El Comisionado de Información del Reino Unido está comenzando la semana con una explosión de GDPR: esta mañana, Anunciado que ha multado British Airways y su empresa matriz International Airlines Group (IAG) 183,39 millones de libras esterlinas (230 millones de dólares) en relación con una filtración de datos que tuvo lugar el año pasado y que afectó a la friolera de 500.000 clientes que buscaban y reservaban billetes online. En una investigación, el ICO dijo que encontró “que una variedad de información se vio comprometida por arreglos de seguridad deficientes en [BA]incluido el inicio de sesión, la tarjeta de pago y los detalles de la reserva de viaje, así como la información del nombre y la dirección”.
La multa, el 1,5 % de los ingresos totales de BA para el año que finalizó el 31 de diciembre de 2018, es la más alta jamás impuesta por la ICO a una empresa por una filtración de datos (el “poseedor del récord” anterior, Facebook, fue multado con apenas 500 000 libras esterlinas la última vez). año en comparación).
Y es importante por otra razón: muestra que las filtraciones de datos pueden ser no solo una responsabilidad de relaciones públicas, que destruye la confianza del consumidor en la organización, sino también una responsabilidad financiera. Actualmente, IAG está experimentando un comercio volátil en Londres, con acciones que caen un 1,5% en este momento.
en un comunicado al mercadolos dos líderes de IAG defendieron a la compañía y dijeron que sus propias investigaciones encontraron que no se encontró evidencia de actividad fraudulenta en las cuentas vinculadas al robo (aunque como sabrán, es posible que los datos de las infracciones no siempre se utilicen en el lugar donde se encuentran). sido robado).
“Estamos sorprendidos y decepcionados con este hallazgo inicial de la ICO”, dijo Alex Cruz, presidente y director ejecutivo de British Airways. “British Airways respondió rápidamente a un acto delictivo para robar los datos de los clientes. No hemos encontrado evidencia de fraude/actividad fraudulenta en las cuentas vinculadas al robo. Pedimos disculpas a nuestros clientes por cualquier inconveniente causado por este evento”.
Willie Walsh, director ejecutivo de International Airlines Group, agregó en su propio comentario que “British Airways hará declaraciones ante la ICO en relación con la multa propuesta. Tenemos la intención de tomar todas las medidas apropiadas para defender enérgicamente la posición de la aerolínea, incluida la presentación de las apelaciones necesarias”.
El grado en que las empresas serán responsables de este tipo de infracciones será mucho más transparente en el futuro: el anuncio de la ICO es parte de una nueva directiva para revelar los detalles de sus multas e investigaciones al público.
“Los datos personales de las personas son solo eso: personales”, dijo la comisionada de información Elizabeth Denham en un comunicado. “Cuando una organización no la protege de pérdidas, daños o robos, es más que un inconveniente. Por eso la ley es clara: cuando se le confían datos personales, debe cuidarlos. Aquellos que no lo hagan enfrentarán el escrutinio de mi oficina para verificar que hayan tomado las medidas adecuadas para proteger los derechos fundamentales de privacidad”.
El ICO dijo en un comunicado esta mañana que la multa está relacionada con infracciones del Reglamento General de Protección de Datos (RGPD), que entró en vigor el año pasado antes de la infracción. Más específicamente, el incidente involucró malware en BA.com que desvió el tráfico de usuarios a un sitio fraudulento, donde los piratas informáticos maliciosos recopilaron posteriormente los detalles de los clientes.
BA notificó a la ICO sobre el incidente en septiembre, pero se creía que la brecha comenzó en junio. Desde entonces, la ICO dijo que British Airways “ha cooperado con la investigación de la ICO y ha realizado mejoras en sus arreglos de seguridad desde que estos hechos salieron a la luz”. Pero debe señalarse que incluso antes de esta violación, hubo otros ejemplos en los que la empresa trató la protección de datos a la ligera. (Ahora, parece que BA ha aprendido la lección de la manera más difícil).
Según la declaración emitida hoy por IAG, parece que BA optará por intentar apelar la multa y la sentencia general.
Si bien hay muchos signos de interrogación sobre cómo el Reino Unido interactuará con el resto de Europa en casos regulatorios como este después de que abandone la UE, por ahora está trabajando en conjunto con el grupo más grande.
El ICO dice que ha sido la “autoridad supervisora principal en nombre de las autoridades de protección de datos de otros Estados miembros de la UE” en este caso, en contacto con otros reguladores en el proceso. Esto también significa que estas autoridades donde sus residentes también se vieron afectados por el incumplimiento también tendrán la oportunidad de brindar información sobre el fallo antes de que sea completamente definitivo.
Source link