¿British Airways y la protección de datos?

Las sanciones contra organizaciones que violan el Reglamento General de Protección de Datos (RGPD) caen una tras otra.

Más de 200 millones de euros o lo que es lo mismo el 1.5% de su facturación en 2017, esta es la sanción impuesta a British Airways compañía perteneciente al grupo IAG (Iberia, British Airways, Level, Vueling Airlines y Aer Lingus) por la Agencia de protección de datos británica (Information Commissioner’s Office o ICO) como consecuencia de una fuga de información y, por tanto, la infracción del RGPD.

Situándonos en contexto, durante un periodo de más o menos 3 semanas del pasado año 2018, unos hackers, conocidos como grupo Magecart, produjeron una brecha de seguridad en la página web y en la app de la compañía, redirigiendo el tráfico de los usuarios que accedían a la página web de British Airways y enviándolos a otra página fraudulenta similar a la original.

Entre los datos de los clientes, se encuentran datos de acceso a su cuenta, su número de tarjeta bancaria, su fecha de caducidad, el código de seguridad (CVV), detalles de su viaje, nombre completo, y la dirección de su casa.

La ICO ha señalado, que la brecha de seguridad sucedió, como consecuencia de los deficientes controles de seguridad de la empresa.

British Airways ha colaborado con la ICO en la investigación y ha realizado mejoras en su sistema de seguridad. Ahora bien, British Airways, tendrá la oportunidad de defenderse contra la sanción.

El Artículo 32.1 del RGPD relativo a la seguridad del tratamiento, nos indica que:

 “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo…” y su sanción, aparece comprendida en el baremo indicado en el artículo 83.4 RGPD al decirnos que “tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”, lo cual encaja, ya que la sanción impuesta es del 1.5% de su facturación en el año 2017.

Respecto a los agravantes del artículo 83.2 del RGPD, para el cómputo de las sanciones, tiene especial relevancia el apartado a): “la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido”.

En nuestra opinión, esto se debe al número de personas afectadas: 500.000 aproximadamente, la duración de la brecha y, sobre todo, del tipo de datos personales sustraídos.

Teniendo en cuenta la citada sanción, hemos de prever que en España también puede suceder, y por ello las empresas españolas no están exentas del cumplimiento de la normativa de protección de datos.

De todas maneras, habrá que esperar al desarrollo la sanción, y la cantidad a la que la sanción finalmente asciende.