Groupon sancionado con 20.000 € de multa por la AEPD

El portal de ofertas ha sido denunciado y sancionado por hacer aquello que expresamente negaba hacer: almacenar datos de las tarjetas de crédito de sus clientes.

Varios de los usuarios de portal presentaron denuncias ante la Agencia Española de Protección de Datos (AEPD) al comprobar que al realizar una segunda o posterior compra en el mismo, los datos relativos a la tarjeta de crédito y al código CVV se autorellenaban. Esta realidad resultaba incongruente con la información que daba la página web al respecto:  “en ningún momento la información de tu tarjeta de crédito queda almacenada en nuestros servidores“.

Cuando los Servicios de Inspección de la Agencia solictaron información a Groupon, la entidad mantuvo que no guarda datos de las tarjetas de crédito de los clientes y señalaron a la pasarela de pagos, que si lo hace. También manfiestaron que los clientes pueden elegir si desean que se conserve o no el número de la tarjeta de crédito en la pasarela de pagos, siendo posible dirigir la negativa a Groupon que procede a marcarlo así en sus sistemas.

Estas declaraciones no han sido suficientes para evitar la sanción, pues la AEPD ha considerado probado que la entidad no ha proporcionado información clara y precisa respecto del tratamiento al que iban a ser sometidos sus datos personales, informando precisamente de lo contrario.

Por otra parte, la entidad tampoco ha aportado el contrato con la pasarela de pagos que la Agencia le solicitó, en virtud de la cual se gestionan dichos cobros de donde se podía deducir las responsabilidades de cada interviniente.

En este sentido el Director de la Agencia manifiesta en la resolución:

“… la entidad que gestiona el cobro a través de la pasarela de pago, puede ostentar la cualidad de encargado del tratamiento, y debe tenerse en cuenta que el art. 12.4 de la LOPD, en caso de vulneración de la citada norma, establece un mecanismo de agregación y no de exclusión de responsabilidad, entre el responsable del tratamiento y el encargado del tratamiento.

Por lo que de acuerdo con la definición de tratamiento de datos y responsable del tratamiento, que recoge el art. 3 de la LOPD, GROUPON ha de responsabilizarse de las obligaciones que la citada ley orgánica impone, pues el tratamiento de datos realizado se realiza por su cuenta en tanto que está ligado a la venta de sus productos, con independencia de la entidad que participe en el cobro de los mismos.”

Así pues, podemos concluir que  esta falta de minuciosidad a la hora de adecuarse a la LOPD ha costado a Groupon una multa de 20.000 €  y, lo que es peor, una mella en su imagen que dará lugar a la desconfianza de muchos de sus clientes.