De un tiempo a esta parte, da la impresión de que las multas en materia de protección de datos son más altas, especialmente cuando se trata de asuntos de dudosa relevancia.
Y no es que nos pille de sorpresa, ya que en la 4ª Sesión Anual Abierta de la AEPD, la Agencia advirtió que iba a reconsiderar la aplicación de la cuantía mínima de las sanciones (tal y como venía practicando en algunas situaciones), a consecuencia de la rebaja de este límite mínimo de las infracciones graves, de 60.000 a 40.000 euros, a través de la reforma introducida por la Ley de Economía Sostenible.
La base de esta advertencia es que la Audiencia Nacional obligaría a devolver 20.000 euros a todas las empresas sancionadas con 60.000 euros conforme al antiguo régimen sancionador (para fijar la multa en la nueva cuantía mínima de las infracciones graves), en aplicación de la retroactividad de la norma en lo que resulte favorable al sancionado.
Sin perjuicio de que este criterio sea absolutamente discutible, parece que también se ha extrapolado a las infracciones leves, aunque estas no se hayan visto tan afectadas por la reforma. De hecho, la cuantía mínima de las infracciones leves se elevó de 600 a 900 euros, lo cual no debería justificar el cambio de criterio con respecto a la aplicación del límite mínimo de la sanción.
A pesar de ello, de un tiempo a esta parte, no es raro encontrarse con sanciones de 20.000 euros por infracciones leves… (o por graves atenuadas a leves) que antes solían ser sancionadas con multas entre 600 y 2000 euros.
En esta ocasión la china le ha tocado a Groupon, la conocida tienda online de cupones.
¿Qué ha hecho Groupon?
Básicamente, almacenar los datos de tarjeta de pago (crédito o débito) para facilitar el proceso de compra.
Pero ¿es ilegal guardar datos de tarjeta de pago?
La cuestión no es tan sencilla.
Por protección de datos, no hay ningún problema. Siendo un comercio online, ni siquiera existe la obligación de aplicar medidas de seguridad superiores a las básicas.
Sin embargo, existe una norma privada (PCI – DSS), impuesta por el consorcio de emisores de tarjetas de pago (Visa, Mastercard, AmEx, etc.) que establece las normas de seguridad que deben cumplir las entidades que almacenen datos de tarjeta de pago de sus clientes.
Sin embargo, la Agencia Española de Protección de Datos no tiene competencia sancionadora en virtud de esta norma.
Entonces, ¿por qué la multa?
Sencillamente, porque en las Preguntas Frecuentes de la web, Groupon afirmaba que no conservaba estos datos.
Es fácil adivinar el motivo por el que Groupon puso esto en sus Preguntas Frecuentes, ya que uno de los grandes miedos de los clientes a la hora de comprar por internet es el posible uso fraudulento de su tarjeta de pago.
En conclusión, Groupon ha recibido una sanción de 20.000 euros por tratar de combinar la confianza de sus clientes con la facilidad de compra de sus cupones.
Particularmente, pensamos que Groupon se equivocó a la hora de hacer esta combinación, pero también consideramos excesiva la multa impuesta, simplemente por dar una información errónea, sobre todo cuando no existían malas intenciones por su parte.
José Carlos Moratilla
Departamento legal de Áudea.