Iberia Cards, sancionada con 20.000 euros por tratar de manera ilícita los datos de un antiguo cliente

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 20.000 euros a Iberia Cards (Sociedad Conjunta para la emisión y gestión de medios de pago EFC. S.A) por realizar un tratamiento ilícito de los datos personales de un antiguo cliente.

En concreto, ante la solicitud de una persona de contratar una tarjeta con las condiciones y beneficios de como si fuera un cliente nuevo, Iberia Cards consultó los datos de dicha persona en su base de datos con el fin de conocer qué contrato había existido con anterioridad entre ellos, y gracias a esa consulta, la empresa denegó al cliente la promoción por alta nueva.

Por tanto, Iberia Cards consultó unos datos que debían estar suprimidos y bloqueados, ya que la relación contractual entre ambos había finalizado 11 meses antes, realizando así un tratamiento no lícito de los datos personales del cliente, al no constar el consentimiento para dicho tratamiento.

El caso

La resolución dictada por la AEPD (disponible en el botón ‘descargar resolución’) llega a raíz de que un antiguo cliente de dicha mercantil sancionada interpusiera ante la Agencia una reclamación contra Iberia Cards.

El reclamante, y antiguo cliente de la empresa, había iniciado una relación contractual con Iberia Cards en noviembre de 2021, cuando formalizaron la contratación de una tarjeta principal. Además el consumidor también contrató expresamente la emisión de una tarjeta adicional asociada a su cuenta y tarjeta principal. Por tanto, se trataba de un único contrato con dos tarjetas asociadas.

Un año más tarde, en noviembre de 2022, el reclamante solicitó la cancelación de las tarjetas, así como la supresión de sus datos por dejar de ser cliente del Iberia Cards. La empresa, pro su parte, le confirmó en esa fecha la cancelación de las tarjetas, así como la supresión y el bloqueo de sus datos.

Sin embargo, casi un año después, en octubre de 2023, cuando la reclamante solicitó una nueva tarjeta con la correspondiente promoción como nuevo cliente, Iberia Cards le comunicó la imposibilidad de aplicar las condiciones de nuevo cliente porque esta persona ya había sido cliente con anterioridad de tarjetas comercializadas por dicha entidad, por lo que podía contratar la tarjeta pero no le sería aplicada la promoción para nuevo cliente.

(Imagen: Iberia Cards)

Iberia Cards bloqueo los datos del cliente, pero los conservó

La AEPD dio traslado de dicha reclamación a la parte reclamada (Iberia Cards), a lo que está contestó indicando que desde el momento en que dio cumplimiento de la solicitud de borrado (noviembre de 2022) los datos del reclamante quedaron bloqueados del sistema, sin embargo, la compañía tenía la obligación de conservar los mismos —debidamente bloqueados— por los plazos de prescripción establecidos en el Reglamento General de Protección de Datos (RGPD), con el fin de atender posibles reclamaciones o responsabilidades derivadas de la relación mantenida con el reclamante.

Por tanto, de conformidad con la oferta y los términos y condiciones aceptados por el reclamante cuando suscribió su contrato de tarjeta de crédito inicial, el sistema de Iberia Cards podía, durante 12 meses, cotejar la existencia del cliente y de un contrato reciente. La base legal que legitima este puntual y limitado tratamiento de datos es el cumplimiento de obligaciones pre-contractuales y contractuales (artículo 6.1 b) RGPD), así como para dar cumplimiento a las obligaciones legales de diligencia como medio de pago para evitar situaciones fraudulentas y cumplir con las estrictas normas de blanqueo de capitales (artículo 6.1 c) RGPD), así como el interés legítimo (artículo 6.1 f) RGPD).

Es decir, Iberia Cards defendía que la recepción de una nueva solicitud o detección de coincidencia con un cliente reciente no implicaba el tratamiento de datos de las demás categorías de datos que puedan estar guardados y bloqueados, salvo los que son necesarios para determinar que no se trata de un cliente nuevo.

De esta forma, Iberia Cards dio respuesta a la petición formulada por el reclamante, sin perjuicio del estado de bloqueo en el cual se encontraban los datos personales y a los que se accedió para responder a este ejercicio de derechos de protección de datos.

(Imagen: E&J)

Iberia Cards hizo un tratamiento ilícito de los datos

La Agencia Española de Protección de Datos acordó admitir a trámite la reclamación y, posteriormente, se acordó iniciar procedimiento sancionador a la parte reclamada.

La parte reclamada, Iberia Cards, presentó escrito de alegaciones. La primera alegación que hizo era relativa a que había tratado los datos del cliente mediante su supresión y que al haber sido suprimido los mismo, estos se bloqueaban y no podían ser utilizados para los supuesto recogidos en el artículo 32 de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales.

Sin embargo, la AEPD ha desestimado dicha alegación por cuanto ha quedado acreditado que Iberia Cards en su contestación al cliente en octubre de 2023 le indicaba que al quererse dar de alta nuevamente ya aparecía como antiguo cliente en la base de datos. “De aquí, que la parte reclamada trató los datos del reclamante para otros fines distintos a los previstos en la normativa”.

Por tanto, queda demostrado que se trataron los datos después de la supresión y bloqueo de los mismos para conocer el contrato que tenía la parte reclamante antes de la solicitud de supresión y en base a los mismos negarle la promoción por alta nueva.

(Imagen: DiseñodeStandsFerias.com)

En la segunda alegación hecha por Iberia Cards en su escrito de alegaciones, la mercantil defendía que actuó legítimamente y que cumplió con sus obligaciones de atender el ejercicio de los derechos de protección de datos del reclamante y, al mismo tiempo, contestó a este siguiendo sus instrucción a fin de ejercer su derecho de defensa ante posibles reclamaciones.

Pues el artículo 32 de la LOPDGDD exige al responsable el bloqueo de los datos, pero si bien dicho bloqueo imposibilita determinadas operaciones de tratamiento, no supone automáticamente su borrado físico. Por lo que el bloqueo tiene el propósito de reservar los datos para evitar su tratamiento activo o visualización (quedando estos a disposición de los Tribunales, el Ministerio Fiscal u otras Administraciones públicas competentes, en particular las autoridades de protección de datos personales), para las exigencias de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de estas las mismas.

Sin embargo, la AEPD también ha desestimado esta alegación por cuanto dicho precepto legal (artículo 32 LOPDGDD) “no puede interpretarse como una restricción al derecho de acceso del titular, ya que atender dicho acceso no implica un tratamiento de datos en sí, sino el ejercicio del cumplimiento de una obligación que impone la normativa de protección de datos personales”.

En ese sentido, la Agencia explica en la resolución que “las limitaciones o restricciones al derecho de acceso se encuentran establecidas en los artículos 12.5, 15.4 y 23 del RGPD, sin que, de acuerdo con las Directrices 01/2022 sobre los derechos de los interesados — Derecho de acceso adoptada el 28 de marzo de 2023—, existan otras exenciones o excepciones”.

La mercantil incumplió su obligación

Conforme a todo lo expuesto, la Agencia Española de Protección de Datos ha considerado que Iberia Cards cometió una infracción consistente en hacer un tratamiento ilícito de los datos personales del cliente, al no constar el consentimiento para dicho tratamiento.

Pues, la empresa ha acreditado a la Agencia, en su contestación, que trató los datos de la parte reclamante, los cuales debían estar bloqueados, y una vez que se han bloqueado los mismos no pueden ser tratados para ninguna finalidad, exceptuando la puesta a disposición de los datos a jueces y tribunales, el Ministerio Fiscal o Administraciones Públicas competentes.

Por tanto, Iberia Cards trató los datos después del cliente reclamante después de suprimirlos y bloquearlos, ello con el fin de conocer el contrato que tenía dicha persona con la empresa antes de la supresión y así poder negarle la promoción por alta nueva.

La conducta desplegada por Iberia Cards vulnera el artículo 6.1 del RGPD, siendo constitutiva de la infracción tipificada en el artículo 83.5 a) del citado Reglamento. En consecuencia, la AEPD ha sancionado con 20.000 euros a la empresa.