La Oficina del Comisionado de Información de Reino Unido (ICO) ha multado a British Airways, con 183 millones de libras (203 millones de euros) por el robo de datos que sufrió la aerolínea británica el pasado verano. La compañía ya ha anunciado que interpondrá recursos contra la sanción, hecho para el que dispone de 28 días. Te contamos todos los detalles en este post de Conversia.

Tarjetas de crédito, sus fechas de expiración y los códigos de seguridad entre los datos comprometidos

British Airways se ha convertido, hasta el momento, en la compañía que ha recibido la multa más elevada impuesta por una autoridad de control en materia de protección de datos tras la plena aplicación del Reglamento General de Protección de Datos (RGPD), el pasado 25 de mayo de 2018. La Oficina del Comisionado de Información de Reino Unido (ICO) ha sancionado a la aerolínea con 183 millones de libras (203 millones de euros) por el robo de datos sufrido el pasado verano y del que nos hacíamos eco desde Conversia.

A pesar de que, en un primer momento, la compañía anunciara que el incidente había afectado a 380.000 clientes, que luego rebajó a 244.000, el informe del organismo sancionador revela que la brecha de seguridad podría haber afectado a 500.000 pasajeros. Entre los datos más comprometidos que habrían sido interceptados por los atacantes se encontrarían números de tarjetas de crédito, sus fechas de expiración y códigos de seguridad, nombres, apellidos, o direcciones físicas y de correo electrónico.

La multa impuesta por los reguladores británicos a British Airways representa el 1,5% de la facturación mundial en 2017 de la compañía. Recordemos que el RGPD permite sancionar con hasta el 4% de la facturación anual global de la empresa, por lo que la cifra podría haber llegado hasta los 500 millones de libras. Sin embargo, el importe de la multa se la más elevada impuesta hasta el momento en Europa y 366 veces superior a lo que pagó Facebook por el escándalo de Cambridge Analytica (500.000 libras) antes de la plena aplicación del RGPD.

La multa más elevada desde la plena aplicación del RGPD

Hasta ahora, la multa más elevada por infringir el RGPD correspondía a Google, que fue multada a principios de año con 50 millones en Francia, tal y como explicábamos en este post de Conversia. Para la Comisionada de Información del Reino Unido, Elizabeth Denham, el importe de la sanción a British Airways es elevado porque “los datos personales son solo eso, personales. Cuando una organización no puede protegerlos de pérdidas, daños o robos, es más que un inconveniente. Por eso la ley es clara: cuando se le confían datos personales, debe cuidarlos. Aquellos que no lo hagan se enfrentarán al escrutinio de mi oficina para verificar que hayan tomado las medidas adecuadas para proteger los derechos fundamentales de privacidad”. Sin embargo, el organismo admite que la aerolínea ha cooperado en todo momento en la investigación y ha hecho mejoras en sus medidas de seguridad desde que se tuvo conocimiento del incidente.

Estos 203 millones de euros correspondientes a la multa serán divididos entre todas las autoridades europeas de control en materia de protección de datos, ya que a pesar de que la investigación y la sanción ha sido llevada a cabo por ICO en Reino Unido, se ha hecho en nombre del resto de autoridades de Europa.

British Airways recorrerá la sanción

Por su parte, el presidente y consejero delegado de British Airways, Alex Cruz, mostró su “sorpresa” y “decepción” por la propuesta de sanción inicial de la ICO. El directivo destaca que la compañía respondió rápidamente al robo de datos de sus clientes, “sin recordar evidencia de fraude o actividad fraudulenta en las cuentas relacionadas con la sustracción”.

Asimismo, el consejero delegado de International Airlines Group (IAG), al cual pertenece la aerolínea británica, Willie Walsh, anunció que British Airways efectuará las alegaciones pertinentes ante el ICO. “Tenemos la intención de adoptar todas las medidas necesarias para defender vigorosamente la posición de la aerolínea, incluyendo cualquier apelación que se considere necesaria”, explicó Walsh.

Descubre más noticias sobre fugas de datos en este de Conversia.