British Airways fue multada con £ 183 millones por una grave violación de seguridad el año pasado, la mayor sanción jamás impuesta por la Oficina del Comisionado de Información del Reino Unido (ICO).
La aerolínea dice que está «sorprendida y decepcionada» por la decisión y planea apelar.
Pero los expertos señalan que el regulador podría haber abofeteado a BA con una multa total de más del doble de esa cantidad, en virtud del Reglamento General de Protección de Datos Europeo (GDPR). Entonces, ¿cuáles son las nuevas reglas y por qué este caso fue tan significativo?
¿Qué pasó en el hackeo de BA?
El 6 de septiembre, la aerolínea anunció que los datos personales y de pago de decenas de miles de clientes habían sido robados durante una filtración de datos.
«Los detalles de la tarjeta de pago, incluido el número, la fecha de vencimiento y el código de seguridad de tres dígitos o el ‘valor de verificación de la tarjeta’ (CVV), se extrajeron ilegalmente del sistema de reservas», informa The Independent.
BA dijo que los piratas informáticos llevaron a cabo un «ataque criminal malicioso y sofisticado», comprometiendo 382.000 transacciones realizadas en su sitio web y aplicación entre el 21 de agosto y el 5 de septiembre. La policía y las «autoridades competentes» han sido informadas, agregó la empresa.
Al disculparse con los afectados, los jefes de BA dijeron que la violación se había resuelto y que los datos robados no incluían detalles de viaje o pasaporte. La compañía había comenzado a contactar a los clientes «en el momento» en que se descubrió la infracción, agregó la aerolínea.
El ICO esta semana afirmó que los usuarios del sitio web fueron redirigidos a un sitio fraudulento, donde se recopilaron los detalles de alrededor de 500,000 personas.
Tras el anuncio de la multa, el presidente de BA, Alex Cruz, dijo el lunes: «British Airways respondió rápidamente a un acto delictivo para robar datos de clientes. No encontramos evidencia de fraude/actividad fraudulenta en las cuentas vinculadas al robo».
¿Dónde entra en juego el RGPD?
La multa de BA es la primera que se hace pública bajo las nuevas reglas, que entraron en vigencia en mayo de 2018 en «el mayor impacto en la privacidad de datos en 20 años», dice la BBC.
“Hasta ahora, la multa más grande fue de £ 500,000, impuesta a Facebook por su papel en el escándalo de datos de Cambridge Analytica. Este era el máximo permitido por las antiguas normas de protección de datos que aplicaban antes del RGPD”, señala el emisor.
La nueva normativa prevé una multa máxima del 4% de la facturación del infractor, que para BA habría ascendido a 488 millones de libras. En cambio, la multa impuesta asciende al 1,5% de la facturación de la aerolínea en 2017 y es significativamente inferior al máximo de £ 488 millones.
El caso despertó un interés considerable por ser el primero de su tipo, como señaló la periodista de ciberseguridad Kate O’Flaherty en un artículo para Forbes en septiembre pasado.
Ian Thornton-Trump, un veterano de la industria de la ciberseguridad, le dijo a O’Flaherty que sería una decisión «difícil» para la ICO. «Todo el mundo quiere que el RGPD tenga dientes, por lo que la ICO tiene que encontrar el equilibrio adecuado aquí», explicó.
La infracción de BA no fue tan grave como otros hacks recientes, como el que sufrió Equifax en 2017, y la multa máxima podría llevar a BA al punto de la insolvencia, agregó Thornton-Trump.
Previó una multa de «5 a 10 millones de libras», y agregó: «Es sustancial pero no pone en riesgo a la empresa y no es ‘demasiado político'».
En protesta por la multa de £ 183 millones anunciada esta semana, Willie Walsh, director gerente de International Consolidated Airlines Group (IAG), la empresa matriz de BA, dijo: «Tenemos la intención de tomar todas las medidas apropiadas para defender enérgicamente la posición de la aerolínea. , incluyendo la realización de todos los recursos necesarios”.