El Comité Europeo de Protección de Datos (CEPD) ha publicado recientemente las recomendaciones 02/2021 sobre la base jurídica para el almacenamiento de datos de tarjetas de crédito, en la línea de la estrategia marcada por el propio CEPD y que ya comentamos anteriormente en el blog.
En el contexto de pandemia, las transacciones digitales y el comercio electrónico han aumentado considerablemente y, de manera inevitable, también se han visto incrementados los riesgos derivados de la utilización de datos de tarjetas de crédito en línea.
El objetivo de las recomendaciones del CEPD es, por un lado, fomentar una aplicación armonizada de las normas de protección de datos relativas al tratamiento de datos de tarjetas de crédito en el Espacio Económico Europeo (EEE), garantizando una protección homogénea de los derechos del interesado. Y, por otro lado, reducir el riesgo de tratamiento ilícito y fomentar la confianza en el entorno digital, considerada por el CEPD como vital para el crecimiento sostenible de la economía digital.
En esta ocasión, las recomendaciones se refieren al almacenamiento de datos de tarjetas de crédito que los proveedores de bienes y servicios en línea llevan a cabo con el fin de facilitar nuevas compras por parte de los interesados. Se trata de los supuestos en que un interesado compra un producto o paga por un servicio a través de una web o una aplicación y proporciona los datos de su tarjeta, generalmente mediante un formulario específico, para concluir esta transacción única.
El CEPD analiza la base legitima que puede justificar el almacenamiento de los datos de la tarjeta por parte del proveedor, descartando la posibilidad de basar tales tratamientos en: la obligación legal, el interés vital, la ejecución de contrato, así como, el interés legítimo. El Comité recuerda que para ser aplicable el interés legítimo como base legitimadora se deben cumplir tres condiciones: (i) la identificación y calificación de un interés legítimo perseguido por el responsable del tratamiento o por un tercero; (ii) la necesidad de tratar los datos personales para los fines del interés legítimo perseguido; y (iii) la realización de un juicio de proporcionalidad.
Según las recomendaciones, no resulta evidente que el almacenamiento de los datos de la tarjeta de crédito para facilitar futuras compras sea necesario para perseguir ese interés legítimo. Asimismo, el Comité prevé que los derechos y libertades fundamentales de la persona afectada por la protección de datos probablemente prevalecerían sobre el interés del responsable del tratamiento en este contexto específico habida cuenta de la naturaleza del criterio de los datos financieros, calificada por el Grupo de trabajo del artículo 29 en sus recomendaciones, como datos de carácter sensible, ya que su violación implica claramente graves repercusiones en la vida cotidiana del interesado. En definitiva, todo ello hace decaer el interés legítimo como base jurídica válida para el tratamiento de esta categoría de datos.
Dicho lo anterior, el CEPD concluye que el consentimiento parece ser la única base jurídica adecuada para que el tratamiento sea lícito, permitiendo al responsable demostrar la voluntad del individuo de facilitar sus compras adicionales a través del sitio web o aplicación específica, consentimiento que no puede presumirse del simple hecho de efectuar una o varias transacciones aisladas. Cabe recordar que este consentimiento específico debe distinguirse del consentimiento dado para los términos de servicio o de ventas, sin tratarse de una condición para la finalización de la transacción. Adicionalmente, el interesado tendrá derecho a retirar gratuitamente su consentimiento de manera sencilla y fácil en cualquier momento, materializándose en la eliminación efectiva por parte del responsable de los datos de tarjetas de crédito almacenados.
El CEPD continúa elaborando recomendaciones para guiar a los diferentes actores en la aplicación del derecho a la protección de los datos, en esta ocasión sobre la base jurídica en el almacenamiento de datos de tarjetas de crédito. Desde este foro seguiremos de cerca sus implicaciones prácticas.
Autores: Josu Andoni Eguiluz y Mònica Ferrer