La superposición entre GDPR y PCI DSS genera confusión en muchas empresas que aceptan pagos con tarjeta. La creencia de que las dos normativas son equivalentes o de que cumplir una implica cumplir la otra es errónea y potencialmente costosa. El GDPR y el PCI DSS nacen de contextos distintos, regulan aspectos diferentes y en caso de infracción activan mecanismos sancionadores separados que pueden acumularse. Conocer las diferencias concretas es fundamental para construir una estrategia de cumplimiento que no deje ningún frente descubierto.
GDPR vs PCI DSS: objetivos distintos, obligaciones distintas
El GDPR es un reglamento europeo con fuerza de ley directa en todos los Estados miembros. Su objetivo es proteger los derechos fundamentales de las personas físicas en relación con el tratamiento de sus datos personales. Se aplica a cualquier organización que trate datos de personas físicas en la UE, independientemente del sector. El PCI DSS es en cambio un estándar técnico y contractual promovido por el PCI Security Standards Council, fundado por los principales circuitos de pago. Su objetivo es proteger los datos de pago durante las transacciones y reducir el fraude. Se aplica a cualquier sujeto que almacene, transmita o procese datos de tarjetas de pago de los circuitos adherentes.
Las obligaciones concretas son distintas. El GDPR exige una base jurídica para cada tratamiento, respuesta a los derechos de los interesados (acceso, supresión, portabilidad), nombramiento de un DPO en ciertos casos, registro de actividades de tratamiento y notificación obligatoria a la autoridad de control en caso de brecha en un plazo de 72 horas. El PCI DSS exige cifrado de los datos de tarjeta, segmentación de red del CDE, vulnerability scanning trimestral, penetration test anual, gestión de accesos privilegiados con MFA y registros de auditoría continuos. Algunas medidas son compartidas (cifrado, control de accesos), pero la mayoría es específica de cada estándar.
Los datos de tarjeta bajo ambas normativas
Los datos de tarjeta de pago contienen casi siempre datos personales: el nombre del titular, el número de cuenta (PAN), la fecha de vencimiento y a veces la dirección de facturación. Esto significa que el mismo conjunto de datos está regulado simultáneamente por el GDPR (como datos personales) y por el PCI DSS (como datos de pago). El tratamiento de estos datos exige por tanto el cumplimiento de ambas normativas: disponer de una base jurídica GDPR para el almacenamiento de los datos de tarjeta no exime de la obligación PCI DSS de cifrar ese dato y protegerlo con los controles técnicos exigidos por el estándar.
La tokenización es una de las pocas herramientas que ayuda en ambos frentes. Sustituir el PAN por un token no reversible reduce el número de registros de datos personales en riesgo (beneficio GDPR) y reduce el perímetro del CDE (beneficio PCI DSS). No elimina todas las obligaciones de ambas normativas, pero reduce significativamente el área de exposición y el coste global del cumplimiento. Para los comerciantes que almacenan datos de tarjeta para pedidos recurrentes, la tokenización es a menudo la única solución práctica que satisface simultáneamente los requisitos de ambos marcos.
En caso de brecha: notificaciones y sanciones que se acumulan
Una brecha que expone datos de tarjeta activa obligaciones de notificación separadas bajo las dos normativas. Bajo el GDPR, el responsable del tratamiento debe notificar a la autoridad de control en un plazo de 72 horas desde que la descubra si la brecha presenta un riesgo para los derechos y libertades de los interesados. Si el riesgo es elevado, debe notificar también a los propios interesados. Bajo el PCI DSS, el comerciante debe notificar inmediatamente al adquirente y seguir los procedimientos de respuesta ante incidentes del esquema de pago, que habitualmente incluyen una investigación forense obligatoria a cargo del comerciante.
Las sanciones no se excluyen mutuamente. La autoridad de protección de datos puede aplicar hasta el 4% del volumen de negocio global anual por infracciones graves del GDPR. El adquirente, por vía contractual, puede aplicar sanciones PCI DSS que van desde unos pocos miles de euros al mes por incumplimiento continuado hasta sanciones únicas significativas en caso de brecha documentada. A estos se suman los costes de la investigación forense (entre 50.000 y 500.000 euros para brechas de mediana envergadura), el reembolso de los contracargos fraudulentos sobre las tarjetas comprometidas y los posibles costes de sustitución de tarjetas impuestos por los emisores. La doble exposición normativa convierte la brecha en un evento con costes muy superiores a lo estimado en la fase de evaluación de riesgos si no se considera la interacción entre los dos marcos.
Preguntas frecuentes
¿El responsable del tratamiento GDPR coincide con el comerciante PCI?
No necesariamente. Un comerciante puede ser responsable del tratamiento GDPR (decide las finalidades del tratamiento de los datos de los clientes) y al mismo tiempo comerciante PCI (acepta tarjetas de pago). Pero si el comerciante utiliza un proveedor de servicios de pago, ese proveedor será típicamente un encargado del tratamiento GDPR para los datos de tarjeta y un proveedor de servicios PCI DSS. Las dos cadenas de responsabilidad coexisten en paralelo y deben formalizarse con acuerdos apropiados (DPA para el GDPR, acuerdo de servicio con atestación PCI para el PCI DSS).
¿La seudonimización GDPR equivale a la tokenización PCI?
Son conceptos relacionados pero no equivalentes. La seudonimización GDPR (art. 4) es un proceso que hace que los datos personales no sean atribuibles a un interesado específico sin información adicional. La tokenización PCI sustituye el PAN por un token no reversible en el contexto del comerciante. Una tokenización fuerte puede satisfacer los criterios de seudonimización del GDPR, pero la seudonimización GDPR no implica automáticamente el cumplimiento de los requisitos técnicos de tokenización del PCI DSS. Ambos estándares deben verificarse por separado.
¿Debo nombrar un DPO si acepto pagos con tarjeta?
La obligación de nombrar un DPO (Data Protection Officer) depende del tipo y la escala del tratamiento, no específicamente de la aceptación de tarjetas. Un comerciante de e-commerce medio no está automáticamente obligado a nombrar un DPO solo por aceptar tarjetas. La obligación surge para empresas que tratan datos a gran escala, que realizan monitorización sistemática de los interesados o que tratan categorías especiales de datos. Consulta a tu asesor jurídico para una evaluación específica.
Cumplimiento doble con una sola integración: la tokenización reduce el perímetro de exposición tanto del GDPR como del PCI DSS. Descubre PCI Proxy EU.