La Agencia Española de Protección de Datos ha impuesto una multa de 20.000€ a Groupon Spain SLU por infringir la Ley de Protección de Datos (LOPD), al entender que la web de cupones almacenaba los datos de las tarjetas de crédito de sus clientes, incluido el código de seguridad CVV. Además, según ha comunicado la AEPD, la compañía de venta online de descuentos aporta información errónea en su web y no ha respondido a los requerimientos de este organismo público.
La multa, interpuesta el pasado mes de diciembre, tuvo su origen en las denuncias realizadas por cuatro clientes de Grupon España que indicaron que el formulario de compra recordaba sus datos bancarios y no ofrecía posibilidad de modificar este hecho. La resolución de la AEPD especifica que «en su página web que no almacena los datos de las tarjetas de crédito, pero al realizar compras se comprueba que la aplicación rellena automáticamente el dato de la tarjeta de crédito y el código de seguridad (CVC o CVV)».
Tras la denuncia recibida, inspectores de la AEPD acudieron a las oficinas de Groupon en Madrid para realizar una inspección. Tras acceder a los sistemas de y realizar una serie de comprobaciones, atestiguan que «se procede a dar de alta como nuevo usuario a la representante legal de Groupon, realizándose una compra. Se observa que en ningún momento se informa al usuario de que el dato de la tarjeta de crédito se guardará para futuras compras, ni se da la opción de elegir si dicho dato ha de ser guardado o no». Posteriormente, narran desde la AEPD «al realizar una segunda compra se verifica que el sistema no solicita el número de tarjeta de crédito, sino que ofrece los datos anteriormente utilizadados, si bien oculta parte de los dígitos del número de tarjeta mostrando sólo los cuatro últimos. Aparecen también como ocultos los dígitos del CVV. De esta forma, el usuarios no tiene que aportar nuevamente los datos de la tarjeta en cada ocasión».
Así, procede a exigir a Groupon que entregue una copia el contrato con la empresa que ofrece los servicios de la citada pasarela de pagos, así como un procedimiento describa el flujo de datos que se produce durante un proceso de compra para determinar las responsabilidades de cada intervinientes, unos requerimientos a los que la compañía no da respuesta.
Así, al resultar acreditados los puntos de las denuncias de los clientes y ante la «falta de diligencia» de la empresa, la Agencia concluye que tanto los gestores de los ficheros como los encargados de tratamiento han cometido la infracción sobre el artículo 5 de la LOPD, y por tanto deben ser sancionados.