British Airways (BA) ha sido sancionada con una multa récord de 183 millones de libras esterlinas como resultado de una violación masiva de datos de clientes el año pasado.
El propietario de BA, IAG, dijo que está "sorprendido y decepcionado" por la sanción económica impuesta por la Oficina del Comisionado de Información (ICO).
Cuando se produjo la brecha de seguridad, BA informó de que los piratas informáticos habían llevado a cabo un "ataque criminal sofisticado y malicioso" contra su sitio web.
La ICO dijo que la multa era la mayor sanción jamás impuesta, y la primera que se hacía pública en virtud de las nuevas normas.
Según la ICO, la brecha tuvo lugar después de que los usuarios del sitio web oficial de British Airways fueran desviados a un sitio fraudulento, donde los atacantes cosecharon detalles de aproximadamente medio millón de clientes. La ICO dijo que se cree que el incidente comenzó en junio de 2018.
La Comisaria de Información, Elizabeth Denham, dijo:
Los datos personales de las personas son precisamente eso: personales. Cuando una organización no los protege de pérdidas, daños o robos, es algo más que un inconveniente. ...Por eso la ley es clara: cuando se confían datos personales, hay que cuidarlos. Los que no lo hagan se enfrentarán al escrutinio de mi oficina para comprobar que han tomado las medidas adecuadas para proteger los derechos fundamentales de privacidad.
Cuando la brecha se reveló por primera vez el 6 de septiembre de 2018, BA dijo inicialmente que aproximadamente 380.000 transacciones se vieron afectadas, pero los datos robados no incluían detalles de viaje o pasaporte. La información incluía nombres, direcciones de correo electrónico, información de la tarjeta de crédito como números de tarjeta de crédito, fechas de caducidad y el código CVV de tres dígitos que se encuentra en la parte posterior de las tarjetas de crédito, aunque BA ha dicho que no almacenaba los números CVV.
El ICO dijo que una variedad de información fue "comprometida" por los pobres arreglos de seguridad de la compañía, incluyendo datos de ingreso, tarjeta de pago y reserva de viajes, así como información de nombre y dirección.
El organismo de control dijo que BA había cooperado con su investigación y que desde entonces había mejorado sus medidas de seguridad.
La multa impuesta a BA es la primera sanción que se hace pública desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, que obliga a comunicar las violaciones de la seguridad de los datos a la ICO.
Aunque el GDPR estipula una sanción máxima de 4% de la facturación anual, la sanción de BA asciende a 1,5% de su facturación mundial en 2017.
La mayor sanción hasta la fecha fue de 500.000 libras, impuesta a Facebook por su implicación en el escándalo de los datos de Cambridge Analytica, el máximo permitido por la antigua Ley de Protección de Datos que estaba en vigor antes del GDPR.