21 de julio de 2018 : British Airways pide a sus clientes que publiquen sus datos personales en Twitter, en una extraña alegación de cumplimiento del GDPR.
A los clientes descontentos con la aerolínea se les pidió que tuitearan sus nombres y direcciones completos, los datos del pasaporte e incluso los cuatro últimos dígitos de sus tarjetas de crédito "para cumplir con el GDPR" antes de que se pudieran investigar sus quejas.
El investigador de seguridad y estudiante de doctorado Mustafa Al-Bassam descubrió que el personal de las redes sociales de BA exigía básicamente que los clientes publicaran una serie de datos personales en Twitter, para poder estudiar las quejas del servicio de atención al cliente.
Más increíble aún, fue que el personal de BA insistió en que esto era necesario para cumplir con el GDPR...
En algunos casos, los clientes de BA empezaron a responder con sus datos personales, haciéndolos visibles no sólo para el más de un millón de seguidores de British Airways, sino para cualquiera que visitara su página de Twitter.
Así que British Airways está pidiendo los datos personales de la gente a través de las redes sociales "para cumplir con el GDPR", y algunas personas incluso están respondiendo directamente en el feed público. uwotm8 pic.twitter.com/yUvCQ5Gti9 - Mustafa Al-Bassam (@musalbas) 16 de julio de 2018
El Sr. Al-Bassam sólo comprobó la actividad de la compañía en Twitter cuando descubrió que no podía facturar su vuelo sin desactivar su bloqueador de anuncios. Para colmo de males, al parecer British Airways utiliza cookies de seguimiento cuando los clientes facturan los vuelos en un navegador web que luego envía los datos personales de los clientes a sitios de terceros.
Después de que los expertos en seguridad señalaran la metedura de pata, British Airways se apresuró a pedir a los clientes que borraran sus tuits para protegerse y que, en su lugar, enviaran la información directamente.
Sin el consentimiento adecuado, esto es claramente una violación del GDPR - y ciertamente no es lo que el personal de las redes sociales de British Airways parece pensar que está cumpliendo, al pedir a la gente que publique información personal en Twitter.
Después de jugar al "ping-pong" con varios miembros del equipo de BA sobre la razón por la que no había un formulario de consentimiento o un mecanismo de exclusión, el Sr. Al-Bassam presentó una queja a la aerolínea, reenviado aquíy expresó su preocupación. También informó a BA de su intención de presentar una queja formal ante la Oficina del Comisionado de Información (ICO) en un plazo de 30 días, si la empresa no soluciona los problemas con su proceso de registro en línea y las prácticas de seguimiento de anuncios.
A
El portavoz de British Airways dijo:
Nos tomamos muy en serio nuestra responsabilidad de proteger los datos de nuestros clientes. Nunca pedimos a los clientes que envíen información personal públicamente. Cuando se produce un error genuino, siempre nos dirigimos al cliente para aclararlo.
Comentario del editor: Si una empresa como British Airways pide a sus clientes que publiquen sus datos personales en Twitter, sólo podemos esperar que la lista de errores del GDPR siga creciendo.