El Informe 0468/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo con la facilitación de información relativa a operaciones comerciales realizadas con tarjetas de crédito en España. La consulta se centra en si los proveedores de servicios de pago pueden compartir datos como el número de tarjeta, el código de procesamiento, el importe de la transacción y la identificación del comerciante beneficiario, sin incluir datos personales como el nombre, apellidos o dirección del titular de la tarjeta.
La AEPD señala que, según el artículo 2.3 del Reglamento de la Ley Orgánica 15/1999, los datos referidos a empresarios individuales y ligados exclusivamente a su actividad comercial o mercantil no están sometidos a la protección de datos. Sin embargo, esta excepción solo se aplica si el tratamiento de los datos se realiza en el ámbito empresarial y no para conocer información del propio sujeto en tanto consumidor individual.
En cuanto a los datos facilitados, la AEPD considera que, aunque no se incluyan datos identificativos del titular de la tarjeta, este sigue siendo identificable para el proveedor de servicios de pago. Por lo tanto, los datos facilitados se consideran de carácter personal conforme a la normativa de protección de datos.
La transmisión de estos datos implica una cesión o comunicación de datos de carácter personal, definida como «toda revelación de datos realizada a una persona distinta del interesado». Según el artículo 11.1 de la Ley Orgánica 15/1999, los datos solo pueden ser comunicados a un tercero con el previo consentimiento del interesado, salvo que exista una norma con rango de ley que otorgue cobertura a la cesión.
La Directiva 2007/64/CE y la Ley 16/2009 de servicios de pago en el mercado interior permiten el intercambio de datos personales entre proveedores de servicios de pago para la prevención, investigación y descubrimiento del fraude en los pagos, sin necesidad del consentimiento del interesado. Esta normativa ha sido trasladada al derecho español, permitiendo el tratamiento y cesión de datos personales en estos casos sin necesidad de informar al afectado.
En conclusión, la transmisión de datos planteada en la consulta está sometida a la Ley Orgánica 15/1999, pero está amparada por el artículo 11.2 a) de la misma, en conexión con el artículo 49.2 de la Ley 16/2009, que permite el intercambio de información necesaria para la prevención del fraude sin el consentimiento del interesado.