Hace
unos días, llamaba nuestra atención una noticia aparecida en Expansión según la
cual el Banco de Santander iba a ceder los datos de sus cliente a comercios
para obtener mayores ingresos, lo que se llevaría a cabo a través de una
aplicación denominada “Mi Comercio”, destinada a los comercios que tienen
contratado un TPV con tal entidad.
La
primera reacción que provoca esta noticia es el temor por los datos que está
poniendo en el mercado y si ello se ajusta o no a la legalidad vigente.
Sin
embargo, la noticia aclara que los datos se cederán de manera “agregada, anónima y estadísticamente
representativa”. Los comercios que reciban esa información conocerán los
hábitos del consumidor y sus preferencias, lo que –según la noticia- les
facilitará el diseño de sus estrategias comerciales y publicitarias.
Según
indica el banco, se analiza el comportamiento de los clientes, incluyendo los
conceptos de “recurrencia, fidelidad,
edad, perfil social o nivel de renta, entre otros”. Así, entre
las funcionalidades de la aplicación se incluye la parte denominada “mis
clientes”, que recopila mensualmente datos agregados de aquellos clientes
nuevos y recurrentes que han comprado en el comercio y en los de la competencia
cercana.
La verdad es
que no sé qué nivel de éxito va a tener esta aplicación, pero desde luego es
preocupante que por parte del banco se vaya a analizar los datos de sus
clientes: el nivel de renta, el perfil
social, la edad y, al parecer, las preferencias de consumo (recurrencia,
fidelidad).
Somos
conscientes de las posibilidades que brindan las tecnologías actuales para
analizar grandes cantidades de datos, pero … ¿es lícito?
En
principio, parece que estamos ante datos que no se nos van a recabar
expresamente sino que los van a obtener de nuestro comportamiento al utilizar
la tarjeta de crédito (cuánto, cuándo, dónde y qué compramos), por lo que no es
necesario la información previa, pero sí deben informarnos con posterioridad,
de acuerdo con el art. 5.4 de la Ley 15/1999, de 13 de diciembre:
4. Cuando los datos de carácter
personal no hayan sido recabados del interesado, éste deberá ser informado de
forma expresa, precisa e inequívoca, por el responsable del fichero o su
representante, dentro de los tres meses siguientes al momento del registro de
los datos, salvo que ya hubiera sido informado con anterioridad, del contenido
del tratamiento, de la procedencia de los datos, así como de lo previsto en las
letras a), d) y e) del apartado 1 del presente artículo.
Y
por lo que respecta a si es necesario nuestro consentimiento, entiendo que
sí lo es, pues ninguna de las excepciones del art. 6.2 parece aplicable a
este supuesto. Máxime teniendo en cuenta que se puede afectar a datos
especialmente protegidos, pues los hábitos de compra con una tarjeta de crédito
pueden facilitar información sobre la salud, la ideología, la religión o las
orientaciones sexuales de los usuarios de tarjeta.
Finalmente,
cabe plantearse si es preciso recabar el consentimiento del interesado para
la cesión en concreto de los datos. En esta cuestión, parece claro que al
estar los datos desagregados y por tanto resultar imposible la identificación
de la persona en concreto, el art. 11.6 de la Ley excluye la necesidad de
consentimiento.
Espero
que estas exigencias se cumplan por el banco, así como que se extremen las
medidas de seguridad para que al final no acabemos en uno de los muchos casos
en que se “hackean” cuentas o webs de empresas y los datos acaban en el mercado
negro sin ningún tipo de límite. Si esto último ocurriera, es evidente que los
daños para el sistema financiero serían grandes y la posibilidad para el
particular de reclamar no tendría duda alguna.
No hay comentarios:
Publicar un comentario