La AEPD ha sancionado a Iberia Cards por una vulneración del artículo 6.1 del Reglamento General de Protección de Datos (RGPD), por tratar los datos una vez suprimidos y bloqueados sin constar el consentimiento del interesado para tratar los datos personales. La sanción propuesta es de 20.000€ quedando reducida finalmente a 16.000 euros por pago voluntario.
Los hechos se remontan a noviembre de 2022 cuando la parte reclamante solicita la cancelación de la tarjeta, y el contrato, que mantenía con Iberia Cards. La reclamada, inmediatamente le confirmó la cancelación de la tarjeta, la supresión y el bloqueo de sus datos.
En octubre de 2023, la reclamante solicitó de nuevo la contratación de una tarjeta, aparentemente con el objetivo de aprovechar los beneficios para los nuevos clientes, algo que Iberia Cards le denegó informando en un correo electrónico que no es posible contratar la tarjeta con los beneficios de un cliente nuevo dado que el reclamante ya había sido cliente anteriormente.
Sobre esta premisa, el reclamante presenta una reclamación ante la Agencia Española de Protección de Datos (AEPD) dado que considera que sus datos han sido tratados, cuando los mismos habían sido suprimidos y bloqueados.
La parte reclamada acredita en su contestación a la AEPD que trató los datos de la parte reclamante que debían estar bloqueados, si bien alegaba que el tratamiento realizado (comprobar si el solicitante de la nueva tarjeta había sido ya cliente y, por tanto, no podría beneficiarse de la promoción de bienvenida específicamente diseñada para nuevos clientes) se amparaba en los derechos derivados del contrato de tarjeta originariamente suscrito.
La AEPD afirma que no es competencia suya valorar la existencia o no de buena fe en la actuación de una determinada operación contractual, sino únicamente determinar, en caso de reclamación, si la conducta comunicada supone la comisión o no de una de las infracciones contempladas por la normativa.
Entrando en el análisis desde la perspectiva de protección de datos, una vez que se han bloqueado los datos, no se podrán tratar para ninguna finalidad salvo aquellos supuestos indicados en el artículo 32 de la Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD), es decir, la puesta a disposición de los datos a jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular a las autoridades de protección de datos, para la exigencia de responsabilidades. Transcurrido el plazo de prescripción se procederá a su destrucción.
Por lo tanto, en el caso que nos ocupa, la parte reclamada trató los datos del reclamante para otros fines, no amparados en el artículo 32 de la LOPDGDD, a pesar de que los mismos estaban suprimidos y que el bloqueo imposibilita determinadas operaciones de tratamiento, lo cual implica un tratamiento ilícito y contrario al RGPD.