La Agencia Española de Protección de Datos (AEPD) ha sancionado con 600.000 euros a Air Europa por gestionar mal una brecha de seguridad que afectó a los datos personales y bancarios de 489.000 clientes, según consta en una reciente resolución consultada por Vozpópuli.
“El incidente de seguridad ha comportado el acceso no autorizado a información de tarjetas bancarias, numeración, fecha de caducidad y CVV que se podría haber utilizado para la comisión de operaciones fraudulentas. Si bien todas las identificadas fueron canceladas antes de que conste que se haya producido algún perjuicio para los interesados”, señala la resolución.
La AEPD explica que Air Europa no tuvo constancia de la existencia de la brecha hasta que recibió una notificación de Banco Popular en octubre de 2018. La aerolínea de los Hidalgo hizo una primera comunicación a la AEPD un mes después y en enero de 2019 efectuó una notificación completa sobre la brecha.
Unas 4.000 tarjetas se utilizaron para cometer fraudes
Siempre según la citada resolución, Air Europa encargó un informe forensic a IBM en el que se detalla que unas 4.000 tarjetas de crédito “habían sido utilizadas para cometer fraude”. Los “datos robados” incluían datos financieros y personales de los clientes de Globalia. Al mismo tiempo, la compañía también encargó otro informe a Foregenix, compañía especializada en brechas de seguridad, que identificó “más de 2,7 millones de números de tarjeta únicos que habían sido extraídos de los sistemas de bases de datos por el atacante”.
La aerolínea señala que solo ha recibido 20 solicitudes de información de clientes derivadas del ataque y que solo tres clientes manifestaron haber sufrido “algún tipo de perjuicio económico”.
“Las medidas de seguridad técnicas y organizativas implantadas por la entidad reclamada no eran apropiadas para garantizar un nivel de seguridad adecuado al riesgo e impedir un acceso no autorizado a los datos de los clientes”, concluye la AEPD. El volumen de registros afectado se eleva a 1,5 millones.
La sanción, que en total es de 600.000 euros, se divide en dos partes. Por un lado, la agencia ha multado con 500.000 euros a la aerolínea por no aplicar medidas apropiadas para garantizar la seguridad de los datos y, por otro, suma otros 100.000 euros por notificar la brecha de seguridad con 41 días de retraso. La ley exige que la notificación debe ser, como muy tarde, 72 horas después de tener constancia de la misma.
Esta resolución no es firme y puede ser recurrida por la aerolínea a través de un recurso contencioso-administrativo presentado ante la Audiencia Nacional.
Apoya TU periodismo independiente y crítico
Ayúdanos a contribuir a la Defensa del Estado de Derecho Haz tu aportación