Por Patricia Giménez.- En noviembre de 2022, el reclamante canceló una tarjeta contratada con Iberia Cards, entidad emisora de tarjetas de crédito de la aerolínea Iberia. Conjuntamente, solicitó la supresión y el bloqueo de sus datos. No obstante, 11 meses después, pidió una nueva tarjeta con el fin, según los reclamados, de aprovechar las condiciones de bienvenida para nuevos clientes.
Cuando el cliente anuló su primera tarjeta, fue informado por la empresa de que conservaría sus datos -debidamente bloqueados- durante el plazo establecido legalmente. La imposibilidad de una supresión completa de datos bajo estos términos es, según la AEPD, legítima. Pero en un correo electrónico de octubre de 2023, Iberia Cards señalaba al reclamante que podían «tramitar la misma pero no le será aplicada la promoción para nuevo cliente, tal y como se indica en las condiciones de esta campaña, ya que usted es cliente de tarjetas comercializadas por nuestra entidad». Una de las ventajas que contemplaba dicha campaña era la exención del pago anual por la emisión.
Teniendo en cuenta este correo, en la resolución del expediente, de fecha 10 de marzo de 2025 (LA LEY 96/2025), la Agencia ha considerado que «la parte reclamada trató los datos del reclamante para otros fines distintos a los previstos por la normativa».
Los datos bloqueados, solo para las autoridades
La Agencia Española de Protección de Datos estima que la compañía de tarjetas de crédito no obró correctamente al consultar los datos bloqueados del antiguo cliente para acciones que no figuran en el artículo 32 de la LOPDGDD (LA LEY 19303/2018), relativo al bloqueo de datos. En él se dicta que, una vez que se han bloqueado, no se podrán tratar para ninguna finalidad salvo que haya un consentimiento del particular, o para ponerlos a disposición de «jueces y tribunales, del Ministerio Fiscal o de las Administraciones Públicas competentes, en particular las autoridades de protección de datos».
«El Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) y la LOPDGDD (LA LEY 19303/2018) establecen principios y obligaciones para los responsables de tratamiento. Y estos principios también implican que, una vez que los datos han sido bloqueados o suprimidos, deben quedar aislados de cualquier proceso o campaña comercial. Por tanto, hay que guardarlos en un cajón bajo llave», manifiesta Ramón Belda, director de Ontidata, asesoría especializada en materia de protección de datos. «Respetar los datos suprimidos y bloqueados es esencial, además, para garantizar la confianza de los ciudadanos en el sistema de protección de datos y en la transparencia de las entidades que los gestionan», añade.
La AEPD afirma que el sistema detectó que esa persona había sido beneficiario de la misma tarjeta en un periodo anterior, en lo que no existe ilegalidad alguna. Pero explica que «la recepción de una nueva solicitud o detección de coincidencia con un cliente reciente no implica el tratamiento de datos de las demás categorías que puedan estar guardados y bloqueados». En esta ocasión, los trataron, exclusivamente, para negarle la promoción por alta nueva.
La cuestión crucial es, según Ramón Belda, que «tras el bloqueo de los datos, Iberia Cards no estaba autorizada a acceder a ellos, a no ser que el extitular de la tarjeta hubiera dado el consentimiento, y no lo hizo».
Infracción por vulnerar el artículo 6.1 del RGPD
La Agencia, en consecuencia, imputó a Iberia Cards la comisión de una infracción por haber vulnerado el artículo 6 del Reglamento General de Protección de Datos de la Unión Europea (RGPD) (LA LEY 6637/2016), Licitud del tratamiento, cuyo apartado 1 especifica los supuestos en los que el tratamiento de datos de terceros es considerado lícito.
Conforme a dicho artículo, se actúa lícitamente cuando el interesado ha dado su consentimiento -siempre para fines específicos-; cuando el tratamiento es necesario para la ejecución de un contrato o aplicar medidas contractuales; si es imprescindible para cumplir una obligación legal que recaiga en el responsable de los datos; si es vital para la persona; por interés público o, por último, «para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los derechos y libertades fundamentales del interesado». En este caso, la AEPD considera que «la entidad trató de manera ilícita los datos personales del reclamante, al no constar el consentimiento».
En palabras del director de Ontidata, «la resolución de la Agencia Española de Protección de Datos (LA LEY 96/2025) contra Iberia Cards pone de manifiesto un conflicto entre la gestión comercial de clientes y el cumplimiento estricto del RGPD. Esto nos lleva a una pregunta: ¿cómo pueden las empresas proteger sus iniciativas y modelos de negocio sin vulnerar en lo más mínimo los derechos de los consumidores en términos de privacidad y protección de datos, como ha ocurrido aquí? La agencia ha dado una respuesta impecable aplicando los criterios de la ley, pero la justicia que se ha hecho es discutible. No hay que olvidar que, conforme expone Iberia Cards, todo apunta a que el cliente final intentaba estratégicamente aprovecharse de una oferta».
Pago de la multa con reducción de 4.000 euros
La sanción impuesta, que se tipifica en el artículo 83.5 del RGPD (LA LEY 6637/2016) y en el 72.1 de la LOPDGDD (LA LEY 19303/2018) (en este último como muy grave), finalmente fue de 20.000 euros, una vez aplicados los criterios de graduación. Pero el 28 de febrero de 2025, Iberia Cards procedió al pago de 16.000 ateniéndose a posibilidad de una reducción del 20%, que era posible si el ingreso efectuaba antes de la finalización del procedimiento. Además, la empresa ha renunciado expresamente a cualquier acción o recurso en vía administrativa contra la sanción.