Kutxabank tendrá que solicitar nuevamente los datos de su cliente.
Una extraña forma de interpretar el Reglamento General de Protección de Datos (RGPD) ha llevado a Kutxabank a ser sancionado por la AEPD. Y es que la institución bancaria ha recibido una multa de 60 mil euros por intentar tratar datos personales que debían de estar bloqueados.
La sanción original era por el importe de 100 mil euros, pero fue reducida por el reconocimiento de responsabilidad y pronto pago. La sanción se produce debido a que Kutxabank le había pedido a un ex cliente que -para volver a establecer una relación comercial- debía firmar un documento en el que revocaba su derecho de supresión. Este derecho había sido ejercido con anterioridad por el cliente y había generado el bloqueo de sus datos personales.
Según el documento que debía firmar el cliente, también autorizaba a Kutxabank a desbloquear sus datos para volverlos a tratar. Todo en virtud de esta nueva relación jurídica que pretendía establecer con la reclamante.
Derecho de supresión y bloqueo
Pero en el análisis realizado por la AEPD, se indica que el RGPD no contempla la revocación del derecho de supresión. Y parece ser que, en este caso, Kutxabank quizá había confundido la supresión de datos con el bloqueo de datos.
El derecho de supresión de datos es la capacidad de una persona de pedirle al responsable de datos de una organización que elimine sus datos de carácter personal. Ya sea porque ya no son necesarios para el fin que motivó su tratamiento o porque simplemente revocó su consentimiento para dicho tratamiento. Este derecho está contemplado en el artículo 17 del RGPD.
De otro lado, el bloqueo de datos es, precisamente, uno de los efectos que puede producir la supresión. El artículo 32 de Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales explica de qué se trata: <<consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas>>.
Puede apreciarse, por tanto, que el bloqueo de datos limita el tratamiento de los mismos a supuestos muy concretos.
¿Entonces cuál es la solución?
En resumen, cuando un interesado ejerce ese derecho de supresión, el responsable del tratamiento puede bloquear algunos datos para tratarlos para finalidades muy concretas. Visto de forma más sencilla, el Responsable cogería esos datos que trataba anteriormente, los metería en un cajón, lo cerraría con llave y no los volvería sacar salvo para las finalidades ya expuestas.
Es por esto que la Agencia determina que cuando la interesada pretende establecer una nueva relación jurídica con la entidad, no cabe rescatar estos datos para volverlos a tratar. Incluso si los datos comparten los fines y las bases legitimadoras, no es una justificación para volver a tratar estos datos que estaban bloqueados, porque pertenecen a una relación anterior que ya ha finalizado.
Por tanto, si en este caso Kutxabank quería establecer esta nueva relación con la interesada, era necesario volver a recabar los datos y tratarlos en virtud de lo acordado. Y no así, pretender rescatar estos datos de la anterior relación.