Economía

Otro problema para Air Europa: Protección de Datos confirma la multa de 600.000 euros

A la complicada situación financiera de Air Europa se suma una sanción ratificada por la Agencia Española de Protección de Datos (AEPD). La aerolínea tendrá que abonar una multa de

  • Javier Hidalgo y su padre, el presidente de Globalia, Juan José Hidalgo.

A la complicada situación financiera de Air Europa se suma una sanción ratificada por la Agencia Española de Protección de Datos (AEPD). La aerolínea tendrá que abonar una multa de 600.000 euros por realizar un mal tratamiento de los datos de sus clientes. La compañía sufrió una violación de seguridad que afectó a los datos personales y bancarios de 489.000 de sus usuarios, tal y como informó Vozpópuli. Una noticia que se conoce poco después de que se frustrase la compra de la compañía por parte de Iberia. Ambas corporaciones se han comprometido a llegar a un nuevo acuerdo en enero.

La noticia de la multa se hizo pública en marzo del presente año. Con posterioridad a la imposición de la sanción, la aerolínea fundada por el empresario salmantino Juan José Hidalgo interpuso un recurso para tratar de evitar la multa. La Agencia Española de Protección de Datos, el órgano encargado de que se cumpla el Reglamento General de Protección de Datos (RGPD) por el que se rige el tratamiento de los datos, ha decidido ratificar la sanción.

La multa se produce por dos irregularidades. La primera, por la que se impone una sanción de 100.000 euros, tiene que ver con los datos personales de los afectados. "“El incidente de seguridad ha comportado el acceso no autorizado a información de tarjetas bancarias, numeración, fecha de caducidad y CVV que se podría haber utilizado para la comisión de operaciones fraudulentas. Si bien todas las identificadas fueron canceladas antes de que conste que se haya producido algún perjuicio para los interesados”, señalaba la resolución inicial.

Air Europa tenía que haber notificado el incidente en las siguientes 72 euros de que fuera consciente de ello. Lo hizo 41 días después

La segunda, de medio millón de euros de cuantía, tiene que ver con la obligatoriedad de comunicar a la Agencia Española de Protección de Datos cualquier brecha de seguridad en las 72 horas posteriores a su conocimiento. Air Europa comunicó a la autoridad competente los hechos 41 después de que fuese puesta en conocimiento del problema.

Air Europa fue avisada por Banco Popular

La AEPD explica que Air Europa no tuvo constancia de la existencia de la brecha. hasta que recibió una notificación de la entidad financiera Banco Popular en octubre de 2018. La aerolínea española hizo una primera comunicación a la entidad garante de la Protección de Datos un mes después. Ya en enero de 2019 efectuó una segunda notificación completa sobre la brecha.

"Vistos los preceptos citados y demás de general aplicación, La Directora de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DESESTIMAR el recurso de reposición interpuesto por AIR EUROPA LINEAS AÉREAS S.A. contra la resolución de esta Agencia Española de Protección de Datos dictada con fecha 15 de marzo de 2021, en el procedimiento sancionador PS/00179/2020. SEGUNDO: NOTIFICAR la presente resolución a la entidad AIR EUROPA LINEAS AÉREAS S.A.", explica la resolución, consultada por Vozpópuli.

Siempre según la citada resolución, Air Europa encargó una investigación sobre la brecha de seguridad a IBM en el que se detalla que unas 4.000 tarjetas de crédito “habían sido utilizadas para cometer fraude”. Los “datos robados” incluían datos financieros y personales de los clientes de Globalia. Al mismo tiempo, la compañía también encargó otro informe a Foregenix, compañía especializada en brechas de seguridad, que identificó “más de 2,7 millones de números de tarjeta únicos que habían sido extraídos de los sistemas de bases de datos por el atacante”.

Martín añade que "En el recurso de reposición Air Europa justifica la notificación tardía realizada porque “no se tenía conocimiento suficiente de la naturaleza o alcance sufrido y que hubiera afectado a datos personales”. Sin embargo, este alegato es rechazado por la autoridad de control “puesto que el responsable del tratamiento tenía pruebas claras de que se había producido tal violación y no cabían dudas de que tenía constancia de ello como consecuencia de la notificación del Banco Popular”, explica Gonzalo Oliver Martín, asesor jurídico en materia de Privacidad y Protección de Datos, en Ozonia Consultores. Además, es socio de la Asociación Española de Delegados de Protección de Datos.

Apoya TU periodismo independiente y crítico

Ayúdanos a contribuir a la Defensa del Estado de Derecho Haz tu aportación Vozpópuli