Identificación mediante PIN

1459

Continuando con la temática del artículo anterior, sobre aplicación de la Ley de Protección de Datos (LOPD) a diferentes formas de identificación en caso de pago con tarjetas de crédito y débito, tenemos en el Informe 0446/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) la respuesta a una consulta que plantea las implicaciones en LOPD que pudieran derivarse del sistema implantado por algunas entidades de crédito, consistente en reemplazar las tarjetas actualmente existentes por otras en las que la marcación del código de identificación o “PIN” del titular reemplaza a su firma manuscrita y del hecho de que la marcación del citado código pueda producirse a la vista de los empleados del establecimiento en que el titular realiza la operación.

La respuesta de la AEPD considera que en este caso no se realiza por parte del establecimiento tratamiento alguno relacionado con los datos personales del interesado, más allá del referido al número de la correspondiente tarjeta de crédito o débito para llevar a cabo la transacción, que se encuentra amparado por lo dispuesto en el artículo 6.2 de la LOPD, ya que el hecho de que el interesado deba teclear el código personal de su tarjeta para que la transacción pueda tener lugar no guarda relación con la aplicación de la LOPD.

La AEPD aclara que la cuestión sería distinta en el caso de que el establecimiento recogiese y sometiese a tratamiento los datos relacionados con el mencionado código identificador de la tarjeta, pero ya que no es el caso, desestima tal posibilidad.

Finalmente, el informe señala que del mismo modo, la habilitación para la realización de la actividad descrita por la normativa específica que le sea de aplicación o la necesidad de que la marcación del código identificador pueda ser llevada a cabo en condiciones que garanticen la confidencialidad en su marcación tampoco son cuestiones afectadas por la aplicación de la LOPD, sino por las citadas normas aplicables al caso.

Una visión algo diferente nos ofrece Álvaro del Hoyo en un comentario al anterior artículo:

En mi opinión, existe tratamiento del PIN por parte de las pasarelas de pago, que son encargados de tratamiento tanto del emisor de la tarjeta en cuestión como del adquirente (quien le pone el TPV al comercio), puesto que aunque no queda registrado el PIN en el TPV (al menos si se cumple adecuadamente el requisito 3.2 PCI DSS) éste sí que se hace llegar hasta los sistemas de la plataforma de pago a fin de autorizar o denegar la transacción de pago, quedando traza como evidencia de la operación.

Podía haber dicho la AEPD que no obstante debieran revisarse las condiciones contractuales impuestas por el adquirente al comercio, pues deberían contemplar medidas de seguridad para preservar la confidencialidad del PIN.

Imagina un caso en el que el TPV queda en la parte alta del mostrador de una pescadería. Le tienes que pasar tu tarjeta al pescadero y cantarle el PIN para que el lo teclee. Teniendo enemigos de lo ajeno en las proximidades entiendo que se te ocurre que es lo que puede pasar.

Identificación mediante PIN
Vota este artículo
Compartir

9 Comentarios

  1. En ocasiones se puede confundir el deber de discreción con el cumplimiento de la LOPD. Personalmente en este caso estoy de acuerdo con la Agencia y no creo que se trate de un tratamiento de datos, lo cual no quiere decir obviamente que se puedan permitir situaciones como la que se propone en el comentario citado en la que te veas obligado a “cantar” en público un PIN.

  2. Buenas, Juan

    Es cierto que no existe tratamiento por parte del comercio, y que ni siquiera tiene porqué existir intervención en el mismo como en el caso de la pescadería, pero me temo que en cualquier caso las pasarales de pago han de velar por la confidencialidad del PIN, dato personal, y en el tratamiento que supone para ellas el tecleo del PIN han de velar por la confidencialidad.

    Es por ello que verás en algunos TPVs EMV como incluyen una pequeña pantalla de plástico que protege la confidencialidad en la pulsación del PIN en el teclado con respecto a quien está en el mostrador del comercio. En algunos bancos verás como además recomiendan tapar con la otra mano el teclado mientras tecleas el PIN para evitar miradas curiosas o cámaras de delincuentes instaladas en un cajero automático.

    Todas estas medidas de seguridad, vienen no ya tanto por la LOPD, sino por la seguridad en los pagos, pero es que además de rebote mejora la seguridad de nuestros datos personales.

    ¿Acaso un robo de tu dinero no afecta a la calidad y seguridad de tus datos bancarios? ;-p

    Tu planteamiento puede manifestarse también en relación con los accesos https basados en certificado seguro. De nuevo tampoco estaría de acuerdo.

    Los datos financieros son de nivel medio, por lo cual no es obligatorio establecer el cifrado de comunicaciones mediante redes públicas en el tránsito de los datos de la banca electrónica.

    Pero es que además el RLOPD tampoco obliga a que el banco establezca medidas de seguridad en contra de la suplantación de su identidad, como sucede en los casos de phishing, pharming,…

    Sin embargo, creo que estarás de acuerdo conmigo en que la instalación de certificados de servidor seguro, acompañado de una buena formación a los usuarios de banca electrónica de cómo se comprueba la identidad real de quién está detrás de una web de banca electrónica, así como establecer el acceso https redunda no sólo en beneficio de nuestro dinero, principal objetivo de los bancos con estas medidas, sino también de nuestros datos personales.

    Piensa que en todo caso de phishing, pharming,… además de producirse una estafa, antes se ha producido una vulneración de la confidencialidad de nuestros datos, en los que podremos ser culpables nosotros mismos por caer en el engaño, y en función de su diligencia en materia de gestión de seguridad puede que también nuestro banco.

    Entre todos tenemos que crear y mantener una cultura de seguridad de la información, no sólo de datos personales, y creo que la AEPD ha perdido una buena oportunidad de hacerlo, pues entendiendo que podía haber aprovechado para dejar clara la responsabilidad de los bancos adquirentes en cuanto a identificar los riesgos y medidas de seguridad que en el tratamiento de los datos de tarjetas de débito y de crédito todo comercio con TPV debe tener obligación contractual de ayudar a gestionar, aún y no siendo encargado del tratamiento.

    ¿Has pensado en que podían haber comentado algo al respecto de que el banco adquirente quizás debiera haber hecho todo esto que pido en atención al cumplimiento que debería haber por parte del banco adquirente del artículo 83 RLOPD denominado “prestaciones de servicios sin acceso a datos”?

    Con las tarjetas EMV ha cambiado el modelo de relación, pero si antes se exigía que los comercios comprobaran la titularidad de las tarjetas pidiendo el DNI y además se conservaran los justificantes con la firma del titular de la tarjeta, ¿no crees que los bancos adquirentes deberían indicar a los comercios qué responsabilidades tienen en materia de seguridad de los pagos que les piden asegurar por ejemplo velando por la confidencialidad de los datos de las tarjetas y del PIN?

    Creo que esto que comento encaja en la filosofía del artículo 83 RLOPD, por mucho que literalmente se salga, ¿no crees?

    Pensemos además en aquello que nos dice la jurisprudencia de que las obligaciones de confidencialidad y seguridad son obligaciones de seguridad y que más nos vale ser diligentes, incluso por encima de los mínimos legales establecidos.

    Un saludo

  3. Gracias de nuevo Álvaro por tus aportaciones, te debo una cerveza… o más 😉

    Estoy bastante de acuerdo en general con tu argumentación, en especial la referencia a la responsabilidad de la AEPD en extender una cultura de seguridad más acorde con los tiempos que corren, pero me temo que ellos están a otra cosa…

  4. Buenas, Jesús

    Me temo que no me debes nada. Ya nos das tú mucho más a todos manteniendo el blog con la calidad que lo mantienes.

    Pero en cualquier caso podemos quedar cuando quieras a invitarnos a un vino o cerveza mutuamente ;-p

    No hay que perder de vista que la AEPD ha ejercido bien sus competencias en este caso, pero pienso que debiera haber comentado algo al respecto de la seguridad de los datos de tarjeta y el PIN en relación con el artículo 83 RLOPD por mucho que el comercio ni sea proveedor del banco adquirente ni de la pasarela de pagos, ni porque el comercio no esté tratando el dato ni como responsable de fichero ni como encargado de tratamiento.

    Otra cuestión es que yo he podido inducir a error, cometiéndolo en mi análisis anterior en el post de las tabletas digitalizadoras, al respecto del rol que desempeña cada sujeto interviniente en el procesamiento de transacciones de pago. Y me gustaría corregirlo.

    En la asignación de la responsabilidad del fichero para el procesamiento de pagos he identificado a los procesadores o pasarelas de pago (Servired, Redes y Procesos, CECA) aunque en realidad debería haber dicho las marcas nacionales de medios de pago (Sermepa, Sistema 4B y Euro6000) y a las que podemos unir algunas otras como por ejemplo El Corte Inglés si bien con sus particularidades de no ser una solución de pago en general, sino sólo para las tiendas de su grupo de empresas.

    No obstante, aún siendo sociedades distintas y con diferentes objetos sociales, podemos comprobar que marcas nacionales de medios de pago y pasarelas o procesadores de pago tienen los mismos accionistas, y que las segundas prestan servicios a las primeras de muy diversa índole, pero siendo el principal el procesamiento para liquidación, compensación y autorización de operaciones con medios de pago.

    En definitiva, estas pasarelas de pago no son más que proveedores homologados por las marcas de medios de pago y, por tanto, encargados de tratamiento de las marcas nacionales de medios de pago que son los responsables de los ficheros.

    No olvidemos que en este sector hay una serie de sujetos como son las sociedades internacionales de medios de pago, que a su vez existen las sociedades regionales de medios de pago y las sociedades nacionales de medios de pago, y que las pasarelas o procesadores de medios de pago son proveedores homologados conforme a las reglas establecidas por las marcas internacionales y regionales de pago, así como por ellas mismas.

    Esta es la presentación de la relación jerárquica del modelo de relaciones contractuales entre los diferentes sujetos implicados en el procesamiento de medios de pago:

    Marcas internacionales de pago
    Marcas regionales de pago
    Marcas nacionales de pago
    Procesadores o pasarelas de pago
    Otros proveedores homologados
    Bancos emisores
    Titulares de tarjetas
    Bancos adquirentes
    Comercios
    Proveedores TPVs

    Para entender mejor todo este embrollo es recomendable conocer la historia de este mundo de los medios de pago:

    http://www.servired.es/espanol/evolucion.htm
    http://www.4b.es/sistema-4b/historia
    http://www.euro6000.es/euro6000/webred6000.nsf/CM001.-%20Auto%20Marco%20para%20FW0012?OpenFrameSet&Frame=MarcoPagina&Src=/euro6000/webred6000.nsf/Vo0012/01-01%3FOpenDocument%26AutoFramed

    La pena es que no se pueda encontrar referencias que expliquen cómo se desencadenan todas las relaciones jurídicas que se dan en este modelo jerárquico existente en el sector de los medios de pago, al que habría que añadir las relaciones horizontales que se establecen a nivel internacional, regional y local por parte de las marcas de medios de pago para hacer una realidad los pagos regionales e internacionales.

    En definitiva, quiénes deciden sobre la creación del fichero de procesamiento de transacciones mediante tarjetas, su finalidad,… son las sociedades nacionales de medios de pago.

    Los procesadores o pasarelas de medio de pago, al igual que los bancos adquirentes son encargados del tratamiento, y los comercios que emplean los TPVs son meros clientes de los bancos adquirentes que no intervienen en el tratamiento para el procesamiento de los pagos, pero reciben en cesión de las sociedades de medios de pago los justificantes de las operaciones efectuadas, sean de autorización o de denegación del pago.

    Por su parte, los bancos emisores serán responsables del fichero donde recaban los datos de los titulares de las tarjetas de débito y de crédito. Estos por tanto intervienen en el esquema por medio de cesiones de datos a las sociedades nacionales de medios de pago, que serán tratados por las pasarelas de pago y los bancos adquirentes para procesar las operaciones de pago, autorizándolas o denegándolas.

    Mucho me temo que puedo mantener mi opinión al respecto de que la sentencia de la Audiencia Nacional a la que se refería Félix Haro en el post de las tabletas digitalizadoras sigue siendo criticable, pues no creo que los comercios sean responsables del fichero con finalidad de procesamiento de medios de pago (con datos de los titulares de las tarjetas de pago), por mucho que sí que lo sean de sus respectivos ficheros de clientes (donde se incluyen los datos personales que se incluyen en los justificantes de las transacciones de pago realizadas mediante TPV).

    Un saludo

  5. Pudiera caber la opinión de que en el sector de medios de pago estamos en un caso de fichero común a varias entidades, en el que el rol de las sociedades de medios de pago y los procesadores de medios de pago es el de encargado de tratamiento y subencargado del tratamiento, pero me temo que el poder de decisión que tienen las sociedades de medios de pago puede dejarlo fuera de lado.

  6. Toda una lección, Álvaro, muchas gracias.

    De todas formas sobre los Informes Jurídicos hay que recordar que es política habitual de la AEPD limitarse a responder exclusivamente al literal de la pregunta o cuestión planteada sin entrar en otras disquisiciones que sin duda tendrían un gran valor jurídico, pero que supongo mantienen una actitud de prudencia por algún criterio de seguridad.

  7. Cierto, pero siempre quedará el Plan Sectorial de Oficio, y creo que éste puede ser uno de los sectores de mayor intromisión en nuestra privacidad junto con el sector de las telecomunicaciones, no crees? ;-p

  8. Álvaro, sin duda es un hecho evidente. El usuario tiene cierta capacidad de control y reserva sobre la información que crea, descarga y almacena en sus propios equipos; pero estamos en manos de las grandes empresas que manejan sectores complejos como los que citas.
    De momento no veo a la AEPD con mucha capacidad de control sobre este tema, por mucho que saquen pecho en ocasiones amenazando a Google o Facebook, ya veremos….

Dejar respuesta