Caso Air Europa: ¿Cómo actuar en caso de robo de datos de clientes?

ross-parmly-rf6ywHVkrlY-unsplash (1)

El pasado 9 octubre de este año, la famosa compañía aérea Air Europa fue víctima de un ciberataque que resultó en el robo de la información bancaria de sus clientes, incluidos números de tarjetas, fechas de vencimiento y códigos de seguridad CVV.

Mediante correo electrónico la aerolínea comunicó a sus pasajeros que habían detectado una brecha en el sistema de seguridad, y que sus datos bancarios podían estar comprometidos pues los hackers habían logrado piratear la web que gestiona los pagos online (una práctica conocida como formjacking).

Frente a la filtración, la compañía en cumplimiento del Reglamento General de Protección de Datos (RGPD):

  1. Notificó la violación de seguridad de los datos personales en ‘tiempo y forma’ a las autoridades de control competentes y;
  2. Recomendó a sus pasajeros la cancelación de las tarjetas empleadas en su página con la finalidad de evitar el uso fraudulento de las mismas.

No es el primer ciberataque que sufre Air Europa, ya que en 2018 se produjo una brecha que dejó al descubierto los datos de casi medio millón de clientes, y que resultó en una multa de 600.000 euros por la Agencia Española de Protección de Datos (AEPD) al no cumplir con el RGPD. Una situación que no se ha vuelto a repetir este 2023 debido al buen cumplimiento de la legislación por parte de la aerolínea.

Si bien es cierto que ninguna empresa que opere en Internet está exenta de sufrir un ciberataque, es importante que las compañías sepan actuar frente a la producción de una brecha en su seguridad y el robo de los datos de sus clientes. De este modo, se evitarán multas como la de Air Europa en 2018 y no perderemos la confianza de los clientes en nuestra empresa.

Actuación de una empresa en caso de robo de datos del cliente.

Los artículos 33 y 34 de la RGPD son los puntos de referencia a los que debemos acudir como empresa cuando sufrimos el robo de los datos de nuestros clientes o cualquier otro tipo de brecha en nuestra seguridad.  Adicionalmente al reglamento, la AEPD publicó la ‘Guía para la notificación de brechas de datos personales’ con el objetivo de guiar a los responsables del tratamiento de los datos personales en el cumplimiento de sus obligaciones en lo referente a las brechas de seguridad.

Por ello, conforme a ambos textos, cuando una empresa detecta una vulneración en su sistema de seguridad debe:

  1. Valorar la magnitud del ataque y determinar en nivel de riesgo para los derechos de los clientes, así como analizar qué datos han sido comprometidos.
  2. Una vez detectada y evaluada la vulneración los encargados del tratamiento deberán informar sin dilación de las brechas a los responsables del tratamiento.
  3. Con la mayor prontitud y a más tardar en el plazo de 72 horas, el responsable del tratamiento tendrá la obligación de notificar la brecha a la autoridad de control competente, en el caso de España, a la AEPD.
  • En caso notificar a la autoridad tras transcurrir las 72 horas, la notificación deberá ir acompañada de los motivos de la dilación.
  • Es importante recalcar que el propio precepto 33 obliga a todos los responsables de tratamiento a notificar una violación ‘a menos que sea improbable que esta constituya un riesgo para los derechos y libertades de las personas.’
  • En la notificación se deberá describir como mínimo la naturaleza de la brecha, el número de afectados, los datos comprometidos y las posibles consecuencias de la brecha de seguridad.

 

  1. Cuando la violación de seguridad entrañe un alto riesgo para los derechos de las personas físicas, el responsable de seguridad deberá comunicar a los titulares de los datos personales afectados sin dilaciones indebidas.
    • La comunicación debe ser en un lenguaje claro y sencillo sobre la naturaleza de la violación, la categoría de los datos afectados, las consecuencias y las medidas que se están adoptando. La falta de notificación a los interesados puede comportar sanciones de hasta 200.000 euros o hasta el 4% del volumen de negocio total global anual del ejercicio financiero anterior.
    • En caso de no comunicar la brecha de datos personales a los afectados, se debe indicar los motivos para ello. La guía contempla una serie de supuestos listados como la no interferencia en una investigación policial/judicial en curso o la inexistencia de un riesgo alto para los derechos de los afectados.

En cualquier caso, durante todo este proceso, es obligación del responsable de tratamiento hasta la resolución del proceso la documentación de todas las actuaciones, así como la compilación de toda la información, incluidas las medidas correctivas que se hayan ido adoptando.

Finalmente, una vez abordado el problema, el último paso a dar es la realización de un análisis exhaustivo de qué ha fallado, cuáles han sido las causas y consecuencias. Esto permitirá implementar nuevas y mejores medidas de seguridad, lo que ayudará a prevenir que ocurran nuevos incidentes.

En conclusión, si bien es importante implementar las medidas técnicas y organizativas necesarias para evitar estos incidentes, es necesario que las empresas estén preparadas para responder ante posibles ataques para garantizar la seguridad y privacidad de su compañía y de sus clientes.

Whatsapp Logo