La autoridad francesa en materia de protección de datos (la Commission Nationale de l’Informatique et des Libertés, la CNIL) ha publicado recientemente un documento en el que analiza los aspectos que afectan a la normativa de protección de datos durante el proceso de pagos en línea.
La motivación para llevar a cabo este estudio se encuentra en el gran número de pagos en línea que se llevan a cabo en la actualidad (“el uso del pago sin contacto, descenso del uso del efectivo, transferencias entre particulares, euro digital, etc.”), medios cuyos detalles no resultan en realidad conocidos por el público general.
La CNIL afirma la existencia de una gran cantidad de datos personales que únicamente perderán esta consideración en el caso de ser totalmente anonimizados, de forma que no puedan ser relacionados, ni directa ni indirectamente, con ninguna persona física. Recordemos que la AEPD ha establecido que “los datos anónimos, no pueden asociarse con un individuo en particular. Una vez que los datos son realmente anónimos y los individuos dejan de ser identificables, dejan de estar incluidos en el ámbito de aplicación del RGPD”, en su documento “10 malentendidos relacionados con la anonimización”.
La CNIL identifica en todo este proceso de pago una amplia gama de datos personales, que clasifica en tres categorías:
-Datos de pago: entre ellos, encontraríamos las identidades tanto del pagador como del beneficiario, identificación de la cuenta de pago, IBAN, etc.
-Datos de compra: los productos que se han comprado, la fecha, el lugar, etc.
-Datos del comportamiento: datos sobre el terminal desde el que se lleva a cabo el pago, datos de la cuenta o tarjeta utilizada, por ejemplo.
También abre la CNIL la posibilidad de que, en determinadas circunstancias, el tratamiento de datos personales para pagos en línea pueda ser considerado tratamiento de categorías especiales de datos personales. Un ejemplo de ello sería el uso de datos biométricos para la identificación de la persona interesada.