British Airways se enfrenta a la que puede ser la multa más alta por protección de datos impuesta hasta la fecha. Una brecha de seguridad que la aerolínea sufrió el año pasado ha provocado que las autoridades británicas planteen una multa de 183 millones de libras esterlinas. Ninguna otra empresa había alcanzado semejante cifra hasta ahora.
El pasado 7 de septiembre de 2018 se descubrió una brecha de seguridad en British Airways que comprometía los datos personales y sobre todo financieros de 380.000 operaciones en la web y la app de la empresa. La brecha era realmente grave, pues permitía a los atacantes utilizar las tarjetas de crédito de los usuarios de British Airways para realizar compras no autorizadas.
El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) entró en vigor el año pasado y ha sido la ley de protección de datos que más impacto ha tenido en usuarios y empresas desde hace años. Entre sus efectos, si una empresa sufre una brecha de seguridad, debe informar de ello y hacerlo público.
British Airways sufrió el ataque con la nueva ley en vigor, y por lo tanto también se atendía al nuevo reglamento a la hora de ser multada. La multa impuesta por los reguladores británicos es del 1,5% de su facturación mundial en 2017. No es tanto si pensamos que las multas por GDPR pueden ser de hasta el 4% de la facturación de la empresa, podría haberse llevado una multa de hasta 500 millones de libras.
Para poner en contexto la multa a la que se enfrenta British Airways podemos compararla con la sanción a Facebook por el escándalo de Cambridge Analytica. Las autoridades de Reino Unido multaron a la empresa de Mark Zuckerberg con 500.000 libras por ello. Una cifra ínfima si se compara con las 183.000.000 libras que tendrá que desembolsar British Airways. Haciendo un cálculo rápido, la aerolínea deberá pagar 366 veces más.
Hasta ahora el primer puesto correspondía Google, que fue multada en enero de este año con 50 millones en Francia por violar la GDPR. British Airways supera con creces la cifra. ¿Por qué tan alta en comparación con Facebook? Elizabeth Denham, la Comisionada de Información del Reino Unido, comenta que "Los datos personales de las personas son solo eso: personales. Cuando una organización no puede protegerlos de pérdidas, daños o robos, es más que un inconveniente."
La ICO (organismo responsable de la multa en Reino Unido) ha indicado que tras la investigación han descubierto que una serie de datos se han visto comprometidos por falta de seguridad en la empresa. Entre estos datos estaban los inicios de sesión, las tarjetas de crédito y los datos de reserva de los viajes. También ha indicado que British Airways ha cooperado en la investigación y "ha hecho mejoras en sus sistemas de seguridad desde que los eventos salieron a la luz". La aerolínea tiene 28 días para apelar al multa.
Los 213 millones de euros de la multa en este caso (y en cualquier otra multa por GDPR) se dividen entre las demás autoridades europeas que forman parte de la ley GDPR. Hay que tener en cuenta que si bien la investigación se ha llevado a cabo por ICO en Reino Unido, se ha hecho en nombre del resto de autoridades de Europa.
Vía | BBC
Más información | ICO