giropay sabe lo que compró el verano pasado
En lugar de limitarse a procesar el pago, el servicio de pago alemán "giropay" (antes "paydirekt") guarda la información sobre cada artículo adquirido en las tiendas online. Esto puede dar lugar al tratamiento de datos personales sensibles. Un cliente se puso en contacto con noyb después de verde los productos que había pedido en una farmacia online y en un sex shop que figuraban en su cuenta de giropay. Estos datos están especialmente protegidos por el GDPR y no pueden ser tratados sin consentimiento noyb ha presentado hoy una denuncia contraa giropay ante el Comisionado del Estado de Hesse para la Protección de Datos y la Libertad de Información.
¿Bolsas de la compra transparentes o "lo privado sigue siendo privado"? El servicio de pago alemán giropay se anuncia en su página web con eslóganes concisos como "Lo privado sigue siendo privado" y "Protección de datos según las directrices alemanas". Un cliente encontró de repente una cuenta detallada de sus compras, incluyendo un sex shop y una farmacia online, en su perfil de giropay. Aparte de los pagos normales con SEPA o tarjeta de crédito, giropay no sólo procesa los datos personales necesarios para garantizar el pago, sino que guarda todo el contenido de la cesta de la compra. Como la empresa no dio muestras de querer cooperar en el asunto, ella se puso en contacto con Noyb.
giropay culpa a las tiendas. giropay conserva y procesa los datos, pero elude cualquier responsabilidad: la transmisión de dichos datos siempre sería responsabilidad de los comercios. Sin embargo, su software tiene una función específica para transmitir dicha información y su propia tienda web plugin no deja a los operadores de las tiendas otra opción que la de transferir estos datos. Dado que giropay procesa claramente estos datos personales innecesarios, está sujeto al GDPR y es responsable según la ley.
"No se puede construir, utilizar y promocionar un sistema que succiona datos de forma ilegal y culpar a otros del acaparamiento de datos. El RGPD tiene principios claros sobre la legalidad, la minimización de los datos y la responsabilidad." Alan Dahi, abogado de protección de datos de noyb
Datos especialmente sensibles. Los datos tratados por giropay también se refieren a la salud y las preferencias sexuales del cliente. Según el GDPR, estos datos sensibles merecen una protección especial. No deben ser tratados sin el consentimiento explícito del cliente, como se indica en el artículo 9.2.a) del RGPD
"Sólo porque utilice mi tarjeta de débito en el supermercado, mi banco no obtendrá información detallada sobre mis compras en el supermercado. No hay absolutamente ninguna razón legítima para que giropay recoja esos datos y los almacene a largo plazo, especialmente cuando son tan personales." Cliente de giropay
Esto no es una "práctica normal del mercado". giropay recoge información sobre los asuntos más íntimos de sus clientes y argumenta que se trata de una "práctica normal de mercado". Supuestamente, la información sería relevante en caso de disputas entre una tienda web y el cliente. En realidad, la lista de artículos debería estar fácilmente disponible en las facturas o el historial de pagos disponible en la tienda web - no hay necesidad de que un tercero guarde estos registros por defecto y sin el conocimiento o consentimiento del usuario. Aunque la "práctica de mercado" es irrelevante desde el punto de vista de la ley de protección de datos las empresas suelen utilizarla para legitimar las violaciones de la protección de datos. En cambio, deberían empezar a tomarse en serio la protección de datos y respetar la privacidad de sus clientes.