Autoridades señalaron que el nivel de seguridad de la compañía fue bajo permitiendo que desconocidos tuvieran acceso a datos personales de los clientes. La aerolínea informó de lo ocurrido en septiembre de 2018 y fue sancionada con el 1.5% de sus ingresos anuales.
British Airways enfrenta una multa récord de 230 millones de dólares (US$) después de que una falla en el sitio web comprometiera los datos personales de aproximadamente 500.000 clientes.
Sería la multa más grande hasta ahora bajo una estricta regla de privacidad conocida como el Reglamento General de Protección de Datos, que entró en vigor el año pasado en la Unión Europea.
La Oficina del Comisionado de Información del Reino Unido dijo que la débil seguridad permitió que el tráfico de usuarios se desviara del sitio web de British Airways a una página fraudulenta a partir de junio de 2018.
Te puede interesar: Bachelet declara estar “profundamente impactada” por el trato a niños migrantes en EE.UU.
El regulador dijo que la compañía tendrá la oportunidad de impugnar la multa propuesta.
Los atacantes pudieron recopilar los detalles de los clientes, incluidos los datos de inicio de sesión, las tarjetas de pago y los detalles de la reserva de viajes, según señaló el regulador.
La aerolínea reveló el incidente en septiembre de 2018.
La multa de £ 183.4 millones (US$ 230 millones) es aproximadamente el 1.5% de los ingresos anuales de British Airways. El transportista, que es propiedad de IAG ( ICAGY ) , dijo que lucharía contra la pena.
“Estamos sorprendidos y decepcionados con este hallazgo inicial”, dijo en un comunicado el gerente general de British Airways, Alex Cruz.
“British Airways respondió rápidamente a un acto criminal para robar la información de los clientes. No hemos encontrado evidencia de fraude o actividad fraudulenta en cuentas vinculadas al robo”, agregó.
GDPR obliga a las empresas a asegurarse de que la forma en que recopilan, procesan y almacenan los datos es segura. Cualquier organización que posea o utilice datos sobre personas dentro de la Unión Europea está sujeta a las reglas, independientemente del lugar donde se base. Las empresas que incumplan la ley pueden recibir una multa de hasta el 4% de sus ingresos anuales.
“Los datos personales de las personas son solo eso: personales. Cuando una organización no lo protege de pérdidas, daños o robos, es más que un inconveniente”, dijo la comisionada de información Elizabeth Denham en un comunicado. “Es por eso que la ley es clara: cuando se le confían datos personales, debe cuidarlos“.
Mira también: Qué es la falla de San Andrés y por qué preocupa tanto a Estados Unidos
Gita Shivarattan, asesora en protección de datos de la firma de abogados Ashurst, dijo que la multa propuesta demostró que “los reguladores europeos de protección de datos están incrementando claramente las multas por violaciones de datos”.
“Refleja la seriedad de los reguladores cuando hay un incumplimiento significativo de las obligaciones de GDPR”, agregó Shivarattan.
La Oficina del Comisionado de Información se ha convertido en un regulador cada vez más importante en el espacio digital. El año pasado, multé a Facebook con £ 500,000 ($ 626,000) por el escándalo de Cambridge Analytica, el máximo permitido antes de que GDPR entrara en vigor.