La Oficina del Comisionado de Información (ICO, por sus siglas en inglés) de Reino Unido ha multado a British Airways (BA) con 20 millones de libras esterlinas (22 millones de euros) por "no proteger" los datos personales y financieros de más de 400.000 de sus clientes, una sanción mucho más baja que la planteada inicialmente (204 millones de euros).
Una investigación del organismo descubrió que la aerolínea estaba procesando una cantidad importante de datos personales "sin las medidas de seguridad adecuadas". Este fallo infringió la ley de protección de datos y, posteriormente, BA fue objeto de un ciberataque durante 2018, que no detectó durante más de dos meses.
"La gente confió sus datos personales a BA y esta no tomó las medidas adecuadas para mantener esos datos seguros", ha sentenciado la comisionada de Información, Elizabeth Denham.
Multa de Reino Unido
Los investigadores de ICO descubrieron que BA debería haber identificado las debilidades de su seguridad y las resolvió con las medidas de seguridad que estaban disponibles en ese momento. Según ha explicado la oficina este viernes a través de un comunicado, abordar estos problemas de seguridad habría evitado que el ciberataque de 2018 se llevara a cabo de esta manera.
"Su falta de acción fue inaceptable y afectó a cientos de miles de personas, lo que puede haber causado cierta ansiedad y angustia". Por eso, hemos impuesto a BA una multa de 20 millones de libras, la mayor hasta la fecha", ha explicado.
Proceso legal
Debido a que el incumplimiento de la BA ocurrió en junio de 2018, antes de que el Reino Unido dejara la UE, ICO investigó en nombre de todas las autoridades de la UE como principal autoridad de supervisión en el marco del Reglamento General de Protección de Datos. La sanción y la acción han sido aprobadas por las administraciones de la UE a través del proceso de cooperación del Reglamento.
En 2019, ICO emitió a BA una notificación de intención de multa que ascendía a 204 millones de euros. No obstante, la oficina ha argumentado que como parte del proceso de regulación se consideró tanto las alegaciones de BA como el impacto económico de la Covid-19 en sus negocios antes de establecer una sanción final.
"Cuando las organizaciones toman malas decisiones sobre los datos personales de las personas, eso puede tener un impacto real en la vida de las personas. La ley nos da ahora las herramientas para animar a las empresas a tomar mejores decisiones sobre los datos, incluyendo la inversión en seguridad actualizada", ha señalado el organismo británico.