Tenemos una nueva resolución (https://www.aepd.es/documento/ps-00176-2024.pdf) de la Agencia Española de Protección de Datos (AEPD) en la que nos recuerda que el tratamiento de datos, una vez estos han sido bloqueados, no puede continuar bajo ningún pretexto que no esté claramente justificado por la normativa.
En este procedimiento sancionador, el titular de los datos solicitó la cancelación de su tarjeta de crédito con una empresa en noviembre de 2022, y la empresa confirmó el bloqueo de sus datos tras la solicitud. Hasta aquí, todo en orden. Sin embargo, cuando ese mismo titular de los datos quiso contratar una nueva tarjeta, casi un año después, la empresa accedió a sus datos bloqueados para denegarle una promoción de “nuevo cliente”.
Según la AEPD, esta acción constituye un tratamiento de datos no permitido. Aunque los datos estén bloqueados (como exige la ley), no se pueden usar activamente para tomar decisiones comerciales u operativas, salvo contadas excepciones (como una obligación judicial o administrativa).
¿Qué dice la normativa?
El artículo 32 de la LOPDGDD es rotundo: los datos bloqueados no deben tratarse para ninguna finalidad salvo su puesta a disposición de jueces, autoridades o para el ejercicio de derechos legales específicos. No se permite su uso para “cotejos” internos o decisiones empresariales como las que tomó Iberia Cards.
Consecuencias y resolución
La AEPD impuso una sanción de 20.000 euros (reducida a 16.000 por pago voluntario). Además, remarca que aunque los datos bloqueados pueden conservarse por motivos legales, no deben utilizarse fuera de esos contextos. El intento de justificar el acceso a esos datos como parte del "interés legítimo" o cumplimiento contractual fue desestimado por completo.
Lección para las empresas: bloquear es el final, no una pausa
Este caso pone sobre la mesa un error común: pensar que el bloqueo es una forma de archivo congelado que puede reactivarse según convenga. No. Bloquear es aislar, restringir, y no volver a utilizar esos datos salvo en los casos expresamente contemplados por la ley.
Como sabéis y os insistimos mucho, toda organización debe revisar exhaustivamente sus procesos de bloqueo y supresión. En primer lugar, y fundamental, bloqueando los datos cuando la finalidad de tratamiento ya ha terminado.
Y, en segundo lugar, una vez que los datos ya han sido bloqueados, porque ya no hay vuelta atrás.
Redactado por Elena, a fecha 23 de abril de 2025.