El pasado 31 de marzo de 2021, la Autoridad de Protección de Datos Holandesa (“DPA Holandesa”) impuso una multa de 475.000 euros a la entidad Booking.com (“Booking”) por comunicar una brecha de seguridad de datos personales a la DPA Holandesa fuera de plazo.

Según la resolución de la DPA Holandesa, Booking tuvo conocimiento de la infracción el 13 de enero de 2019, pero no notificó la brecha de seguridad a la DPA Holandesa hasta el 7 de febrero de 2019.

Booking es una compañía digital holandesa que a través de una plataforma permite a viajeros buscar alojamiento en el país que desean visitar, y por otro lado permite a propietarios de inmuebles publicitar su propiedad para su alquiler a dichos viajeros. Booking es subsidiaria de la empresa cotizada Booking Holdings Inc con sede en EEUU, la cual tuvo en el 2019 unos ingresos de 13.727 millones de euros.

Hechos

El 19 de diciembre de 2018, unos hackers haciéndose pasar por empleados de Booking consiguieron engañar a los empleados de 40 hoteles en los Emiratos Árabes Unidos para que estos revelaran sus credenciales de acceso a la plataforma de Booking.

Con dichas credenciales los hackers accedieron a la plataforma Booking y obtuvieron acceso a los datos personales de más de 4.000 clientes con reservas en esos 40 hoteles, así como los datos de las tarjetas de crédito de 283 clientes.

Posteriormente, los hackers también intentaron engañar a los titulares de las reservas haciéndose pasar por empleados de los hoteles o de Booking con el fin de obtener los datos de sus tarjetas de crédito.

Al conocer los hackers datos específicos de las reservas (ej. día de llegada, tipo de habitación reservada, fecha en la que se realizó la reserva, números de días en el hotel, día de partida o precio), los clientes eran más vulnerables a creerse el engaño. A continuación, indicamos a modo de ejemplo uno de los emails enviados por los hackers y que viene recogido en la resolución de la DPA Holandesa (la traducción es nuestra):

“Estimado señor, Mi nombre es […] y este correo electrónico se refiere a su reserva en nuestro hotel. Recibimos su dirección de correo electrónico de su oficina […] su tarjeta bancaria no funciona. Cada vez que intentamos realizar el pago en la terminal, el sistema de seguridad solicita la fecha de nacimiento del titular de la tarjeta. Por favor, envíenos su fecha de nacimiento o una tarjeta diferente para que podamos tomar el depósito inicial de 1 noche para garantizar la reserva. La tarifa de la 1ª noche es de 450 dirhams emarati. Muchas gracias […] Departamento de reservas”.

Según la resolución de la DPA Holandesa, mediante estos engaños, los hackers consiguieron obtener los códigos de seguridad de 97 tarjetas de crédito.

Durante el tiempo en el que Booking tuvo conocimiento de la brecha de seguridad el 13 de enero de 2019, hasta su notificación a la DPA Holandesa el 7 de febrero de 2019, Booking recibió varios emails de quejas de los hoteles. Dichas quejas estaban motivadas por la recepción de emails por varios de sus huéspedes de personas haciéndose pasar por sus empleados, con conocimiento de los datos de reserva de los huéspedes y solicitándoles mediante alguna excusa sus datos de tarjetas de crédito.

Infracción

La DPA Holandesa concluyó que Booking tuvo conocimiento de la infracción el 13 de enero de 2019, pero no notificó la brecha de seguridad a la DPA Holandesa hasta el 7 de febrero de 2019. En consecuencia, Booking incumplió el artículo 33.1 del RGPD, que establece un periodo de 72 horas para informar al regulador de una brecha de seguridad de datos personales.

Booking argumentó que el conocimiento de la infracción solo tuvo lugar una vez la entidad finalizó la investigación del incidente el 4 de febrero de 2019. Sin embargo, la DPA Holandesa desestimó esta interpretación al entender que Booking disponía a 13 de enero de 2019 de avisos y quejas de proveedores en los que se mencionaba expresamente una posible brecha de seguridad.

Conclusión

En palabras traducidas de la Vicepresidenta de la DPA Holandesa, Monique Verdier: “Desafortunadamente, una brecha de seguridad de datos personales puede ocurrir en cualquier lugar, incluso si se tienen las debidas medidas de precaución. Sin embargo, para evitar daños a los clientes y futuros ataques, es necesario informar de la brecha de seguridad a tiempo”.

“Es fundamental actuar con rapidez, sobre todo para proteger a las víctimas de la infracción. Después de recibir una comunicación de brecha de seguridad, la DPA puede ordenar a una empresa que advierta inmediatamente a los afectados. Esto puede evitar que los delincuentes tengan semanas para intentar defraudar a los clientes».

El presente caso demuestra que, en los casos de brechas de seguridad de datos personales, una comunicación rápida a la autoridad de control para proteger los derechos y libertados de los afectados es mas importante que entregar un informe exhaustivo sobre la brecha de seguridad varias semanas después.

El propio artículo 33.4 del RGPD dice en relación con la información que debe comunicarse a la autoridad de control en los casos de brechas de seguridad: “Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida”.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.