Groupon sancionada por no informar que almacenaba los datos de las tarjetas de crédito de sus clientes

tarjeta de creditoLa Agencia Española de Protección de Datos ha sancionado al popular portal de ofertas con una multa de 20.000 euros por almacenar el código CVV y demás datos de las tarjetas de crédito de sus clientes sin que informara de este extremo. De hecho, según ha reflejado la Agencia, Groupon informaba de lo contrario, que no almacena los datos de las tarjetas de crédito de sus clientes.

Durante mediados de 2012, la Agencia Española de Protección de Datos (AEPD) recibió diversos escritos de usuarios del portal donde denunciaban que, a pesar de que Groupon indicaba en su web que “en ningún momento la información de tu tarjeta de crédito queda almacenada en nuestros servidores“, observaban como al realizar una compra, los datos relativos a la tarjeta de crédito y código CVV se autorellenaban.

Los denunciantes aportaron diversas capturas de pantalla del problema, donde se mostraba los hechos que estaban denunciando y cómo Groupon no ofrecía ninguna opción para “no almacenar los datos de tarjetas”.

A raíz de esta denuncia, la AEPD solicitó información a Groupon, y declararon que:

  1. “GROUPON no guarda datos de las tarjetas de crédito de los clientes, la guarda la pasarela de pagos.”
  2. “Los clientes pueden elegir si desean que se conserve o no el número de tarjeta de crédito en la pasarela de pagos. Quien no lo desee puede solicitarlo a GROUPON, que procede a marcarlo así en sus sistemas y en adelante la pasarela no guardará dicho dato.”

Los inspectores de la AEPD solicitaron entonces un acceso al sistema y que se simulase el alta como usuario y una compra, para ver qué pasaba.

En primer lugar se procede a dar de alta como nuevo usuario a la representante legal de Groupon realizándose una compra. Se observa que en ningún momento se informa al usuario de que el dato de la tarjeta de crédito se guardará para futuras compras, ni se da la opción de elegir si dicho dato ha de ser guardado o no.

Al realizar una segunda compra se verifica que el sistema no solicita el número de tarjeta de crédito, sino que ofrece los anteriormente utilizados, si bien oculta parte de los dígitos del número de tarjeta, mostrando solo los cuatro últimos. Aparecen también como ocultos los dígitos del CVV. De esta forma, el usuario no tiene que aportar nuevamente los datos de la tarjeta en cada ocasión.

Ante esta evidencia, Groupon afirma que los datos no proceden de los sistemas de Groupon sino de la pasarela de pagos.

A continuación se accede a la plataforma de gestión de clientes de Groupon y se observa que todos los clientes tienen un campo denominado “Recurring for this user” y en el caso del usuario de prueba de la representante legal aparece marcado como “Yes”.

Se accede posteriormente a la pantalla donde el propio usuario puede modificar sus datos y se comprueba que no figura ningún campo relacionado con el “Recurring for this user” para modificar esta opción.

Ante estos hechos, desde Groupon informan que si el cliente no desea que se conserve el número de tarjeta ha de solicitarlo expresamente a la entidad, quien procederá al cambio en unas pocas horas.

Los inspectores de la AEPD se llevaron también una impresión de pantalla de la página web donde en la que se informa a los clientes de la entidad que no almacena los datos de las tarjetas de crédito en sus servidores.

Curiosamente, los datos de la tarjeta de crédito del usuario no es encontrada por la inspección en la base de datos de Groupon, quien sostiene que esos datos provienen de la pasarela de pago y Groupon tiene la posibilidad de indicar a la pasarela de pago no almacenar esos datos, mediante una solicitud al personal de Groupon.

Por parte de la AEPD se le solicitó a Groupon copia del contrato suscrito con la entidad que le ofrece la pasarela de pagos, pero nunca fue aportado.

En consecuencia, la AEPD termina afirmando que:

“ha resultado probado que GROUPON ha incumplido el art. 5 de la LOPD, pues no informaba a sus clientes de que conservaba los datos correspondientes a las tarjetas de crédito que previamente habían utilizado sus clientes.

Es decir, no ha proporcionado información clara y precisa respecto del tratamiento al que iban a ser sometidos sus datos personales, en concreto se informa precisamente de lo contrario al asegurar que “en ningún momento la información de tu tarjeta de crédito queda almacenada en nuestros servidores”.

GROUPON manifestó que los datos no se conservan en sus sistemas sino que son “importados” de la pasarela de pago utilizada para gestionar el cobro de la venta de sus productos. No obstante no aportó el contrato en virtud de la cual se gestionan dichos cobros de donde se podía deducir las responsabilidades de cada interviniente. En este sentido, debe recordarse que la entidad que gestiona el cobro a través de la pasarela de pago, puede ostentar la cualidad de encargado del tratamiento, y debe tenerse en cuenta que el art. 12.4 de la LOPD, en caso de vulneración de la citada norma, establece un mecanismo de agregación y no de exclusión de responsabilidad, entre el responsable del tratamiento y el encargado del tratamiento.

Por lo que de acuerdo con la definición de tratamiento de datos y responsable del tratamiento, que recoge el art. 3 de la LOPD, GROUPON ha de responsabilizarse de las obligaciones que la citada ley orgánica impone, pues el tratamiento de datos realizado se realiza por su cuenta en tanto que está ligado a la venta de sus productos, con independencia de la entidad que participe en el cobro de los mismos.”

Por todo lo anterior, la AEPD declara que Groupon infringió el artículo 5.1 de la LOPD al no informar de esta circunstancia y le impone una multa de 20.000 euros.

15 comentarios en “Groupon sancionada por no informar que almacenaba los datos de las tarjetas de crédito de sus clientes”

  1. Lo que procede es que obliguen a Grupon a borrar todos los datos que almacena y empiece de cero de forma correcta. Para el usuario es lo importante. La multa escasa para el riesgo que supone manejar esos datos ilicitamente.

    Responder
  2. La multa debería ir en función de los ingresos de la empresa para que afecte a todas por igual…
    Así a una pequeña la arruinas y la grande se ríe…

    Responder
    • Así debería ser con todo tipo de multas tanto a empresas como a particulares. Que no es lo mismo una multa por exceso de velocidad, 100€ si es poco exceso, para alguien en paro que para un futbolista de élite…por ejemplo.

      Responder
  3. Me imagino que esta empresa tampoco habrá oído hablar de cumplir la normativa PCI DSS (Norma de Seguridad de Datos de la Industria de Tarjetas de Pago). Estas normas establecen claramente que los datos de CVV no se puedan almacenar en ningún caso.

    Responder
  4. La multa mínima por vulneración del art. 5 es de 900 €, y la máxima de 40.000, así que con 20.000 la AEPD lo considera grave, pero no como para ir a la sanción máxima.
    Por otro lado Groupon no queda libre con pagar, ademas tiene que arreglarlo, porque si llega a la AEPD otra denuncia por lo mismo y no lo arreglan, les volverán a poner otra vez la multa.

    Responder
  5. A día de hoy, el problema sigue existiendo.
    Hoy he ido a hacer una compra y extrañado de que no me pasara por ninguna pasarela de banco ni me pidiera ningún dato… me he puesto a buscar como borrar estos datos… y sólo he encontrado la opción que comentáis de escribir expresamente a Groupon…
    Han tenido mis datos de tarjeta un montón de tiempo sin que yo fuera consciente. Y ahora encuentro esta noticia… más vale que lo solucionen pronto, porqué voy a denunciar.

    Responder
    • A 6 de Julio de 2015 aún sigue siendo así. Mi primera compra fue como hace año y medio, y hoy al realizar otra no he tenido que introducir ningún dato. Y lo que es peor, no puedo ver que tarjeta está registrada (sólo en el momento de la compra) ni cambiarla o borrarla.

      Responder
  6. pues a todos los usuarios que sigais usando Groupon, si siguen a dia de hoy grabando los datos y sin informar de ello, o sin dar opcion a que el cliente quiera o no que se graben, denunciadlo a la AEPD. Cuantas más denuncias tenga más fuertes serán las sanciones para esta empresa

    Responder
  7. me han cobrado la renovación del seguro del vehículo con tarjeta bancaria ya que el anterior año al darme de alta la facilite para el cobro. Hasta que punto es legal que hagan el cobro de un año para otro?

    Responder
  8. A día de hoy, 25 Marzo 2017, siguen haciendo lo mismo.
    Acabo de comprar un cupón, y sin pasarme a ninguna pasarela de pago, ni pantalla de confirmación de la aceptación, pum… “ya tiene usted comprado el groupon” !!!
    Y he llegado a esta web buscando la opción de borrar mi tarjeta. No existe.

    Responder
  9. Pues seguimos igual.Yo compre 2 entradas el día 20 de octubre del 2017 y el día 21 compre 7 más como no me pedía nada y me mandaba directamente a la página de inicio pensaba que no se había realizado la compra y tengo 21 entradas de más y dicen que no me las devuelven que las regale o las venda yo por mi cuenta.Y me es imposible desactivar la tarjeta.

    Responder

Deja un comentario