La DPA espagnole (AEPD) a infligé une amende de 100 000 EUR à Kutxabank, SA. Suite à une plainte d'un ancien client, affirmant que la banque n'a pas donné suite à sa demande d'effacement de ses données, la DPA a ouvert une enquête contre le responsable du traitement. La personne concernée avait déjà été cliente de la banque dans le passé. À ce moment-là, il avait exercé son droit à l'effacement de ses données. Lorsqu'il a tenté d'ouvrir un nouveau compte auprès du responsable du traitement, il a été informé que cela n'était pas possible car ses données étaient toujours bloquées (en raison de sa précédente demande d'effacement). Le responsable du traitement a en outre informé la personne concernée qu'il devrait débloquer les données s'il souhaitait ouvrir un compte. A cet effet, un formulaire a été joint à la lettre. Le formulaire indiquait qu'en le signant, la personne concernée révoquait son droit d'effacement et permettait à ses données d'être (à nouveau) utilisées par le responsable du traitement. La DPA a constaté que le blocage temporaire des données ne correspond pas au droit d'effacement. La DPA a également souligné que les données supprimées ou bloquées ne peuvent pas être traitées à nouveau lorsqu'une nouvelle relation contractuelle est conclue avec le responsable du traitement, même si la nouvelle finalité de traitement est la même que la précédente. L'amende initiale de 100 000 euros a été réduite à 60 000 euros en raison du paiement immédiat et de la reconnaissance de culpabilité.