Una brecha de seguridad podría conducir a una multa de 183 millones a British Airways.
El RGPD impone severas multas por incumplimiento de las disposiciones recogidas en su normativa, que pueden alcanzar los 20 millones de euros o el 4 % del volumen de negocio total anual global del ejercicio financiero anterior. La multa de 183.39 millones de libras prevista para British Airways supondría la mayor sanción jamás impuesta desde que el RGPD comenzó a aplicarse. Es el equivalente al 1.5 % del beneficio total anual de British Airways en el año anterior.
¿Cuáles son los hechos?
La multa viene motivada por el robo de información personal y financiera de sus clientes entre junio y septiembre de 2018, desde la web de British Airways y su aplicación móvil. Inicialmente, la aerolínea informó de que los datos de en torno a 380.000 tarjetas de crédito y débito habían sido comprometidos, pero la ICO afirmó que se trataba de información personal de 500.000 clientes.
Conforme a las investigaciones de la ICO, el incidente se originó al derivarse la web de British Airways a otro portal fraudulento, a través del cual los hackers captaron los datos de los afectados.
La ICO sostiene que la notificación inicial de multa de 183.39 millones de libras supondría en caso de materializarse el mayor importe por sanciones jamás impuesto.
La inspectora de la ICO Elizabeth Denham afirmó que: “La información personal de las personas es precisamente eso, personal. Siempre que una empresa no cumple con su deber de protección frente a pérdidas, daños o robos, se generan importantes consecuencias. Por este motivo la ley es clara: cuando a alguien se le confían datos personales debe protegerlos. Aquellos que no lo hagan tendrán que someterse a examen para comprobar que han implementado las medidas adecuadas para proteger el derecho fundamental a la privacidad”.
¿Qué información fue robada?
De acuerdo a la ICO, una variedad de información se vio comprometida por las escasas garantías de seguridad aplicadas por la compañía, incluidos los procesos de registro, pago con tarjeta y reservas.
Por su parte, British Airways indicó que los datos robados incluían nombres, direcciones de email, y detalles de las tarjetas de crédito como números, fechas de caducidad y código CVV.
Los reguladores de protección de datos de otros países europeos también participarán de la cuantía de la multa debido al impacto del suceso en sus ciudadanos. El dinero de la sanción se dividirá entre las autoridades de control europeas y, en concreto, la parte del ICO se destinará a Hacienda.
