La Agencia Española de Protección de Datos ha impuestos una multa de 20.000 euros a Groupon por infringir la Ley de Protección de Datos (LOPD) al almacenar los datos de las tarjetas de crédito de sus clientes, incluido el código de seguridad CVV. Además, la compañía de venta online de descuentos aporta información errónea en su web y no ha respondido a los requerimientos del organismo público.
Según la resolución de la Agencia que recoge el blog Protección de datos personales, impuso la sanción el pasado mes de diciembre, tras las denuncias interpuestas por cuatro clientes que indicaron que el formulario de compra recordaba sus datos bancarios y no ofrecía posibilidad de modificar este hecho.
El documento especifica que "en su página web que no almacena los datos de las tarjetas de crédito, pero al realizar compras se comprueba que la aplicación rellena automáticamente el dato de la tarjeta de crédito y el código de seguridad (CVC o CVV)".
Información poco clara
Ante las reclamaciones de los clientes, la AEPD se puso en contacto con Groupon para notificar las acusaciones. La respuesta de la web de cupones de descuento fue que ellos no guardan los datos de los compradores, sino "la pasarela de pagos" y que "los clientes pueden elegir si desean o no que se conserve el número de la tarjeta".
Sin embargo, en sus comprobaciones el ente público detecta que no es cierto que se de la opción de elegir si dichos datos han de ser guardados o no. "Al realizar una segunda compra se verifica que el sistema no solicita el número de tarjeta de crédito, sino que ofrece los anteriormente utilizados", explica.
Así, procede a exigir a Groupon que entregue una copia el contrato con la empresa que ofrece los servicios de la citada pasarela de pagos, así como un procedimiento describa el flujo de datos que se produce durante un proceso de compra para determinar las responsabilidades de cada intervinientes, unos requerimientos a los que la compañía no da respuesta.
Así, al resultar acreditados los puntos de las denuncias de los clientes y ante la "falta de diligencia" de la empresa, la Agencia concluye que tanto los gestores de los ficheros como los encargados de tratamiento han cometido la infracción sobre el artículo 5 de la LOPD, y por tanto deben ser sancionados.
La resolución, recogida por el blog Protección de datos personales, indica que Groupon "no ha proporcionado información clara y precisa" respecto del tratamiento al que se someten los datos personales, sino que incluso "se informa precisamente de lo contrario".
Groupon compra la aplicación de viajes Blink