El Informe 127/2006 de la Agencia Española de Protección de Datos (AEPD) aborda la conservación de datos de carácter personal relativos a los números de tarjeta de crédito de clientes que realizan compras a través de una tienda en línea o telefónicamente. Este informe se enmarca en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
El informe destaca que el tratamiento de datos de tarjetas de crédito es necesario para la ejecución y cumplimiento de una relación contractual entre la empresa y el cliente, conforme al artículo 6.2 de la Ley Orgánica 15/1999. Esto implica que, en principio, no es necesario obtener el consentimiento previo del afectado para recopilar y tratar estos datos.
Sin embargo, la AEPD subraya que los datos deben ser adecuados, pertinentes y no excesivos en relación con la finalidad para la que fueron recogidos. Además, una vez que los datos dejen de ser necesarios para dicha finalidad, deben ser cancelados y, en su caso, bloqueados para cumplir con las obligaciones legales.
El artículo 16.5 de la Ley Orgánica 15/1999 establece que los datos deben conservarse durante los plazos previstos en las disposiciones aplicables o en las relaciones contractuales. Una vez concluida la relación negocial, procede la cancelación y, si es necesario, el bloqueo de los datos, que solo podrán ser conservados para el cumplimiento de obligaciones legales.
El informe también menciona que la cancelación de datos puede implicar su bloqueo, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales para la atención de posibles responsabilidades nacidas del tratamiento. Este bloqueo debe durar hasta que prescriban dichas responsabilidades, momento en el cual los datos deben ser suprimidos.
En cuanto a las medidas de seguridad, el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal, aprobado por Real Decreto 994/1999, establece diferentes niveles de seguridad según la naturaleza de los datos. Para los ficheros que contengan números de tarjeta de crédito, el nivel de seguridad aplicable es el básico.
El informe concluye que el responsable del tratamiento debe adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos y evitar su alteración, pérdida, tratamiento o acceso no autorizado. Estas medidas son esenciales para cumplir con la Ley Orgánica 15/1999 y asegurar una adecuada protección de los datos de carácter personal.