La compañía aérea British Airways (del grupo IAG, al que pertenece Iberia) va a enfrentarse a la multa por Protección de Datos más alta que se ha impuesto hasta el momento. La Oficina del Comisionado de Información de Reino Unido ha decidido tomar medidas ejemplarizantes ante una grave vulneración de la privacidad. Estamos hablando de una sanción con una cantidad superior a los 200 millones de euros (unos 183 millones de libras), lo que representa un 1,5% de la facturación anual de la compañía. La aplicación efectiva, por tanto, del Reglamento General de Protección de Datos de la Unión Europea («RGPD») desde que este entrara en vigor el 25 de mayo de 2018. Aunque la sanción podría haber sido mucho mayor, porque recordemos que el RGPD contempla hasta multas del 4% de la facturación global anual (en este caso, hasta 557 millones de euros). Pero queda claro que la tendencia es al alza, y que los avisos han dejado paso a la plena capacidad del Reglamento.
Los hechos de este caso se remontan al 7 de septiembre de 2018, cuando el sistema de British Airways fue hackeado, viéndose comprometidos los datos bancarios de más de 240.000 clientes. En concreto, los hackers lograron acceder a datos de inicio de sesión, pago y reserva; nombres, direcciones, email, datos de tarjetas bancarias (número, caducidad y código de seguridad)… Y, como si no fuera suficiente esta delicada situación, la compañía aérea admitió que otros 185.000 clientes sufrieron el robo de sus datos financieros entre el 21 de abril y el 28 de julio de ese mismo año. Estaríamos hablando, pues, de casi medio millón de personas afectadas.
La Oficina del Comisionado de Información de Reino Unido concluye que British Airways no tomó las medidas de seguridad adecuadas para protegerse de los ataques informáticos a los que estaba expuesta, incumpliendo lo dispuesto lo dispuesto en el RGPD respecto a la protección desde el diseño. Tampoco informó de la brecha de seguridad en las horas posteriores al ataque, lo que impidió a los autoridades y a los afectados tomar las medidas oportunas de seguridad. Ahora queda por ver si la compañía inglesa recurre (tiene 28 días), y cuál será la decisión final en este episodio. Aunque una cosa es evidente. El interés general debe prevalecer, y la opacidad de cualquier organización en relación a la privacidad de las personas tiene consecuencias.
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].
