British Airways se enfrenta a una posible sanción de 204 millones de euros por la infracción del RGPD

El 8 de julio de 2019, la Agencia Británica de Protección de Datos (Information Commissioner’s Office o ICO) realizó una declaración sobre su intención de imponer una multa de 183,39 millones de libras (204 millones de euros aproximadamente) a British Airways (“B.A.”) por infringir el RGPD. Si bien la decisión sobre la cuantía de la multa aun no es firme, se trataría de la mayor multa por infracción del RGPD en Europa, casi cuatro veces superior a la impuesta en Francia contra Google.


Los hechos:

Según B.A., los hechos sucedieron entre el 21 de agosto hasta el 5 de septiembre de 2018. Durante este periodo, unos hackers desviaron el tráfico de usuarios que iba a la página web de B.A. a otra página fraudulenta similar a la original. En esta página falsa, los clientes continuaron insertando sus datos para comprar billetes de avión, lo que llevó a los hackers a recolectar datos de aproximadamente 500.000 clientes de B.A.

Entre los datos sustraídos de los clientes, se encuentran los datos de acceso a su cuenta de B.A., su número de tarjeta bancaria, su fecha de caducidad, el código de tres dígitos de seguridad (CVV), detalles de su viaje, nombre completo, y la dirección de su casa.


Lo que dice la ICO:

La investigación de la ICO determinó que la brecha de seguridad de datos personales fue posible como consecuencia de un pobre sistema de medidas de seguridad de la empresa. En este sentido, la Comisaria de Información, Elizabeth Denham ha declarado que:

“Los datos personales de la gente, es justo eso, personales. Cuando una organización fracasa en impedir su perdida, daño o robo, es más que una inconveniencia. Es por ello que la ley es clara – cuando se te confían datos personales, hay que velar por ellos. Aquellos que no lo hagan, se encontrarán con el escrutinio de mi agencia para comprobar que han tomado las medidas apropiadas para proteger el derecho fundamental de protección de datos.”

La ICO ha indicado que B.A. ha cooperado con la agencia en la investigación y que ha realizado mejoras en su sistema de seguridad. Asimismo, la ICO ha declarado que B.A. tendrá la oportunidad de defenderse contra la sanción, antes de que la ICO tome su decisión final respecto a la cuantía de la multa.


Conclusión:

Aunque no se menciona expresamente, parece evidente que la infracción concreta se trataría del artículo 32 del RGPD relativo a la seguridad del tratamiento, el cual dice así:

“1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo…”

La infracción del articulo 32 no es nueva, y ha supuesto ya varias multas en Europa, entre las que cabe destacar la multa a la Autoridad de Tierra de Malta, o la multa al hospital portugués Centro Hospitalar do Barreiro Montijo, y la multa a la empresa alemana de redes sociales “Knuddels.de”. En España todavía no hemos visto una sanción de la AEPD por la infracción de este artículo.

Lo que mas destaca de este caso concreto, es la enorme cuantía de la posible multa: 204 millones de euros. La infracción del articulo 32 del RGPD está regulada en su artículo 83.4 con un límite de “10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”, por lo que resulta evidente que la cuantía obedece a un porcentaje del volumen de negocio total anual de B.A.

Examinando los posibles agravantes que recoge el articulo 83.2 del RGPD para el cómputo de multas, y esto es únicamente nuestra opinión, entendemos que el punto a) del mismo artículo ha debido de tener especial relevancia: “la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido”.

Esto sería debido (i) al elevado número de personas afectadas: 500.000 aproximadamente, (ii) la duración en el tiempo de casi dos semanas de la brecha de seguridad sin que B.A. se percatara del problema, y sobre todo que (iii) como consecuencia del tipo de datos personales sustraídos, las personas afectadas son especialmente vulnerables a la clonación de tarjetas, robo de identidad o robo en sus domicilios en las fechas en las que se encontraban de viaje.

Por último, indicar que al estar IBERIA fusionada con B.A. los posibles clientes españoles afectados tendrán que dirigir sus quejas a la AEPD para que esta se coordine con la ICO.

Estaremos expectantes siguiendo el desarrollo de esta posible sanción, y la cantidad a la que finalmente asciende.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), que se dedica a la formación digital de empleados en materia de compliance penal y protección de datos personales a través de su plataforma online.

______

Para más información sobre abc Compliance, pulse aquí.

Comentarios

Subscribe
Notify of
guest
0 Comentarios
Inline Feedbacks
View all comments
Ir al TOP
0
Would love your thoughts, please comment.x