Boeing 787-8 de British Airways aterrizando en Toronto

British Airways ha recibido una multa de 22 millones de euros por parte de la Oficina del Comisionado de Información (ICO) de Reino Unido. El organismo afirma que la aerolínea no protegió los datos personales y financieros de más de 400.000 de sus clientes.

Una investigación del organismo descubrió que la aerolínea británica estaba procesando una cantidad importante de datos personales «sin las medidas de seguridad adecuadas». Este fallo infringió la Ley de Protección de Datos. Posteriormente, British Airways fue objeto de un ciberataque durante 2018, que no detectó durante más de dos meses.

Los investigadores descubrieron que British Airways debería haber identificado las debilidades de su seguridad. Haber abordado estos problemas, le habría evitado que el ciberataque de 2018 se llevara a cabo de esta manera.

«La gente confió sus datos personales a British Airways y esta no tomó las medidas adecuadas para mantener esos datos seguros», ha sentenciado la comisionada de Información, Elizabeth Denham.

«Su falta de acción fue inaceptable y afectó a cientos de miles de personas, lo que puede haber causado cierta ansiedad y angustia». Por eso, hemos impuesto a British Airways una multa de 20 millones de libras, la mayor hasta la fecha», ha explicado.

El ciberataque a British Airways ocurrió en junio de 2018, antes que el Reino Unido dejara la Unión Europea. Por esta razón, el ICO ha investigado conjuntamente con estas autoridades y bajo el Reglamento General de Protección de Datos. Tanto la sanción como la acción, han sido consensuadas por ambas administraciones.

En 2019, el ICO emitió a British Airways una notificación de intención de multa que ascendía a 204 millones de euros. No obstante, la oficina ha argumentado que como parte del proceso de regulación se consideró tanto las alegaciones de la aerolínea como el impacto económico de Covid-19 en sus negocios antes de establecer una sanción final.

«Cuando las organizaciones toman malas decisiones sobre los datos personales de las personas, eso puede tener un impacto real en la vida de las personas. La ley nos da ahora las herramientas para animar a las empresas a tomar mejores decisiones sobre los datos, incluyendo la inversión en seguridad actualizada», ha señalado el organismo británico.