¿También te han digitalizado tu firma?
Seguramente la mayoría de vosotros se habrá encontrado con que, de un tiempo a esta parte, al pagar con tarjeta en los centros de Supercor, Opencor, Mercadona (y supongo que en algunos más, porque estas cosas siempre marcan tendencia) hay que firmar en un soporte especial conectado a la caja y mediante el cual digitalizan vuestra firma digital. También os habias dado cuenta, ¿verdad? Claro, el hecho de que el "boligrafo" vaya conectado al rectangulo de firma y este a la caja registradora tampoco da mucho lugar a la elucubración.
En el primer comercio en el que me lo hicieron (un Opencor) me quedé un poco mosqueado (¿Porqué digitalizan mi firma?¿Para qué la quieren?¿Porqué no me preguntan si estoy de acuerdo?) y decidí que en el futuro los evitaría (salvo grave emergencia). Pero pasó lo que tenía que pasar, el número de comercios donde usan el cacharrito en cuestión aumenta y cada vez va siendo más dificil evitarlo.
Llegados a este punto, se me ocurrió consultar a la Agencia de Protección de Datos acerca de la cuestión. ¿Puede un comercio de este tipo digitalizar mi firma sin informarme previamente de que lo va a hacer y de para qué lo hace? Bueno, con la Ley en la mano (LOPD, Ley 15/1999 y Reglamento, R.D. 994/1999) para que pueda existir la cesión de mis datos debe existir por mi parte consentimiento expreso e informado y en mi opinión no se estaban dando las circunstancias.
Dos meses después (ya se sabe, las cosas de palacio) recibo un correo electrónico desde el Área de atención al ciudadano de la AGPD contestándome (las negritas las he añadido yo):
En el primer comercio en el que me lo hicieron (un Opencor) me quedé un poco mosqueado (¿Porqué digitalizan mi firma?¿Para qué la quieren?¿Porqué no me preguntan si estoy de acuerdo?) y decidí que en el futuro los evitaría (salvo grave emergencia). Pero pasó lo que tenía que pasar, el número de comercios donde usan el cacharrito en cuestión aumenta y cada vez va siendo más dificil evitarlo.
Llegados a este punto, se me ocurrió consultar a la Agencia de Protección de Datos acerca de la cuestión. ¿Puede un comercio de este tipo digitalizar mi firma sin informarme previamente de que lo va a hacer y de para qué lo hace? Bueno, con la Ley en la mano (LOPD, Ley 15/1999 y Reglamento, R.D. 994/1999) para que pueda existir la cesión de mis datos debe existir por mi parte consentimiento expreso e informado y en mi opinión no se estaban dando las circunstancias.
Dos meses después (ya se sabe, las cosas de palacio) recibo un correo electrónico desde el Área de atención al ciudadano de la AGPD contestándome (las negritas las he añadido yo):
En contestación a su consulta se le informa lo siguiente:
El artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal señala que
1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.
5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.
Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
7. Se prohibe la recogida de datos por medios fraudulentos, desleales o ilícitos.
Igualmente, la entidad que recaba datos personales debe informar de lo dispuesto en el articulo 5 de la citada Ley Orgánica, según el cual:
1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante...."
2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
En consecuencia, cuando se recaban datos personales debe informarse de los expuesto anteriormente.
Por lo tanto, teniendo en cuenta que la firma del contrato presupone su aceptación y si los datos se usan para el exclusivo cumplimiento del mismo, no se aprecia infracción a la normativa de protección de datos. Si la firma digitalizada se usa para otros fines distintos, se podría estar infringiendo dicha normativa, pudiendo, además, derivarse las oportunas consecuencias de índole penal.
Todo ello, salvo criterio en contrario del Director de la Agencia Española de Protección de Datos.
Le saluda atentamente
Madrid, 3 de julo de 2006
El Jefe del Area de Atención al Ciudadano
Aquí es donde las cosas empiezan a ponerse interesantes. En la contestación a mi consulta me dicen que como he firmado el contrato (el ticket de compra) tacitamente he aceptado que se produzca el tratamiento de esos datos (y por tanto que digitalicen mi firma) y en este caso todo es correcto. Sin embargo también recoge la contestación (artículo 5 de la ley 15/1999) que la información previa de que se va a producir esa recogida debe ser expresa, precisa e inequívoca.
Ahora os lanzo una pregunta, si no se han dado las condiciones de información previa, ¿cómo puedo haber dado un consentimiento tácito a esta recogida? ¿Hay forma de pagar con tarjeta y evitarlo? Se aceptan sugerencias, ruegos y preguntas.
Ahora os lanzo una pregunta, si no se han dado las condiciones de información previa, ¿cómo puedo haber dado un consentimiento tácito a esta recogida? ¿Hay forma de pagar con tarjeta y evitarlo? Se aceptan sugerencias, ruegos y preguntas.
- Categoría: treflex-Preguntas
- Tags: agpd, lopd, firma digital, duda, tarjetas.
16 Comentarios:
Hay que diferenciar varias cosas:
1) La firma en el pago con tarjeta es imprescindible. El hecho de que se haga en soporte electrónico para lo que sirve es para tramitar con más rapidez cualquier reclamación (no hay necesidad de comprobar ticket en papel sino que basta con pedir los datos desde un terminal). En este creo que no hay ningún problema.
2) Si la firma así digitalizada se almacena o no. Es evidente que deberá quedar guardada durante un tiempo, porque una eventual reclamación puedes interponerla mañana o dentro de un mes. Tampoco creo que esto suscite controversia, es una garantía para el cliente, y seguramente una obligación legal para la empresa. De hecho, doy por sentado que los tickets firmados en papel también quedarán almacenados durante un período de tiempo. La única diferencia es el soporte de la firma, no la finalidad de su recogida.
3) ¿Debe haber información previa a la recogida de la firma digital? Si es solamente para los fines expuestos anteriormente, yo diría que no, de la misma manera que cuando firmas en papel no te informan de que el ticket quedará almacenado durante un periodo de x tiempo: nadie se queja por eso, se asume que es una obligación legal para la empresa (o eso creo) y una garantía para el cliente.
4) ¿Posible utilización indebida de la firma, es decir, para otro fin que el de la mera comprobación de la identidad del cliente para el acto del pago en sí y ulteriores reclamaciones? Responsabilidad administrativa y puede que penal de la entidad de turno, como señalan los de la APD. No obstante, tanto si el medio de pago utilizado es una tarjeta emitida por el propio comercio como tu tarjeta de crédito o de débito habitual, habría que revisar la letra pequeña del contrato de emisión de la tarjeta, porque puede que haya una cláusula relativa a registro de datos que ampare el almacenamiento de la firma digital no sólo para comprobación de cada compra sino para otros fines. Al firmar ese contrato, aceptaste esa hipotética cláusula.
Por cierto, en el corte inglés hasta ahora se firma con papel y bolígrafo, pero en los extractos aparecen los recibos (y por consiguiente la firma en cada uno de ellos) digitalizados. Entiendo que es el mismo supuesto que planteas: tu firma digitalizada y almacenada en los archivos de una entidad mercantil. Yo mismo no le había dado mayor importancia al asunto hasta leer este post tuyo.
En definitiva, en este asunto creo que la legislación a consultar sería la relativa a medios de pago, para ver en qué condiciones los comercios que aceptan tarjeta como medio de pago y las entidades financieras que sirven de soporte al sistema tienen obligación y/o derecho a registrar y almacenar tu firma en cualesquiera soportes.
Por kalimero, @ 8:45 p. m.
Una solución es coger llevar tú tu propio bolígrafo, y firmar con él.
Por Anónimo, @ 7:53 a. m.
Si tienes una cuenta en algún banco o caja, también te recogieron la firma el día que la abriste y casi seguro que ahora mismo esa firma esta disponible para consultarse directamente en cualquier terminal de la entidad financiera, es decir la han digitalizado.
Por Anónimo, @ 11:48 a. m.
Empiezo por abajo:
- Anónimo: En tu contrato con el banco y en el de la tarjeta aparecen unas clausulas de confidencialidad y de cumplimiento de la normativa de protección de datos (LOPD) con las que aseguran un marco jurídico y unas reglas de juegos comunes y conocidas. Y de lo que me quejo es que en estas condiciones ese pequeño detalle no existe.
- Epa: No te creas que no lo había pensado pero la digitalizadora es la base y te obligan a firmar encima. Lo que yo suponía un cable (porque parecía conectar el boligrafo con la base) es un cordón plástico. Ayer mismo firmé con uno que estaba amarrado al boligrafo con un nudo, lo que descarta la conectividad alámbrica.
- Kalimero: El quid del asunto es que la firma digitalizada debe cumplir las medidas para ficheros automatizados, la firma en un papel simplemente archivado, no. En cuanto a la información previa a la recogida no es opcional en la ley y, aunque comprendo que por eficiencia no lo hagan con cada cliente, si alguno puñetero como yo pregunta por el tema, por lo menos deberían saber de qué va el asunto. A raiz de esto me he acordado de una discusión que tuvimos en un centro comercial en San Juan de Aznalfarache. Después de pagar, la Sra. Reflex se da cuenta de que la cajera apunta en una libretita el número de la tarjeta de crédito y el del DNI. Nos quedamos a cuadros y cuando le preguntamos que para qué co***** hacía hecho eso nos dijo que era una medida de seguridad adicional que estaban tomando para evitar los fraudes con tarjetas. Ni que decir tiene que hasta que no vino el responsable de sección y borraron nuestros datos de aquella libreta no nos movimos de allí...
Por Tyrannosaurus Reflex, @ 1:07 p. m.
Ten en cuenta que cualquiera puede escanear lo que tú firmes en cualquier ticket de los de toda la vida...
Por Anónimo, @ 11:01 a. m.
En el caso del mercadona ( en Salamanca), a mi tambien me ha pasado. Lo único que tienes que hacer es decir que no quieres firmar de manera electronica y que quieres firmar en papel. La cajera te dira que no pasa nada, que si es lo mismo... Pero mantente en tus trece porque pueden sacar el ticket de toda la vida para que lo firmes a boli en papel. Coincido en que ni te informan, ni cedes por escrito el consentimiento.
Por Anónimo, @ 12:02 p. m.
Tambien lo hace UPS y nadie puso el grito en el cielo. Ademas se podia ver por internet la firma de la persona que habia recepcionado el paquete.
Por Anónimo, @ 4:14 p. m.
El autor de este blog está más confundido que Dinio. La firma te la pueden digitalizar en cualquier momento (¿o crees que no pueden coger cualquier papelillo que hayas firmado para digitalizar la firma?), así que no hay ningún inconveniente en que esté digitalizada desde un principio.
Por Anónimo, @ 4:29 p. m.
lo que mas me mosquea a mi, es que (como mínimo en mercadona) l resolucion és una p.m., mucho peor que mi palm del año 1999, como se puede verificar la autenticidad en caso de denuncia de fraude? no se puede hacer un estudio de grafologia con esa digitalizacion...
Por J, @ 4:45 p. m.
No hay un tratamiento posterior de tus datos, simplemente es un medio de prueba de que se ha autorizado el pago. ¿A qué no te hacen firmar cuando pagas en efectivo? lo mismo ocurre en cualquier comercio cuando vas a pagar con la tarjeta, te piden firmar y se quedan con tu firma ... ¡despues la pueden digitalizar!
Yo conozco un poco el tema y no veo ninguna infracción; es implemente un medio de prueba, no es un dato que se incorpore a un fichero, por lo que no debe cumplir esos requisitos de información.
Cuando le das tus datos a la compañía del gas ¿porque nos fíamos y no lo hacemos cuando se lo damos a un supermercado? Los dos son empresas y a los dos les interesa mantener tus datos para fidelizarte.
Aquí hablamos, en caso de existir, de delitos de resultado, no de delitos de peligro; es decir, debe darse el hecho ilícito para que haya pena. No como la conducción temeraria, por ejemplo, que sólo con producirse, sin necesidad de que haya daños humanos o materiales, ya es un delito. Aquí no puede juzgarse la peligrosidad.
Por Anónimo, @ 5:07 p. m.
Contesto solo a dos de los anónimos (por estar bastante de acuerdo con lo que apuntan los demás): Si ellos digitalizan tu firma no hay consentimiento previo (Consentimiento que suponen cuando tu aceptas firmar sobre la digitalizadora) y entonces estamos hablando de otra cosa...
Ah, para "El experto", la no existencia de tratamiento posterior, ¿la supones o la aseguras?
Por Tyrannosaurus Reflex, @ 6:36 p. m.
(Perdón, le he dado al enter antes de tiempo).
Continuo con lo que le decía a El Experto: La no existencia de tratamiento posterior, ¿La supones o la aseguras? En mi opinión, al no informarte en ningún momento de cual es el tratamiento que va a recibir esa información dan lugar a la suspicacia (que ha sido el origen de este post)
Por Tyrannosaurus Reflex, @ 6:40 p. m.
Creo que se da mucha vuelta a todo esto y la solucion parece mas facil.
Cuando te pidan firmar algun ticket de compra o similar donde no quieras dejar tu firma en formato electronico por motivos de privacidad haz un garabato cualquiera, total no lo validan y tu te sentiras mejor.
Por Anónimo, @ 8:03 p. m.
por favor auenta un poco el tamaño de la fuente, me ha costado leer lo tuyo, pero cuando he llegado a los comentarios he desistido.
Por Anónimo, @ 8:35 p. m.
Suelo hacer una firma (más bien rúbrica para los tickets). En el mercadona les dices que quieres firmar sobre papel y te lo ponen sin problema. Sólo una vez me preguntó un cajero porqué lo hacía así (por curiosidad) pero lo normal es pedir el papel de siempre y no te piden explicaciones. La duda que tengo es ¿Te pueden obligar a firmar en la tableta?
Por Anónimo, @ 9:42 a. m.
Para empezar, se está ridiculizando un poco con todo esto el concepto de firma. O más bien se está olvidando qué es una firma. El garabato que alguien escribe en un papel tiene ese significado casi sagrado en el Derecho porque puede ser PERITADO. Es decir, en caso de discusión sobre si una persona ha expresado válidamente su voluntad, alguien (un experto) puede decir si ese garabato fue escrito o no por la persona en cuestión. El hecho de que se acuda poco a los peritos es porque su trabajo está tan respetado (y "temido") que casi nadie que haya rubricado en un papel se atreve a negarlo "a ver qué pasa", porque finalmente se le atribuirá a él y encima tendrá que pagar el coste del perito. Pero NO OLVIDEMOS que la firma sólo el firma si es peritable. Yo me he puesto en contacto con un amigo perito calígrafo (a raíz del tema de Mercadona) y me ha dicho lo que me imaginaba: que la firma no es sólo una figura plana, una "imagen", porque en ese caso sería sencillísimo escanear una firma ajena y plasmarla con una buena impresora sobre un contrato. Una firma es una señal tridimensional, aunque no lo parezca, y la profundidad de los trazos en el papel, las diferentes inflexiones de la muñeca al escribir son esenciales para poder analizar una firma. Además me confirma que no están en condiciones de peritar una firma "imagen" recogida en una tableta digitalizadora. O sea que en mi opinión, para empezar "eso" no es una firma válida (mi amigo el perito me recomienda que firme en la tableta y luego niegue que la firma es mía, pero me parece una macarrada y no me atrevo).
En resumen, en mi opinión "eso" no es una firma. Pero como parece que Mercadona y la compañía emisora de la tarjeta la aceptan como tal, salvo que un juez diga lo contrario (que lo acabará diciendo), pues analicemos qué pasa con la LOPD. En mi opinión, Mercadona se salta a la torera las prescripciones de la LOPD: ahora bien, cuando he querido firmar en papel, (o sea SIEMPRE menos la primera vez, que me pilló de sorpresa) hay que reconocer que con más o menos follón me lo han permitido (dudo que OpenCor haga lo mismo). De todas formas, no se explica a ningún cliente la opción de dar o no ese dato personal (el más íntimo de todos: la firma), y en tal caso el tratamiento que se dará a ese dato: condiciones de conservación, modificación (?), cancelación, etc. Estoy preparando una denuncia ante la Agencia de Protección de Datos. Si alguien quiere firmarla conmigo (en papel) o ayudarme, decídmelo por favor.
Por poringus, @ 11:06 a. m.
Publicar un comentario
<< Home