Sobre el autor

Samuel Parra

Jurista. Experto en privacidad y protección de datos de carácter personal. 14 años de experiencia en el sector.

14 comentarios

  1. 1

    carlota

    Buenos días Samuel.
    Interesante y preocupante a la vez.
    !Las empresas manejan los datos a su antojo!
    Pero lo que no alcanzo a entender es cómo la AEPD autoriza dichas transferencias con esa definición de la finalidad! porque creo que la comunicación se debe hacer la AEPD antes de realizar la transferencia.
    En fin, espero que cada vez más el ciudadano de a pie vaya conociendo el tema de la protección de datos y la importancia que tiene.

    Responder
  2. 2

    Awezoom

    Pero entonces…la agencia de protección de datos ¿para qué está? Es que tienen a un mono autorizando las operaciones????? Entiendo que cuando les ha llegado esta solicitud NO habrán autorizado esa parte del envío de datos, no? Si no, qué impide a esa otra empresa, a la que nadie le ha cedido sus datos personales de compra, hacer cualquier tipo de estafa o vender esos datos en el mercado negro? ¿Para qué quiere ninguna empresa esos datos?

    Responder
  3. 3

    pako

    La AEPD solo mira si se vulnera la ley de proteccion de datos personales. Si se hace segun normas y el usuario lo autoriza… Ellos no miran qeu segun otras normativas no se pueda almacenar ese dato. Y mas cuando las normativas como PCI-DSS son optativas.
    El usuario debe saber velar por sus datosy no contratar con piratas.

    Responder
    1. 3.1

      Samuel Parra

      Así es Pako; si la solicitud reunía los requisitos exigidos se autoriza.

      Responder
    2. 3.2

      Kenneth Peiruza

      Sin insultar, eh, que soy Pirata y no tengo nada que ver con la chusma de entradas.com !

      Responder
  4. 4

    FukencioMX

    Bueno, en el caso de Cinepolis es fácil entonces cascarlos:

    Primeramente a su ASV y QSA porque si estan recibiendo datos de tarjetahabientes con los codigos CVV han firmado esta empresa auditora algo que realmente NO es.

    Responder
  5. 5

    Gaston

    Buenos días Samuel,

    Teniendo esta evidencia de que estan almacenando los datos no se puede denunciar ante la entidad que gestiona estos acuerdos de pagos de las tarjetas de credito y que les quiten el poder de hacer transacciones por el hecho de estar haciendo esto? o al menos los sancionen?
    Esto es tanto un problema para los usuarios como para las tarjetas de credito y las empresas de tarjetas de credito son los primeros interesados en que la confianza en el sistema se mantenga.

    Responder
    1. 5.1

      Samuel Parra

      Sí se podría denunciar, pero no creo que eso solucione nada. Este tipo de problemas no suelen importarle a nadie hasta que comprometen la base de datos y se encuentran que tenían todos los datos necesarios de tarjetas de crédito de miles de personas y es entonces cuando le damos importancia.
      Ya le pasó a Playstation: http://www.meristation.com/playstation-3/noticias/la-venta-de-las-bases-de-datos-de-psn-una-posibilidad/61/1667188

      Responder
  6. 6

    Anonimo

    Desde Entradas.com me dicen

    “Ni guardamos ni vendemos datos personales de nuestros clientes. El cvv2 de la tarjeta es necesario para completar la compra, pero ese dato no se guarda en ninguna Base de Datos. Las autorizaciones se solicitan para poder operar en otros paises. Cuando la Agencia de Protección de Datos expide la correspondiente autorización, es porque cumplimos rigurosamente con la Ley de protección de datos de nuestros clientes. Saludos””

    Responder
    1. 6.1

      Samuel Parra

      Hola Anónimo.
      No soy yo quien afirma que entradas.com almacena el CVV, es la propia empresa responsable del portal, quien desde al menos el año 2009 viene afirmando que almacena ese dato; y esto se extrae de forma indubitada de las autorizaciones para realizar las transferencias internacionales de datos donde expresamente entradas.com dice almacenar ese dato.

      No puedo explicarme que entradas.com le diga a la AEPD que sí está almacenando ese dato y lo va a transferir y que ahora diga que no lo hace.

      Responder
    2. 6.2

      anonimo2

      y entonces para que solicita el exportar Número de tarjeta de crédito, fecha de caducidad, código CVV si éste último dato no lo tienen almacenado?

      Responder
  7. 7

    Alonso

    Yo ya les he puesto un comentario en su portal de Facebook, espero que mas personas les haga ver lo equivocado de su acción.

    Responder
  8. 8

    jose

    Vaya la que has liado… y acabando en portada de meneame!! 🙂

    No es nada raro en protección de datos encontrarse cláusulas o ficheros o solicitudes de TI echas “por lo alto”, para evitar pillarse los dedos, por si algún día se llegase a incluir ese dato. No hay nada que lo prohiba, y al final acaba siendo una práctica recomendable, porque en protección de datos todo es defenderse de riesgos presentes y futuros.

    Seguramente el consultor o asesor que lo hizo sabía mucho de LOPD, pero nada de PCI… En todo caso, nunca entenderé la prohibición de guardar el cvv, cuando se trata de un código calculado con el pan y la fecha de caducidad de la tarjeta. Ni tampoco tengo muy claro a través de qué medio se hace exigible PCIDSS a una tienda online que recoja datos de tarjeta de crédito (¿quizá a través del contrato con el banco?).

    Responder
  9. 9

    Ricardo Martin

    Buenos días, Samuel,
    Muchas gracias por todos estos sucedidos que nos ponen los pelos de punta y que te acreditan como un auténtico Buscador de la protección de datos (título que deberíamos instaurar).
    Yo sólo quería añadir que, en relación al tema del CVV de las tarjetas, hasta hace unos pocos meses, una de las webs más conocidas, booking, remitía por fax a los alojamientos este código, junto con todos los datos del titular y la tarjeta. Por fax, a la vista del primero que pasase por donde quiera que estuviese el fax y con el factor de que un número de fax cambiase, o fuese erróneo y saliese en el salón de mi casa. Así se piratean tarjetas de los turistas, claro. Lo han corregido y ya no sale ese código, al menos. El resto… si.
    saludos y suerte

    Responder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *