Multas millonarias en protección de datos para British Airways y Marriott…y estas son solo las primeras

Poco más de 1 año después de la entrada en vigor de la nueva regulación sobre protección de datos en Europa, hemos visto como la agencia de protección de datos inglesa, la Oficina del Comisionado de Información de Reino Unido (ICO) ha anunciado su intención de imponer las primeras multas millonarias en Europa: 203 millones de euros a British Airways y 110 millones de euros para Marriott.

Pero, ¿qué es lo que la ICO ha tenido en consideración para proponer este importe de sanciones a los que no estamos nada acostumbrados? En ambos casos, las propuestas de sanciones se impondrían como consecuencia de una brecha de seguridad y en ambos casos la ICO ha valorado, multitud de factores, siendo probablemente el más relevante, la existencia de fallos en las medidas de seguridad.

Si la empresa no tiene implementadas las medidas de seguridad necesarias para proteger los datos personales, las sanciones van a ser muy elevadas. Es cierto que la sofisticación de los ciberataques es cada vez mayor y que no existe ninguna medida de seguridad 100 % infalible, no obstante, lo que los reguladores van a tener en consideración en este tipo de casos es si las empresas se lo han puesto fácil a los atacantes porque no tenían implementadas las medidas adecuadas.

Y ambas multas son prueba de ello. En el caso de British Airways la ICO ha manifestado que la aerolínea no cumplía con los estándares básicos de seguridad que hay que aplicar cuando se trata información de pagos con tarjetas (PCI) y no tenía encriptados los códigos de seguridad (CVV) de las tarjetas de crédito.

Qué tipo de información se ve afectada por la brecha y las consecuencias que pueden derivarse para los usuarios es otro factor a tener en consideración en este tipo de investigaciones. Las consecuencias no son las mismas si los datos afectados son, por ejemplo, direcciones de email, que si además, como es el caso de British Airways, los atacantes tienen acceso a datos financieros como números de tarjetas de crédito que pueden fácilmente ser usados con fines fraudulentos.

No obstante, la ICO no tiene en consideración si ese uso fraudulento se ha producido o no, dado que como indica su directora, Elizabeth Denham, en una entrevista publicada por el Wall Street Journal, pueden transcurrir bastantes años desde que se produce la brecha hasta que los datos se utilizan con estos fines, como fue el caso de Yahoo! (la brecha se produjo en 2014 y el uso fraudulento se detectó 3 años más tarde).

El número de afectados también es otro criterio a tener en cuenta, en el caso de British Airways estamos hablando de 500.000 clientes , pero en el caso de Marriott se cree que la brecha afectó a la información de alrededor de 500.000.000 de clientes. La duración de la brecha, esto es, el tiempo durante el cual los hackers han podido acceder a la información hasta que se descubre la brecha es otro criterio a valorar; en el caso de Bristirh Airways fueron dos semanas mientras que en el de Marriott fueron 4 años.

En el caso de Marriott, la ICO también ha tenido en consideración las medidas que se adoptaron el momento de la adquisición de la cadena Starwood.

Y, obviamente, el tamaño de la empresa es lo que define el importe de la sanción; se asume que cuanto mayor sea el tamaño de la empresa, esta debe tener más medios dedicados a proteger los datos personales de sus clientes o empleados. No se le puede exigir lo mismo a una PYME que a una multinacional.

Pero además, las agencias de protección de datos quieren que las sanciones tengan un efecto disuasorio y para conseguir ese fin tienen que imponer multas que estén ligadas al volumen de facturación de la compañía, cosa que permite la nueva regulación de protección de datos. Así, mientras que bajo la anterior regulación la ICO solo pudo imponer a Facebook una multa de 500.000 Libras, que era la máxima permitida en aquel momento, por el escándalo de Cambridge Analytica, ahora, la nueva regulación le da la posibilidad de imponer una sanción a British Airways que representa el 1,5 % de su volumen de facturación anual en 2017. Claramente, el grado de persuasión de este tipo de sanciones es mayor.

La Agencia Española de Protección de Datos sancionó a la Liga de Fútbol Profesional con 250.000 euros recientemente y la directora de la ICO, en la mencionada entrevista, anunciaba que se van a imponer más multas a otras empresas este verano por parte del organismo que dirige, así que parece que vienen curvas y que British Airways y Marriott son solo los primeros de una larga lista de sanciones millonarias.

Lupe Sampedro, socia del área de Privacidad Internacional y Protección de Datos de Bird & Bird