British Airways protagonizó un embarazoso suceso por septiembre del año pasado. Una brecha en sus sistemas informáticos dejó al descubierto los datos personales de cientos de miles de usuarios, que pasaron a manos de un grupo criminal que ya había atacado los servidores de Ticketmaster. Ahora, la matriz de Iberia vuelve a ser noticia. Las autoridades británicas han determinado que dicho incidente solo fue posible porque las medidas de seguridad desplegadas por la aerolínea para proteger los datos de sus clientes eran negligentes, motivo por el cual se expone a la mayor sanción jamás impuesta por quebrantar la GDPR.
En total, British Airways podría terminar pagando 183 millones de libras, que equivalen a unos 204 millones de euros al cambio actual. Hasta ahora ninguna otra compañía ha recibido un castigo semejante por no proteger los datos de sus usuarios o realizar un tratamiento inadecuado de los mismos. Ni siquiera Google, sancionada en Francia con 50 millones de euros por capturar información sin un consentimiento válido.
Aunque salieron a la luz en septiembre, se cree que los ataques comenzaron a tener lugar a mediados del año pasado. Atacantes no identificados desplegaron un sitio falso de British Airways a través del cual se hicieron con los datos personales de 500.000 clientes. Para ello se valieron del uso de medidas de seguridad deficientes en los mecanismos de identificación, pagos y gestión de reservas.
Los responsables del ataque lograron así obtener nombres completos, direcciones de correo electrónico y tarjetas de crédito completas, incluyendo números, fechas de caducidad e incluso códigos CVV, a pesar de que British Airways ha dicho que no almacenaba estos últimos.
"Los datos personales de la gente son eso: personales. Cuando una organización fracasa a la hora de protegerlos frente a pérdidas, daños o robo, es más que una simple molestia. Por eso la ley es clara: cuando se te confían datos personales, debes protegerlos. Aquellos que no lo hacen se enfrentarán al escrutinio de mi departamento para comprobar que han tomado las medidas adecuadas", ha señalado Elizabeth Denham, Comisaria de Información del Reino Unido.
Según señala la nota de prensa, la oficina de protección de datos británica "considerará cuidadosamente las declaraciones realizadas por la compañía y otras autoridades relacionadas con la protección de datos antes de tomar su decisión final".
La Ley General de Protección de Datos, también conocida como GDPR, permite sancionar a las compañías que infrinjan la legislación europea en materia de privacidad con sanciones económicas de hasta el 4 % de sus ingresos globales. Según la BBC, en el caso de British Airways la multa se corresponde a aproximadamente el 1,5 % de su recaudación en 2017. Los EOLianos interesados en saber qué compañías han sido sancionadas y con qué cuantías pueden hacerlo usando el sitio GDPR Enforcement Tracker, basado en fuentes públicas.
