Scroll to top
es

Histórica sanción a British Airways en materia de protección de datos

Fecha: 19 de julio de 2019   |   Autor: Rebeca Pastrana

Hace una semana la autoridad competente en protección de datos personales de Reino Unido (Information Commissioner’s Office -en adelante ICO-), anunció las sanción más alta hasta la fecha en materia de protección de datos:  205 millones a British Airways, empresa perteneciente al grupo empresarial IAG (International Airlines Group), uno de los mayores grupos de aerolíneas a nivel mundial, entre las cuales se encuentra Iberia.

Antecedentes de la sanción

El 6 de septiembre de 2018 la aerolínea emitió un comunicado de prensa en el que informaba a sus clientes acerca del robo de datos personales a través de la plataforma de reservas de su página web y app. Tras conocerse este incidente de seguridad, la línea aérea tuvo una caída del 2,9% en la bolsa de Londres y de un 2,95% en el Ibex 35. Para paliar el daño reputacional, la compañía se vio obligada a pedir perdón a sus clientes y a responsabilizarse de los posibles daños económicos que éstos pudieran llegar a sufrir con motivo del robo de sus datos personales.

Siguiendo lo estipulado en el artículo 33 del RGPD sobre la obligatoriedad de notificar las violaciones de seguridad, British Airways notificó al ICO y, tras las oportunas investigaciones, se concluyó  que el inicio del incidente fue en junio de 2018 y estuvo ocasionado por el desvío del tráfico de usuarios del sitio web de British Airways hacia un sitio fraudulento a través del cual se recolectaron datos de, aproximadamente, 500.000 clientes. La información comprometida incluía claves de inicio de sesión, nombre y dirección, información tarjeta de pago y datos de reserva de viaje.

¿Por qué se multa a British Airways?

La investigación ha determinado que la brecha de seguridad se produjo por las deficientes medidas de seguridad adoptadas por British Airways, debido a que éstas no eran ni adecuadas ni suficientes para proteger los datos personales de sus clientes. La compañía aérea ya ha anunciado que recurrirá la resolución, por lo que tendremos que esperar la cifra definitiva.

Sin embargo, lo realmente interesante de la sanción a British Airways radica en su cuantía, puesto que ICO impuso una multa a Facebook de “sólo” 565.000 euros en relación con el escándalo de Cambridge Analytica (y que afectó a 2,7 millones de ciudadanos europeos). Si hacemos una comparación entre ambos casos, la sanción de ICO a Facebook se antoja pequeña, máxime teniendo en cuenta que esta semana la Comisión Federal del Comercio de EEUU ha aprobado la sanción de 5.000 millones de dólares a Facebook por dicho escándalo.

Hasta la fecha, el primer puesto del pódium de los sancionados lo ocupaba Google, que fue multado por la autoridad francesa con 50 millones de euros por no cumplir con los estándares de transparencia.

La colaboración se premia

Las autoridades de protección de datos ya lo han señalado y así lo confirma el informe anual del Comité Europeo de Protección de Datos: la colaboración se premia y, con seguridad, se seguirá premiando. Sin embargo, ya ha transcurrido el tiempo suficiente desde que las empresas conocían sus nuevas obligaciones en materia de protección de datos (recordemos que el RGPD entró en vigor en 2016 pero no fue aplicable hasta 2018), por lo que parece que se agota el argumento de la «novedad de la normativa» para excusar las deficiencias de la adecuación ante las autoridades. La colaboración se seguirá premiando, pero los deberes deberán están hechos.

La noticia de la sanción a British Airways se anunció la misma semana que la sanción por 110 millones de euros a la cadena hotelera Marriott International, Inc, un ejemplo más del cambio de tendencia.

En Ciberlex Consulting aportamos soluciones legales integrales a nuestros clientes para el cumplimiento y adecuación de su actividad empresarial a la regulación en materia de protección de datos personales. Nuestros más de 20 años de experiencia nos avalan y nuestro equipo de expertos ofrece una atención personalizada. Estamos a tu disposición en: info@ciberlexconsulting.com y (+34) 91 169 12 98.

Publicar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Nombre legal de empresa: Ciberlegal Consulting S.L.
Finalidad: Gestión de comentarios y valoraciones
Legitimación: Tu consentimiento expreso
Destinatario: servidores de Webempresa (actual hosting de esta web).
Derechos: Tienes derecho al acceso, rectificación, supresión, limitación, portabilidad y olvido de sus datos.