Hiszpański organ ochrony danych osobowych (AEPD) nałożył karę na Bankinter Consumer Finance, E.F.C., S.A. za naruszenie art. 6 ust. 1 RODO na podstawie skargi złożonej przez osobę, której dane dotyczą.
Skarżący skontaktował się z Bankinter Consumer Finance po tym, jak za pomocą jego karty bankowej dokonano licznych wypłat środków z jego konta. Wypłat tych nie dokonał skarżący, lecz nieuprawniona osoba trzecia. Skarżący dowiedział się, że bez jego wiedzy bank wydał duplikat jego karty i wysłał go pod inny adres niż jego własny. Przestępca, który wykradł środki skarżącego, wielokrotnie zmieniał numer telefonu powiązanego z kontem bankowym. Podszycie się pod skarżącego ułatwiła nieprawidłowa procedura uwierzytelniania wdrożona przez bank, ponieważ proces ten wymagał podania jedynie łatwo przewidywalnych informacji.
AEPD stwierdził, że Bankinter Consumer Finance przetwarzał dane osobowe skarżącego bez odpowiedniej podstawy prawnej, ponieważ jego numer telefonu został usunięty, a jednocześnie nowy numer telefonu został przypisany do konta bankowego bez jego wiedzy i akceptacji.