La superposición entre GDPR y PCI DSS es uno de los aspectos más malinterpretados en la gestión de los pagos digitales en Europa. Muchas empresas creen que cumplir una de las dos normativas agota las obligaciones sobre los datos de tarjeta. No es así: las dos disciplinas tienen finalidades distintas, se superponen parcialmente y en caso de brecha de datos pueden generar sanciones paralelas. Entender las diferencias es el primer paso para construir una estrategia de cumplimiento sólida.
GDPR y PCI DSS: dos normativas distintas, no alternativas
El GDPR es una normativa europea con fuerza de ley que protege los datos personales de los individuos. El PCI DSS es un estándar contractual definido por los circuitos de pago (Visa, Mastercard, Amex) que protege los datos de tarjeta durante las transacciones. El GDPR se aplica a cualquier empresa que trate datos de personas físicas en la UE. El PCI DSS se aplica a quien almacene, transmita o procese datos de tarjetas de pago, independientemente de su sede.
La diferencia fundamental tiene que ver con la naturaleza de la obligación: el GDPR impone requisitos legales con sanciones administrativas directas. El PCI DSS crea obligaciones contractuales entre comerciante, adquirente y circuitos de pago. Incumplir el GDPR expone a procedimientos por parte de la autoridad de control. No respetar el PCI DSS conlleva sanciones comerciales, revocación de la habilitación para aceptar tarjetas y costes de remediación impuestos por el adquirente. Ninguna de las dos normativas sustituye a la otra.
Dónde se superponen: los datos de tarjeta entre GDPR y PCI DSS
Los datos de tarjeta contienen casi siempre datos personales: el nombre del titular, el número de cuenta (PAN), a veces la dirección de facturación. Estos elementos entran en la definición de dato personal del GDPR, por lo que el mismo conjunto de datos está sujeto a ambas normativas. El GDPR exige una base jurídica para el tratamiento, minimización de datos y derechos del interesado. El PCI DSS exige cifrado, control de accesos, segmentación de red y monitorización continua del CDE (Cardholder Data Environment).
Algunas medidas técnicas satisfacen ambas normativas. La tokenización, por ejemplo, reduce el número de registros de datos de tarjeta en el perímetro empresarial, disminuyendo tanto el riesgo PCI como la exposición GDPR en caso de brecha. El cifrado en reposo y en tránsito es requerido por el PCI DSS pero también es una medida recomendada por el GDPR para reducir el riesgo para los interesados. No todas las medidas se superponen: los derechos de los interesados (acceso, supresión, portabilidad) no tienen equivalente en el PCI DSS, y a su vez los requisitos de segmentación de red del PCI DSS van más allá de lo exigido por la normativa de privacidad.
Brecha de datos: notificaciones y sanciones acumuladas
Una brecha que afecte a datos de tarjeta activa obligaciones paralelas bajo ambas normativas. El GDPR impone la notificación a la autoridad de control en un plazo de 72 horas desde la detección, si la brecha presenta un riesgo para los derechos de las personas físicas. Si el riesgo es elevado, hay que notificar también a los interesados. El PCI DSS exige en cambio la notificación inmediata al adquirente y a los esquemas, que activan procedimientos de respuesta ante incidentes con investigación forense obligatoria a cargo del comerciante.
Las sanciones no se excluyen entre sí. La autoridad de control puede aplicar sanciones de hasta el 4% del volumen de negocio global anual por infracciones graves del GDPR. En paralelo, el adquirente puede aplicar sanciones contractuales por incumplimiento del PCI DSS que van de 5.000 a 100.000 euros al mes, además de los costes del programa de remediación y las potenciales pérdidas vinculadas a contracargos fraudulentos. Un único incidente puede por tanto generar una doble exposición financiera que las empresas suelen subestimar en la fase de evaluación del riesgo.
Preguntas frecuentes
¿El GDPR cubre los datos de tarjeta en lugar del PCI DSS?
No. El GDPR protege los datos personales en general, incluidos los contenidos en los datos de tarjeta. El PCI DSS se ocupa específicamente de la seguridad de los datos de pago durante el procesamiento de las transacciones. Las dos normativas se aplican de forma acumulada: cumplir el GDPR no exime del PCI DSS y viceversa. Un comerciante que acepta tarjetas debe cumplir ambas.
¿Si cumplo el GDPR también cumplo el PCI DSS?
No necesariamente. Las dos normativas comparten algunas medidas técnicas (cifrado, control de accesos, minimización de datos), pero tienen requisitos específicos que no se superponen. El PCI DSS exige por ejemplo vulnerability scanning trimestral, segmentación de red del CDE y penetration test anual. Ninguna de estas obligaciones está exigida explícitamente por el GDPR.
¿Las sanciones del GDPR y del PCI DSS se suman?
En caso de brecha de datos que afecte a datos de tarjeta, sí. Las sanciones del GDPR son aplicadas por la autoridad de control y tienen naturaleza administrativa. Las sanciones del PCI DSS son aplicadas por el adquirente de forma contractual. No existe un mecanismo de compensación: una empresa puede recibir sanciones de ambos frentes por el mismo incidente, además de los costes de investigación forense, notificación a los interesados y posibles acciones de indemnización.
Gestionar GDPR y PCI DSS con una única infraestructura de tokenización reduce el perímetro de exposición en ambos frentes. Descubre PCI Proxy EU.