Cuando el Reglamento General de Protección de Datos (también conocido como GDPR) empezó a aplicarse el pasado 25 de mayo de 2018, no éramos pocos los que temíamos que quedase todo en agua de borrajas si no se imponían las sanciones pertinentes. Sin embargo, la reciente noticia de una multa histórica a la aerolínea British Airways puede que sirva como ejemplo para que muchas otras empresas se tomen en serio la protección de los datos de sus clientes.
Robo de datos bancarios
La sanción impuesta por la Oficina del Comisionado de la Información del Reino Unido (ICO por sus siglas en inglés) a la aerolínea viene dada por el incidente de seguridad descubierto a principios de septiembre de 2018 en los que los atacantes consiguieron obtener datos personales y financieros de los clientes de British Airways durante alrededor de dos semanas (del 21 de agosto al 5 de septiembre).
Tras denunciar este incidente e investigar el alcance del mismo se llegó a la conclusión de que hasta 380.000 pagos con tarjeta realizados, tanto en su web como en su aplicación, se habrían visto comprometidos y que podrían haber afectado a alrededor de 500.000 usuarios. La empresa preparó una web para informar a los usuarios de lo acontecido y también ofrecía consejos para los clientes que se hubieran visto afectados.
Este ataque fue realizado por el grupo de delincuentes conocido como Magecart, responsable de otras acciones similares como las que afectaron a Ticketmaster. Su modus operandi consiste en inyectar código JavaScript en las webs de comercio electrónico de varias compañías para robar la información personal y financiera de los usuarios cuando estos realizaban compras en ellas.
Una multa ejemplar
Tras la entrada en vigor del GDPR, era de esperar que se empezasen a imponer cuantiosas multas ante incidentes de este tipo. Sin embargo, responsables de la aerolínea han manifestado su desacuerdo ante esta sanción y es muy probable que la recurran dentro del plazo previsto de 28 días tras su publicación.
La cantidad demandada por las autoridades supone un 1’5% de la facturación de la aerolínea en 2017 que, si bien no deja de ser una cantidad importante, aún está lejos del 4% que se puede llegar a imponer como sanción máxima. Sin embargo, existen precedentes como el de Cambridge Analytica y Facebook, que se saldaron con una multa de tan solo 500.000 libras aunque se debe tener en cuenta que este incidente se produjo antes de la entrada en vigor del nuevo reglamento.
La elevada cantidad de dinero que tiene que pagar British Airways puede servir como medida ejemplarizante para otras empresas, pero desde algunos sectores, también se ha considerado excesiva. Un punto importante que introdujo el GDPR fue el de la comunicación de los incidentes de seguridad tanto a las autoridades como a los usuarios afectados por parte de la empresa comprometida, algo que BA realizó, pero, por otra parte, los datos robados no se encontraban cifrados, lo que facilita el uso de la información sustraída por parte de los delincuentes.
Teniendo en cuenta que la empresa aún puede recurrir la sanción, no sería extraño que el importe de la misma se redujese notablemente. No obstante, el problema no se encuentra en grandes compañías como British Airways sino en las pequeñas y medianas empresas que, en caso de verse en una situación similar, no podrían hacer frente a la sanción y se verían abocadas a cerrar.
Conclusión
Parece evidente que con esta multa se ha querido enviar un mensaje claro a todas las empresas que un ven el cumplimiento del GDPR como algo secundario. A pesar de entrar en vigor hace más de un año aún hay muchas empresas que no se han adecuado a la nueva normativa, por lo que recomendamos seguir una serie de pautas para adaptarse lo antes posible. Para ello pueden utilizar, por ejemplo, la guía que ESET España ofrece sobre este asunto de forma gratuita.