El reclamante se dirigió al responsable del portal web BWIN para solicitar la supresión de sus datos personales, pero solo consiguió que le dieran de baja de las comunicaciones comerciales. Tras insistir, volvieron a rechazar su petición diciendo que los datos se han de conservar por 10 años, y le instaron a volver a realizar la solicitud pasado ese plazo.

Alega la reclamada, respecto a los usuarios que tenían acceso a los datos del reclamante tras tramitar la solicitud de cancelación, que una vez cerrada la cuenta, los datos se restringen solamente a los equipos que únicamente necesitarían el acceso para los casos limitados de acceso para cumplir con nuestras obligaciones legales. Por ejemplo, la información de la cuenta ya no será incluida en nuestra base de marketing o formará parte de los informes mensuales de juego responsable o en las bases de elaboración de perfiles.

La AEPD considera insuficiente lo aportado por la reclamada, y entiende que estamos ante una infracción del art. 13 RGPD, porque en ninguna de las políticas de privacidad de la reclamada, incluida la actual, se informa de forma adecuada del plazo de conservación de sus datos personales. Esto es así porque los datos tienen que conservarse para cumplir con una obligación impuesta por la ley de blanqueo de capitales, pero no se informa a los interesados ni de los plazos ni de los criterios.

Señala, siguiendo lo establecido por el a Grupo de Trabajo del artículo 29 Directrices sobre la transparencia, que el plazo de conservación debe formularse de tal forma que el interesado pueda evaluar, en función de su propia situación, cuál será el plazo de conservación para datos/fines específicos.

Así, no basta con que se indique, en términos genéricos, que los datos personales se conservarán tanto tiempo como sea necesario para los fines legítimos del tratamiento. Deben estipularse plazos de conservación distintos para las distintas categorías de datos personales o los distintos fines de tratamiento, y también, en su caso, los plazos de archivo.

Y en el presente caso se utilizó la siguiente fórmula genérica: “En los casos en los que tratemos tu información personal para cumplir con nuestras obligaciones legales, lo haremos de conformidad con todo periodo de conservación que así especifique la ley aplicable.”

Por tanto, considera la Agencia insuficiente la información aportada sobre el plazo de conservación por la parte denunciada, ya que podría informar al menos de la ley que impone el deber de conservación para que los interesados puedan conocer el plazo durante el cual se conservarán sus datos.

Además, ha de tenerse en cuenta como agravante la clara intencionalidad de la entidad reclamada para la comisión de los hechos objeto de este procedimiento sancionador, según el art. 83.2 b) RGPD, al no informar del plazo de conservación de los datos personales de la parte reclamante por hacerlo de una forma genérica, sin indicar siquiera de la ley que impone el deber de conservación para que los interesados puedan conocer el plazo durante el cual se conservarán sus datos.

Asimismo, otro agravante a tener en cuenta, según el art. 76 LOPDGDD, es la vinculación de la entidad reclamada con el tratamiento de datos personales.

Por todo ello la AEPD sanciona a la reclamada con 10.000 euros.

Resolución AEPD 212/2023