La AEPD ha impuesto una sanción de 20.000 euros por la infracción del artículo 6.1 (licitud del tratamiento) del RGPD. No obstante, dicha sanción se ha reducido a 16.000 euros por cuanto la entidad ha hecho uso de una de las reducciones previstas, no reconociendo, en consecuencia, su responsabilidad.
El reclamante formalizó con la compañía un contrato por el que se emitía una tarjeta que permitía la realización de compras en diversos establecimientos. Con ocasión de la resolución contractual, el titular solicitó la cancelación de la tarjeta, así como la supresión de sus datos por haber dejado de ser cliente de la entidad. La compañía confirmó mediante correo electrónico tanto la supresión, como el consecuente bloqueo de los datos.
No obstante, 11 meses después, el titular solicitó una nueva tarjeta a la que debían aplicarse diversas ventajas o beneficios por ser nuevo cliente. La entidad envió respuesta en la que le informaba de que no se le podían aplicar estas condiciones ventajosas por cuanto había sido cliente en un periodo inferior a un año.
Tras esta respuesta, el afectado ejerció su derecho de acceso, siendo atendida dicha solicitud por la entidad sin perjuicio del bloqueo de la información, facilitando la identificación del número de la tarjeta, la fecha del contrato y la identificación del titular.
Admitida a trámite la reclamación con ocasión de una posible infracción del artículo 6 del RGPD, la entidad reclamada presentó escrito de alegaciones en el que ponía de manifiesto, entre otras cuestiones, lo siguiente:
- Que en la comunicación en la que se confirmaba el bloqueo de sus datos (así como en otros documentos, como, por ejemplo, los términos y condiciones de la tarjeta o la política de privacidad), se le informaba de manera transparente de la existencia de determinados supuestos en los que, pese a estar bloqueados, los datos podían ser tratados por la entidad. Entre estos casos, se hacía referencia al “ejercicio por parte de nuestra Compañía de aquellos derechos derivados de dicho contrato de Tarjeta”. Así, lo que la entidad ha llevado a cabo en esta ocasión es el ejercicio de uno de estos derechos relativo a la no aplicación de una promoción de bienvenida para nuevos clientes.
- En este sentido, se expone que los datos sí estaban debidamente bloqueados (en el back-end del sistema), salvo para las excepciones indicadas (nótese que el sistema de la entidad únicamente alertaba de la existencia de una relación contractual anterior a efectos de no aplicar nuevas promociones, pudiendo acceder sólo a datos identificativos -aquellos necesarios para comprobar que no es un cliente nuevo-). Así, se ponía como ejemplo el hecho de que, si el afectado llamaba al servicio de atención al cliente, ninguno de los operadores podían tener acceso a sus datos, ni conocer que había sido cliente con anterioridad. De este modo, el sistema de alertas indicado estaba configurado como medida de seguridad que permitía evitar fraudes u otros incidentes, sin que se impidiese por ello el acceso a una nueva tarjeta.
- En relación con lo anterior, se indica que el procedimiento de supresión es adecuado, puesto que, una vez se bloquean los datos, sólo resultan accesibles por el Administrador, dejando de estar visibles en las plataformas utilizadas por la entidad. Así, “desde el punto de vista de la operativa diaria, dicho cliente deja de aparecer en las bases de datos de IBERIA CARDS”.
- La base jurídica que legitima el tratamiento de estos datos es el cumplimiento de obligaciones precontractuales y contractuales (artículo 6.1.b del RGPD), el cumplimiento de las “obligaciones legales de diligencia como medio de pago para evitar situaciones fraudulentas” (artículo 6.1.c) del RGPD) o el interés legítimo de la entidad (artículo 6.1.f) del RGPD).
- Que el afectado ha actuado quebrantando la buena fe contractual, por cuanto canceló el contrato y, seguidamente en un plazo muy breve de tiempo, solicitó una nueva tarjeta, con idénticas características, para beneficiarse de las condiciones de nuevos clientes. Así, debido a que es habitual la existencia de este tipo de clientes, que generar un notable perjuicio a la entidad, con la finalidad de lograr el buen curso del negocio, así como proteger a aquellos otros clientes que actúan adecuadamente, se ha establecido este procedimiento que permite cotejar si el nuevo solicitante formalizó un contrato similar en el plazo de un año anterior.
A la vista de las alegaciones de la entidad, la AEPD ha declarado que, a pesar de las excepciones indicadas, el bloqueo de los datos implica que estos solo pueden ser tratados para su puesta a disposición de los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes. No obstante, en este caso “se trataron los datos después de la supresión y bloqueo de los mismos para conocer el contrato que tenía la parte reclamante antes de la solicitud de supresión y en base a los mismos negarle la promoción por alta nueva”. En este sentido, con independencia de la calificación de la actuación del afectado, la compañía trató sus datos, a pesar de la supresión y el bloqueo -que imposibilita determinadas operaciones de tratamientos-, para otros fines, lo que supone un tratamiento ilícito que infringe el artículo citado.
Resulta sorprendente que la AEPD tiene en cuenta, como circunstancia agravante, el hecho de que, como la compañía emite tarjetas de crédito -lo que implica el tratamiento de datos personales-, su operativa tiene una evidente vinculación con el tratamiento de datos.
Puede acceder a la resolución sancionadora de la autoridad de control aquí.