1. Por qué el RGPD afecta a las tarjetas
El plástico no es un dato personal, pero el identificador grabado en el chip junto con la base de datos que lo relaciona con un nombre sí lo es. Por eso cualquier sistema de tarjetas (acceso, fidelidad, pago) debe ajustarse al Reglamento General de Protección de Datos.
2. Aplicación práctica de los principios RGPD
| Principio | Qué hacer con la tarjeta |
|---|---|
| Licitud y transparencia | Entregar aviso de privacidad junto con la tarjeta. |
| Minimización | Grabar solo un código; los datos personales quedan en el servidor. |
| Limitación de plazo | Anonimizar las tarjetas inactivas tras 24 meses. |
| Integridad y confidencialidad | Cifrar chip y comunicaciones; controlar accesos al servidor. |
3. Registro de actividades de tratamiento
Documenta en tu empresa:
Finalidad (por ejemplo: “control de acceso a instalaciones”).
Base jurídica (normalmente, contrato con el empleado o socio).
Datos tratados (código de tarjeta, fecha y hora de uso).
Destinatarios (proveedor de hosting, servicio técnico).
4. Contrato con el impresor de tarjetas
Cuando La Fábrica de Tarjetas graba códigos o nombres actúa como encargado de tratamiento:
Firma acuerdo según artículo 28 RGPD.
Se compromete a borrar ficheros tras 30 días.
Permite auditoría anual.
5. ¿Necesitas una Evaluación de Impacto?
Solo si tu tarjeta combina datos sensibles, biometría o localización continua. En ese caso:
- Describe flujos de datos.
- Detecta riesgos (pérdida, acceso no autorizado).
- Define medidas: cifrado, retención, procedimientos de derechos.
6. Derechos del titular y cómo responder
| Derecho | Cumplimiento práctico |
|---|---|
| Acceso | Portal donde el usuario consulta sus movimientos. |
| Rectificación | Permitir cambiar correo o teléfono; no el código de la tarjeta. |
| Supresión | Anonimizar el código y destruir la tarjeta física. |
| Portabilidad | CSV con histórico de recargas y usos. |
7. Eliminación segura
Tarjeta: troquelar o guillotinar; enviar a reciclaje de PVC o PLA.
Base de datos: borrar lógico + hash irreversible del código.
8. Sanciones a evitar (ejemplos reales 2024)
Comercio de moda: 25.000 € por usar el número de tarjeta como usuario web sin aviso.
Gimnasio: 9.000 € por no atender solicitud de borrado en el plazo legal.
Salir bien desde el inicio cuesta menos que una multa.
9. Lista de verificación rápida
- Aviso de privacidad entregado con la tarjeta
- Código de tarjeta pseudonimizado
- Contrato de encargado con imprenta y hosting
- Procedimiento de derechos (acceso, borrado) documentado
- Política de retención automatizada
Cumplir el RGPD en tarjetas plásticas es cuestión de diseño y procesos: grabar el mínimo necesario, cifrar y documentar. Con La Fábrica de Tarjetas obtendrás grabado seguro, contrato de encargado y plantillas de registro para que tu proyecto nazca cumplidor.
