarjetas de crédito aparecían automáticamente, los investigadores de la AEPD decidieron actuar y se dieron de alta como usuarios para comprobar lo que sucedía. Así, una vez realizada la primera compra (y haber introducido los datos bancarios) comprobaron cómo al ejecutar siguientes compras los datos se rellenaban automáticamente. Se pusieron en contacto con la empresa, y ésta comunicó que ellos no llevaban el almacenaje de estos datos y que para la modificación de éstos debían hacerlo desde el apartado “Recurring for this user”, accediendo a la misma desde su propia cuenta de usuario. El problema empieza, cuando se observa que no existe ningún apartado con ese nombre; esto es, los usuarios no pueden modificar los datos de esta manera. Los investigadores vuelven a comunicarse con la empresa, y comentan lo ocurrido, y es entonces cuando la empresa contesta que con una solicitud de modificación de los datos lo tramitan ellos personalmente, ya que, alegan, ellos no almacenan los datos, sino que, en todo caso, los almacenará la empresa pasarela de pago con la que se gestiona el cobro de las ventas.

En este sentido, debe recordarse que la entidad que gestiona el cobro a través de la pasarela de pago, puede ostentar la cualidad de encargado del tratamiento (la empresa que ofrece los productos), y debe tenerse en cuenta que el art. 12.4 de la LOPD, en caso de vulneración de la citada norma, establece un mecanismo de agregación y no de exclusión de responsabilidad, entre el responsable del tratamiento y el encargado del tratamiento. Por lo que de acuerdo con la definición de tratamiento de datos y responsable del tratamiento, que recoge el art. 3 de la LOPD, se han de responsabilizar de las obligaciones que la citada ley orgánica impone, pues el tratamiento de datos se realiza por su cuenta en tanto que está ligado a la venta de sus productos, con independencia de la entidad que participe en el cobro de los mismos.

En estos casos se dan las circunstancias consideradas de infracción leve tipificada en el art. 44.2 c) de la LOPD: “el incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado”; por lo que la sanción será también de carácter leve, la cual se determinará siguiendo el artículo 45 de la LOPD.

Se facilita el link de una resolución de la AEPD sobre un caso en particular de este tipo de asuntos.

http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2013/common/pdfs/PS-00372-2013_Resolucion-de-fecha-01-10-2013_Art-ii-culo-5.1-LOPD.pdf