Según la exposición de hechos, tras la cancelación de una tarjeta de Iberia Cards, y bloqueados los datos personales a petición de su titular, con ocasión de la solicitud de una nueva tarjeta, menos de un año después, la mercantil realizó un tratamiento no consentido de los datos bloqueados, con el fin de conocer el contrato que tenía antes de la supresión y negarle la promoción por alta nueva de la que pretendía beneficiarse.
El artículo 32 de la LOPDGDD (LA LEY 19303/2018) exige al responsable el bloqueo de los datos, que imposibilita determinadas operaciones de tratamiento, pero no supone automáticamente su borrado físico. El bloqueo tiene el propósito de reservar los datos para evitar su tratamiento activo o visualización, quedando estos a disposición de los Tribunales, el Ministerio Fiscal u otras Administraciones públicas competentes, en particular las autoridades de protección de datos personales, para las exigencias de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de estas las mismas, pero no implica una restricción al derecho de acceso del titular, ya que atender dicho acceso no implica un tratamiento de datos en sí, sino el ejercicio del cumplimiento de una obligación que impone la normativa de protección de datos personales.
Para la Agencia, es irrelevante a estos efectos que hubiera podido existir transgresión de la buena fe contractual por parte del reclamante al cancelar su contrato de tarjeta y, seguidamente en un corto periodo de tiempo, solicitar nuevas tarjetas con idénticas características. Respecto al responsable del tratamiento, Iberia Cards, el respeto al principio de licitud de los datos exige que conste acreditado que el titular de los datos consintió en el tratamiento de los datos de carácter personal y exige que se prueba que desplegó una razonable diligencia.
En el caso, constan indicio suficiente para afirmar que Iberia Cards incurrió en una conducta que podría vulnerar el artículo 6.1 del RGPD (LA LEY 6637/2016) pudiendo ser constitutiva de la infracción tipificada en el artículo 83.5.a) del citado Reglamento 2016/679 (LA LEY 6637/2016) que se sanciona con una multa de 20.000 euros que la reclamada asume y que por pronto pago se reduce a 16.000 euros.