El día 6 de septiembre British Airways informa que ha sufrido un importante incidente de seguridad: han robado datos personales y financieros de sus clientes durante casi dos semanas, desde las 22:58 del 21 de agosto de 2018 hasta las 21:45 del 5 de septiembre de 2018 inclusive.
La aerolínea lanzó una investigación y notificó a la policía el incidente ocurrido. Ahora mismo tenemos poca información al respecto, aunque los portavoces de BA han confirmado que 380.000 pagos con tarjetas realizados en su aplicación y en su web han sido comprometidos. Informe del incidente
Según la aerolínea la situación ya se ha resuelto y que en estos momentos su web opera con normalidad.
Alex Cruz, presidente y director ejecutivo de British Airways, dijo:
«Sentimos profundamente la interrupción que ha causado esta actividad delictiva. Tomamos la protección de datos de nuestros clientes muy en serio»
Creo que es importante recordar los procedimientos relativos a la notificación de las autoridades y de las personas físicas que la RGPD establece en los artículos 33 y 34.
El plazo para la notificación de un incidente es de 72 horas y se debe:
- Notificar a la Autoridad el incidente de seguridad de acuerdo con las políticas y normas internas establecidas en los protocolos de seguridad y de conformidad con el nuevo Reglamento.
- Tener un registro de todos los incidentes de seguridad dentro de la organización y que ocurran bajo su responsabilidad.
- Informar al interesado al igual que al responsable de la Autoridad de Control y Supervisión de la Protección de Datos, cuando el incidente suponga una amenaza directa a las libertades y derechos fundamentales de la persona.
- Avisar a la persona afectada inmediatamente, a fin de que el interesado tome las medidas y precauciones necesarias para resguardar su seguridad e intereses personales de la mejor manera.
En este caso, la aerolínea debió avisar a los clientes de forma inmediata. Seguiremos muy atentos las investigaciones pertinentes.