Groupon almacena datos financieros, incumpliendo la normativa española
La AEPD ha descubierto que Groupon guardaba la información de la tarjeta de crédito de los usuarios, sin pedir consentimiento por ello ni dar otra opción.
La Agencia Española de Protección de Datos (conocida por sus siglas AEPD) ha sancionado con una multa de 20.000 euros a Groupon por infringir la Ley de Protección de Datos (LOPD) y es que se ha descubierto que la empresa de ventas de cupones almacena la información financiera de sus usuarios, incluyendo la información CVV, el código de seguridad que se encuentra en la parte trasera de una tarjeta de crédito.
La agencia AEPD recibió denuncias por parte de cuatro usuarios de la empresa de compras por Internet, los cuales se dieron cuenta de que el formulario de compra recordaba sus datos bancarios y no ofrecía posibilidad de modificar esta opción.
Sin embargo, Groupon afirma lo contrario en su página, especificando que n su web especifica quela firma no almacena los datos de las tarjetas de crédito, pero al realizar compras se comprueba que la aplicación rellena automáticamente el dato de la tarjeta de crédito y el código de seguridad (CVC o CVV), tal como sentencia la resolución de la AEPD.
De acuerdo con la información publicada en el blog sobre Protección de Datos Personales, los inspectores de la AEPD solicitaron, tras estas denuncias, un acceso al sistema y que se simulase el alta como usuario y una compra, para ver qué pasaba. En primer lugar se procede a dar de alta como nuevo usuario a la representante legal de Groupon realizándose una compra y se observó “que en ningún momento se informa al usuario de que la información sobre la tarjeta de crédito se guardará para futuras compras, ni se da la opción de elegir si dicho dato ha de ser guardado o no”.
Al realizar una segunda compra se verifica que el sistema no solicita el número de tarjeta de crédito, sino que ofrece los anteriormente utilizados, si bien oculta parte de los dígitos del número de tarjeta, mostrando solo los cuatro últimos.
Por ello, dice la AEPD que “ha resultado probado que Groupon ha incumplido el artículo 5 de la LOPD, pues no informaba a sus clientes de que conservaba los datos correspondientes a las tarjetas de crédito que previamente habían utilizado sus clientes”.