La seguretat de les dades personals que els usuaris comparteixen amb la organitzacions és un tema de màxima importància, una gestió deficient en l’àmbit de la seguretat d’aquestes pot produir la pèrdua o robatori d’informació molt sensible, aquest fet pot desembocar en una pèrdua de prestigi i en multes econòmiques molt altes. Justament això és el que li ha passat a British Airways i Marriott, la companyia aèria britànica s’exposa a una multa de 183 milions de lliures, d’altra banda la cadena hotelera podria rebre una multa de 99 milions de lliures, ambdós casos a causa del robatori de dades personals dels seus clients.

En el cas de British Airways l’atac va afectar els clients que havien fet reserves a la web i a l’app de la companyia britànica entre el 21 d’agost i el 5 de setembre, s’hi van veure implicades dades de registre, targetes de crèdit, informació de viatges reservats, noms i adreces personals. Les víctimes del robatori van ser unes 500.000, l’atac va consistir en la introducció de codi maliciós a la web i app de British Airways, aquesta modificació feia que, en el moment de fer un pagament, es desviessin els usuaris cap a una web fraudulenta.

Aquest ciberatac s’ha atribuït posteriorment al grup de hackers Magecart, especialitzat en robar detalls relacionats amb targetes de crèdit en webs pocs segures. Magecart també ha actuat a TicketMaster i altres comerços online de menys envergadura.

L’ICO (Information Commissioner’s Office) és la institució britànica competent en l’àmbit de la protecció de dades que ha anunciat la decisió de multar British Airways. Segons l’ICO aquesta fuga de seguretat es va produir perquè British Airways tenia unes mesures de seguretat poc efectives.

La comissaria de l’ICO Elisabeth Denham ha argumentat que “Les dades personals són justament això, personals. Quan una organització fracassa en la protecció de dades i pateix una pèrdua, un dany o un robatori d’aquestes, el que s’ha produït és molt més que un error o una molèstia.”

No obstant, des de l’ICO, s’ha volgut subratllar que British Airways ha cooperat en tot moment amb aquesta investigació i que, des del moment en que es va produir el robatori de dades, ha millorat les mesures de seguretat.

La multa de 183 milions de lliures equival a un 1,5 % de la facturació de la companyia l’any 2017 però la sanció, segons la normativa, podria haver pujat legalment fins al 4% de la facturació, el màxim de penalització estipulat en aquests casos. Malgrat no ser l’import màxim, aquesta xifra afectarà, sens dubte, el balanç financer de la companyia britànica del proper any.

D’altra banda, en el cas de Marriott, el novembre de 2018 aquesta organització va descobrir que un grup desconegut de hackers havien accedit la base de dades de les reserves de Starwoods, cadena d’hotels de la qual és propietària. La base de dades afectada conté els noms del hostes, adreces de correu electrònic, números de telèfon, dates de naixement, gènere, moment d’entrada i sortida de l’hotel i preferències de comunicació, uns 339 milions de persones haurien estat víctima d’aquests atacs.

La multes a British Airways i Marriott estableixen un nou màxim en el rànquing de multes relacionades amb la protecció de dades, l’anterior rècord va ser per Facebook amb una sanció de 500.000 lliures. La multa imposada a British Airways és la primera que s’ha fet pública des de que funciona el nou Registre General de Protecció de Dades, la nova normativa obliga a les companyies a notificar les fugues de seguretat a l’autoritat de protecció de dades competent a cada país de la Unió Europea. Les dues companyies presentaran recursos contra aquestes multes.

L’actitud de l’ICO en cas de fugues de dades la resumeix aquesta declaració de la seva comissària, Elisabeth Denham: “Les dades personals tenen un valor molt important, per tant les organitzacions tenen el deure legal de garantir-ne la seguretat, tal com farien amb qualsevol altre actiu, si no es garanteix aquesta seguretat nosaltres no dubtarem a prendre mesures contundents amb la finalitat de protegir els drets dels ciutadans.”

El missatge és clar, si no es tracten amb molta cura les dades dels clients, en cas de que les coses vagin malament, el càstig serà important. Si creus que les dades personals dels teus clients no estan prou protegides a Escuda et podem ajudar, una auditoria de seguretat que faci un diagnòstic i proposi les millores necessàries és la millor prevenció. Pots contactar amb nosaltres omplint aquest formulari o trucant al 931 931 848.