Adam Satariano

Londres

Las autoridades británicas dijeron el 8 de julio que pretendían imponer a British Airways una multa de casi 230 millones de dólares por una violación de datos ocurrida el año pasado, la cual sería la sanción más grande contra una empresa por errores en materia de privacidad según la nueva ley europea de protección de datos.

La deficiente seguridad de la aerolínea permitió que piratas informáticos desviaran el verano pasado aproximadamente a 500.000 clientes que visitaron el sitio web de British Airways a un sitio fraudulento, donde tomaron nombres, direcciones, información de acceso, detalles para pagos con tarjeta, reservaciones de viaje y otros datos, de acuerdo con la Oficina de la Comisionada de Información, la agencia británica que se encarga de analizar las violaciones de datos.

En un comunicado, British Airways dijo que se sintió “sorprendida y contrariada” por la decisión de la agencia y que impugnaría el fallo.

MULTA A FACEBOOK

La sanción indica una nueva etapa para las empresas que enfrenten robos de datos a gran escala. Los encargados de las políticas en Europa, frustrados debido a que las empresas no estaban haciendo lo suficiente para proteger la información de las personas en internet, el año pasado adoptaron una nueva ley, el Reglamento General de Protección de Datos, conocido como RGPD, el cual permite que los reguladores de todos los países de la Unión Europea emitan multas hasta del 4% del ingreso global de la empresa en caso de alguna violación. Y al actuar contra una marca icónica británica, los funcionarios demostraron que la vigilancia del cumplimiento de la ley no se limitaría a las empresas tecnológicas con sede en Estados Unidos, mismas que se han considerado el blanco principal.

Anteriormente, las sanciones de la Oficina de la Comisionada de Información tenían un límite de 500.000 libras, o aproximadamente 625.000 dólares. Esa fue la multa que se le impuso a Facebook el año pasado por permitir que Cambridge Analytica extrajera información de millones de usuarios sin su autorización.

Facebook y Google se encuentran entre otras empresas que actualmente están bajo investigación de las autoridades europeas por violaciones a esta ley emblemática.

ATENCIÓN MUNDIAL

“Los datos personales de la gente son justo eso, personales”, dijo en un comunicado Elizabeth Denham, la comisionada de información. “Cuando una empresa no puede protegerlos de la pérdida, el daño o el robo, esa falla no es solo un contratiempo. Por eso, la ley es clara: cuando se nos confían datos personales, debemos cuidarlos”.

Sin embargo, Alex Cruz, presidente y director ejecutivo de British Airways, señaló que la empresa había “respondido con rapidez al hecho delictivo de robo de los datos de sus clientes”. El acceso ilegal a la información tuvo lugar de junio a setiembre del 2018.

“No hemos encontrado pruebas de fraudes o actividades fraudulentas en las cuentas vinculadas al robo”, afirmó.

La experiencia de Europa está siendo observada atentamente por los gobiernos de todo el mundo, incluyendo el de Estados Unidos, donde los encargados de las políticas están promoviendo la creación de nuevas legislaciones en materia de privacidad que exijan que las empresas sean más transparentes acerca de la forma en que recaban y emplean los datos. Y aunque la regulación federal sobre la privacidad en Estados Unidos ha cobrado ímpetu, se cree que es poco probable que se promulgue en algún momento próximo.

INVERTIR EN SEGURIDAD

Desde que se aprobó la ley europea de privacidad de datos en mayo del año pasado, se han dado a conocer pocas sanciones. En enero, los reguladores franceses multaron a Google con 50 millones de euros, aproximadamente 56 millones de dólares, por no revelar correctamente cómo recababa la información en sus servicios.

La amenaza de multas considerables tiene el objetivo de alentar a las empresas a invertir en seguridad cibernética y a ser más juiciosas respecto a la información de los usuarios que recaban y almacenan. Durante años, las empresas han recopilado detalles sobre las personas para obtener mejores perfiles acerca de ellas a fin de vender más bienes y servicios.

“Da una idea de los riesgos que podrían correr las empresas involucradas en violaciones mucho más grandes”, comentó Johnny Ryan, el director de políticas de Brave, un navegador de internet enfocado en la privacidad. “Finalmente, los reguladores quizás estén empezando a activarse”.

Debido a que los accesos ilegales a la información se han vuelto más comunes, con frecuencia los clientes se sienten indefensos cuando su información queda expuesta debido a los robos de datos a empresas grandes, como la compañía de calificación crediticia Equifax, la cadena hotelera Marriott y la empresa de internet Yahoo. Según los encargados de la creación de políticas, sin el RGPD había pocos recursos de defensa más allá de la mala publicidad.

PIRATAS HÁBILES

“Este es un cambio fundamental considerable respecto del régimen anterior de multas, y es indicativo de la forma en que la Oficina de la Comisionada de Información busca incentivar las prácticas de seguridad para evitar violaciones de datos como esta”, comentó Michael Veale, investigador de los derechos digitales que se especializa en la nueva ley de datos y se unirá a la planta de docente del University College de Londres.

Comentó que creía que los reguladores habían determinado la sanción “basándose en que se trataba de una violación de datos totalmente prevenible que fue resultado de prácticas técnicas y organizacionales negligentes”.

Las empresas han sostenido que los piratas cibernéticos pacientes y hábiles pueden esquivar incluso las mejores prácticas de seguridad cibernética. Con frecuencia, las violaciones a la información son el resultado de un error cometido por algún empleado, como abrir un archivo adjunto infectado, que entonces se propaga en la red general de la empresa.

Todavía no es definitiva la decisión del Reino Unido de multar a British Airways con 183,5 millones de libras, equivalente más o menos al 1,5 por ciento de los ingresos anuales de la aerolínea. La agencia señaló que “consideraría con detenimiento” las respuestas de la aerolínea y de otros con respecto a la sanción antes de emitir una decisión final.