Hiszpański organ ochrony danych osobowych (AEPD) ukarał spółkę za niezgodne z prawem przetwarzanie danych osobowych. Kara jest efektem postępowania wszczętego na podstawie skargi osoby, której odmówiono udzielenia kredytu. Przyczyną do odmowy były informacje dotyczące niespłacenia zobowiązań zaciągniętych przez wnioskodawcę, które zamieszczono w systemie informacji kredytowej. Skarżący wskazał, że w przeszłości padł ofiarą kradzieży tożsamości, którą posłużono się w celu wyłudzenia środków pieniężnych. Z tego względu jego dane znalazły się w rejestrze dłużników. Skarżący poinformował o tym spółkę i policję.
AEPD stwierdził, że NBQ Technology nie miała podstaw do przetwarzania danych dotyczących zadłużenia. Dane te znalazły się w systemie informatycznym spółki niezgodnie z prawem. Za okoliczności obciążające administratora danych osobowych uznano także brak zachowania należytej staranności oraz bezpośredni związek pomiędzy przedmiotem działalności gospodarczej spółki, a przetwarzaniem danych osobowych klientów, co powinno pociągać za sobą profesjonalne podejście do kwestii dokonywania operacji na danych i ich bezpieczeństwa.