La Information Commissioner's Office (ICO), organismo equivalente a la Agencia para la Protección de Datos española, ha anunciado su intención de multar a la aerolínea British Airways, perteneciente al conglomerado hispano-británico IAG, por una filtración masiva de datos de sus clientes.
El ICO ha explicado que tras una “exhaustiva investigación” han decidido imponer a la aerolínea británica una multa de 183,39 millones de libras (aproximadamente 204 millones de euros) por infracciones de la Ley de Protección de Datos. En caso de aplicarse, se convertiría en la multa de mayor cantidad aplicada a una empresa hasta la fecha.
En concreto, la investigación hace referencia a un incidente cibernético notificado por British a ICO en septiembre de 2018. El tráfico de usuarios de la web de la aerolínea fue desviado a una página fraudulenta que fue utilizada para obtener información de los clientes tal como nombre, dirección, email y datos de la tarjeta bancaria.
Desde la entidad de control de información inciden en que las “pobres medidas de seguridad” de British pusieron en peligro los datos privados de 500.000 clientes ya que se cree que la filtración se había estado produciendo desde junio de ese mismo año.
Elizabeth Denham, comisionada de información, afirmó que la “ley es clara” y que cuando a una empresa se le confían los datos personales, esta “debe cuidarlos”. “Aquellos que no lo hagan se enfrentarán al escrutinio de mi oficina para verificar que hayan tomado las medidas adecuadas para proteger los derechos fundamentales de privacidad", concluyó.
En el mismo comunicado en el que ha anunciado la multa, la entidad reguladora ha reconocido que British Airways ha cooperado en la investigación y que ha mejorado sus medidas de seguridad. Asimismo, reconoce la posibilidad que tiene la empresa de recurrir la multa propuesta.
Sorprendidos y decepcionados
Willie Walsh, director general del holding IAG, ya ha anunciado que se apelará la decisión. Mientras, Alex Cruz, español que preside la compañía ha mostrado su disconformidad por la decisión de la ICO: “Estamos sorprendidos y decepcionados por las conclusiones iniciales".
También ha defendido que “British Airways respondió rápidamente al acto criminal de robo de datos de sus clientes” y que no se encontró prueba de actividad fraudulenta sobre las cuentas afectadas por el robo.