Desde que el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) entró en vigencia en Europa en 2018, los reguladores y los activistas de privacidad se han mantenido vigilantes ante cualquier violación de datos para imponer las multas optimizadas de hasta 4 por ciento de los ingresos anuales de estas compañías.
Esta mañana, el Comisionado de Información (ICO, por sus siglas en inglés) del Reino Unido anunció una multa de 183.39 millones de euros (US$ 230 millones) contra British Airways y su empresa matriz, International Airlines Group (IAG), debido a una violación de datos que ocurrió en 2018.
Según ICO, esta es la primera sanción del organismo que se ha hecho pública para cumplir con el GDPR. La institución asegura que British Airways no hizo lo suficiente por proteger los datos de 500,000 usuarios que utilizaron el sistema de reserva de boletos de la aerolínea. Tras una investigación exhaustiva sobre el incidente, la autoridad reveló:
Una amplia variedad de información se vio comprometida por la falta de seguridad en British Airways, incluyendo datos de inicio de sesión, tarjetas de pago, datos de reserva de viaje, así como también el nombre y la dirección de los clientes.
Europa hace cumplir sus leyes
La multa, que representa el 1.5 por ciento de los ingresos brutos de British Airways para el año fiscal finalizado el 31 de diciembre pasado, es la más alta que ha impuesto ICO a una compañía a causa de una brecha de datos. El movimiento demuestra que las nuevas normas del GDPR no solo pueden afectar las relaciones públicas de una compañía, sino también implican una responsabilidad económica de alto nivel cuando se incurre en un descuido de seguridad como el de British Airways.
El presidente y CEO de la compañía, Alex Cruz, manifestó su decepción por la decisión de ICO, y aseguró que su compañía había dado una respuesta oportuna luego de la violación de datos. Además, Cruz dijo que no se había encontrado evidencia de que las cuentas que fueron comprometidas hayan sido utilizadas por los hackers. En este sentido, el ejecutivo aseguró que British apelaría la multa.
Por su parte, la funcionaria británica, Elizabeth Denham, aclaró que ICO está enviando un mensaje claro a las compañías, y es básicamente que cuando manejan datos personales de los usuarios, deben cuidarlos. La regla solo se aplica en la Unión Europea (UE), pero otros reguladores podrían tomarlo como ejemplo para responsabilizar a las empresas que operan en Internet por las violaciones de datos en sus plataformas.