La Oficina del Comisionado de Información de Reino Unido (ICO, por sus siglas en inglés, la agencia de protección de datos y transparencia) ha comunicado a British Airways, perteneciente al grupo IAG, su intención de multar a la aerolínea con 183,39 millones de libras (204,6 millones de euros) por la sustracción de datos de clientes desde la página web de la aerolínea.

La propuesta de sanción se produce después de que la compañía de IAG, a la que también pertenece Iberia, sufriera un ataque informático en el verano de 2018 con el robo de datos de clientes, "incluyendo su información financiera" de sus tarjetas de crédito. La compañía informó en un principio que el incidente afectó a 380.000 clientes, que luego rebajó a 244.000 pasajeros. Sin embargo, el ICO eleva ahora a 500.000 el número de potenciales afectados.

En concreto, los robos de datos afectaron a las reservas realizadas en la página web de la aerolínea entre los días 21 de agosto al 5 de septiembre de 2018, pero los clientes afectados son aquellos que realizaron sus reservas de billetes, utilizando sus tarjetas de crédito, entre el 21 de abril y el 28 de julio de ese año.

Durante ese periodo, los pagos con tarjeta fueron interceptados y los atacantes pudieron hacerse con nombres, apellidos, direcciones físicas y de correo electrónico, números de tarjetas y sus fechas de expiración y códigos de seguridad, datos suficientes para realizar compras o vaciar cuentas.

En este sentido, el ICO señaló este lunes que en su investigación ha encontrado que una variedad de información se vio comprometida por "la falta de seguridad en la empresa", incluidos el inicio de sesión, la tarjeta de pago y los datos de reserva de viaje, así como la información del nombre y la dirección.

La comisionada de información Elizabeth Denham dijo: “Los datos personales de las personas son solo eso, personales. Cuando una organización no puede protegerla de pérdidas, daños o robos, es más que un inconveniente. Por eso la ley es clara: cuando se le confían datos personales, debe cuidarlos. Aquellos que no lo hagan se enfrentarán al escrutinio de mi oficina para verificar que hayan tomado las medidas adecuadas para proteger los derechos fundamentales de privacidad". No obstante, el ICO reconoce que British Airways ha cooperado en la investigación y ha hecho mejoras a sus acuerdos de seguridad desde que estos eventos salieron a la luz.

Recurso

El presidente y consejero delegado de la aerolínea británica, Alex Cruz, ha mostrado su "sorpresa" y "decepción" por la propuesta inicial del ICO, mientras el consejero delegado de IAG, Willie Walsh, ha anunciado que British Airways efectuará las alegaciones pertinentes ante el ICO en relación a la sanción propuesta, según ha comunicado IAG a la Comisión Nacional del Mercado de Valores (CNMV).

"Tenemos la intención de adoptar todas las medidas necesarias para defender vigorosamente la posición de la aerolínea, incluyendo cualquier apelación que considere necesaria", ha añadido Walsh.

Por su parte, Cruz ha destacado que la compañía respondió rápidamente al robo de datos de sus clientes, "sin encontrar evidencia de fraude o actividad fraudulenta en las cuentas relacionadas con la sustracción". "Pedimos disculpas a nuestros clientes por cualquier inconveniente que esta situación les haya podido causar", ha señalado el presidente y consejero delegado de British Airways.

La multa propuesta por la autoridad británica de Protección de Datos equivale al 1,5% de los ingresos globales de British Airways en el ejercicio 2017.