Air Europa ha recibido una multa por 600 mil euros por infracción de los artículos 32 y 33 del RGPD.
El no haberse tomado en serio la seguridad de los datos de sus clientes, ha ocasionado para Air Europa una sanción de 600 mil euros. Esto como consecuencia de una brecha de seguridad sucedida en 2018 de la que no se notificó a tiempo ni a los clientes ni a la propia AEPD.
Cronología de los hechos
La incidencia fue detectada por la aerolínea el día 17 de octubre de 2018. Primero, Banco Popular había observado un posible intento de fraude con varias tarjetas de crédito y se lo notificó a Air Europa, presumiendo que se trataba de un acceso no autorizado a sus redes. A raíz de esto, se puso en marcha el plan de respuesta ante incidentes. Este consistía en: investigación del hecho, contratación con empresas expertas para solucionarlo y un análisis del seguimiento de las medidas implementadas.
Por todo ello, un mes después, el 17 de noviembre se dio por solventado el incidente. Pero la notificación a la AEPD se hizo el día 28 de noviembre, 41 días después de haber detectado la incidencia. Es entonces cuando la Agencia comienza con sus investigaciones sobre lo sucedido.
Los informes de auditoría aportados por Air Europa
Colaborando con la investigación de la AEPD, Air Europa aportó una serie de informes de auditoría, realizados por expertos independientes, en los que no sale particularmente favorecida. Entre lo descrito en los informes, figuraba que la aerolínea había recibido una notificación previa de que 4.000 tarjetas de crédito habían sido utilizadas para cometer fraude. Habiéndose vulnerado datos como el nombre de titular y datos bancarios y financieros asociados con la tarjeta.
Asimismo, destaca que el primer acceso no autorizado se produjo el 12 de mayo de 2018, o sea, varios meses antes de que la incidencia finalmente se detectara y continuó hasta el 11 de agosto de ese año. Y a partir de esa fecha es cuando los criminales utilizaron estos datos para actividades fraudulentas y se detecta el incidente.
Sin embargo, Air Europa decide no notificar a los interesados de este suceso, pues lo entiende como innecesario por tres razones. En primer lugar, que la información comprometida no es de carácter sensible y resulta muy complicado identificar a los usuarios.
Otra de las razones es que dado que estas tarjetas ya habían sido bloqueadas, por lo que se había extinguido -según Air Europa- el riesgo sobre las libertades y derechos de los usuarios. Y, al no existir este riesgo, el RGPD prevé la excepción a la obligación de notificar a los interesados.
Por último, Air Europa estimó que al ser tan difícil identificar los interesados, resultaba más gravoso realizar la comunicación pública del incidente, sin que se pudiera derivar ningún beneficio directo de la misma.
Infracción por incumplimiento del artículo 32 RGPD
Con todo ello como antecedente, la AEPD establece una sanción por el incumplimiento de dos artículos del RGPD: el 32 y el 33. El primero de ellos establece la seguridad del tratamiento y la obligación del responsable de garantizar un nivel de seguridad adecuado y conforme a los posibles riesgos.
Porque los informes de auditoría determinan que no se habían introducido medidas técnicas y organizativas que garantizasen la seguridad de los datos. Y un ejemplo de ello es el hecho de que el hacker estuviese teniendo un acceso continuado a la red.
Además de ello, la AEPD considera el alcance: 4 mil tarjetas de crédito, millón y medio de registros afectados y las categorías de datos que se han visto afectadas. Todo porque no se habían implementado estas medidas tanto organizativas como técnicas.
Y aunque el reclamado alegaba que no aplicaba el RGPD cuando se produjo la brecha de seguridad (entró en vigor el 25 de mayo de 2018), eso no es totalmente cierto. Pues el atacante estuvo accediendo a la red de Air Europa desde el 12 de mayo hasta el 11 de agosto. Es decir, es un periodo de tiempo en el que sí que estuvo en vigor el RGPD y a pesar de ello, no se implementaron las medidas necesarias.
Infracción por incumplimiento del artículo 33 RGPD
De otro lado, se considera también violentado el artículo 33, relativo a la notificación a la Autoridad de Control en un plazo de 72 horas como máximo. Y Air Europa lo hizo 41 días después, porque -justifica- estaba realizando un análisis que demoró la alerta. Pero la AEPD, por su parte, establece que existe esta obligación tanto con la Autoridad de Control como con los interesados. Para la AEPD, de estas obligaciones subyace otra obligación más amplia: la de implantar un procedimiento de gestión de incidencias de seguridad. En consecuencia, la AEPD sanciona con 500.000 euros por la vulneración del artículo 32 y por el 33, 100.000 euros.