El Informe 0446/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda las implicaciones legales derivadas de un sistema implementado por algunas entidades de crédito, que consiste en reemplazar las firmas manuscritas en tarjetas de crédito y débito por la marcación de un código de identificación personal (PIN). Este sistema plantea preocupaciones sobre la protección de datos personales, especialmente cuando la marcación del PIN se realiza a la vista de empleados del establecimiento.
El informe comienza recordando que la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), es aplicable a los datos personales registrados en cualquier soporte físico y a su uso posterior por parte de los sectores público y privado. Según esta ley, los datos personales incluyen cualquier información concerniente a personas físicas identificadas o identificables.
La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, establece que las disposiciones sobre protección de datos se aplican al tratamiento automatizado de datos personales y al tratamiento no automatizado de datos contenidos en ficheros. Sin embargo, el informe concluye que la cuestión planteada no se refiere a un tratamiento de datos personales por parte del establecimiento, más allá del uso del número de la tarjeta para realizar la transacción, lo cual está amparado por el artículo 6.2 de la LOPD.
El informe subraya que la marcación del PIN por parte del titular de la tarjeta no implica un tratamiento de datos personales sujeto a la LOPD, siempre y cuando el establecimiento no recopile ni trate los datos relacionados con el PIN. Si el establecimiento realizara tal tratamiento, sí estaría sujeto a la LOPD, pero esta situación no es planteada en la consulta.
Además, el informe señala que la habilitación para realizar la actividad descrita y las condiciones de confidencialidad en la marcación del PIN no están reguladas por la LOPD, sino por la normativa específica aplicable al caso.
En conclusión, la AEPD determina que la cuestión planteada escapa al ámbito de aplicación de la LOPD, por lo que no corresponde a la Agencia pronunciarse sobre ella. La protección de datos en este contexto se rige por otras normas específicas que garantizan la confidencialidad y seguridad en la marcación del PIN.