A British Airways, multa récord por violación de datos
Sanción de 183 millones de libras. La página web y la app de la aerolínea fueron vulneradas por hackers en 2018
British Airways recibirá un golpe con la multa más grande en la historia por violación del reglamento europeo de datos después de que la página web y la aplicación móvil de la compañía fueron hackeados el año pasado.
La multa de 183 millones de libras, que representa 1.5 por ciento de la facturación de la empresa de 2017, la impuso el comisionado de información de Reino Unido después de que hackers robaron datos de más de 500 mil clientes el año pasado y es la primera sanción que se impone bajo las nuevas leyes que se introdujeron en mayo de 2018.
Esto muestra que los reguladores están listos para enseñar los dientes para proteger los datos y envía una señal de advertencia a otras empresas sobre la importancia de proteger a los clientes de los hackers.
“Estamos sorprendidos y decepcionados en esta primera conclusión”, dijo Alex Cruz, presidente y director ejecutivo de British Airways. “British Airways respondió rápidamente al acto criminal para robar los datos de los clientes. No encontramos evidencia de fraude o actividad fraudulenta en las cuentas relacionadas con el robo”.
Willie Walsh, director ejecutivo de IAG, el propietario de BA, prometió “tomar todas las medidas adecuadas para defender con firmeza la posición de la aerolínea, incluyendo la presentación de apelaciones que sean necesarias ”.
La aerolínea reveló en septiembrepasado que los hackers robaron datos relacionados con aproximadamente 380 mil clientes de su sitio web y aplicación móvil durante un periodo dedos semanas a partir del 21 de agosto. En octubre, dijeron que resultaron afectados 185 mil clientes más de lo que se había declarado anteriormente y durante un periodo más largo.
Las acciones en IAG se mantuvieron relativamente estables, y registraron una caída de solamente 1.3 por ciento para llegar a 450.6 peniques al final de la tarde en las operaciones de Londres.
Una diversidad de información se vio comprometida por las malas medidas de seguridad en BA, dijo la Oficina del Comisionado de Información(ICO, por susig la en inglés). Esto incluía el inicio de sesión del cliente y los detalles de la tarjeta de pago, las reservaciones de viajes y la información de nombre y dirección.
El reguladora gr egóqueBAco operócon la investigación y que desde entonces llevó acabo mejoras en sus medidas de seguridad.
Richard Breavington, socio de la firma de abogados RPC y co-líder de su servicio de respuesta a la violación cibernética, dijo que la multa de BA demostró que la ICO está“lista para enseñar sus dientes y alejarse de su enfoque anterior más contenido para hacer cumplir la ley”.
Elizabeth Denham, la comisionada de Información, dijo: “Cuando te confían los datos personales, debe cuidarlos. Aquellos que no lo hagan se enfrentarán al examen de mi oficina para verificar que hayantomado las medidas adecuadas para proteger los derechos fundamentales de privacidad”.
Rachel Aldighieri, directora general de la Data & Marketing Association, dijo que el tamaño de la multa propuesta “no tiene precedentes en el Reino Unido”, lo que destaca la “importancia que todas las empresas deberían dar a la seguridad de los datos de los clientes”.
Agregó que los riesgos para BA van más allá de las posibles multas, ya que podría haber otros efectos perjudiciales a largo plazo en la confianza del cliente, el precio de las acciones y la percepción pública.
BA no hizo comentarios sobre los cambios que hizo para garantizar que los datos de los clientes estén seguros o sobre cualquier posible medida disciplinaria adoptada contra individuos por el hackeo.
La aerolínea tendrá la oportunidad de hacer declaraciones ante el regulador en cuanto a las conclusiones y la sanción propuesta, dijo la ICO.
Philip Greaves, director de la consultora de tecnología de la información Protiviti y líder de su servicio de reglamento general de protección de datos (RGPD), dijo que al tener en cuenta el perfil de riesgo de B A ,“claramente necesita invertir mucho en impulsar controles cibernéticos más fuertes”.
La multa se produce a raíz del RGPD, las nuevas normas de la Unión Europea sobre protección de datos que entraron en vigor en mayo del año pasado. Permite multas hasta de 4 por ciento sobre los ingresos mundiales o 20 millones de euros, el monto que sea mayor. Bajo el antiguo régimen, la sanción máxima era de 500 mil libras.
El año pasado, la ICO multó a Facebook con el máximo de 500 mil libras por “filtraciones graves” relacionadas con el escándalo de datos de Cambridge Analytica.
Pero desde que entró el nuevo reglamento, el regulador francés de protección de datos impuso una multa de 50 millones de eurosaGooglep orla falta de transparencia y consentimiento sobre la forma en que procesó los datos de los usuarios para personalizar los anuncios.
Otras violaciones graves que evalúan los reguladores incluyen la revelación en septiembre de 2018 de que 50 millones de cuentas quedaron ex puestas por Fa cebo oky la filtración de más de 50 millones de usuarios en la red socialG+deGoog le, que posteriormente cerró.
En noviembre pasado agresor externo accedió a los registros de 500 millones de clientes de la división de hoteles Starwood de Marriott desde 2014.