Ratificada la condena de 600.000 euros a Air Europa por el robo de los datos de miles de clientes

La Sala de lo Contencioso de la Audiencia Nacional ha ratificado la sanción de 600.000 euros a la compañía aérea Air Europa por gestionar mal una brecha de seguridad que, en 2018, facilitó el robo de los datos personales y bancarios de alrededor de 500.000 clientes. Así, ha desestimado el recurso interpuesto por la mercantil que pretendía que se declarase prescrita e improcedente la infracción cometida hace ya seis años.

Según consta en la sentencia (cuyo contenido puede consultarse pinchando en ‘descargar resolución’), el incidente de seguridad se produjo después de que unos ciberdelincuentes tuvieran acceso a unas 4.000 tarjetas de crédito con la finalidad de cometer un fraude. Delito que se dilató hasta que los hackers consiguieron hacerse con unas 488.000 tarjetas de crédito únicas, con sus CVVs, fechas de vencimiento y nombre de los titulares.

Un problema del que Air Europa no tuvo constancia hasta que recibió una notificación de Banco Popular en octubre de 2018. Esta notificación fue crucial porque el Banco Popular alertó a la aerolínea sobre el uso fraudulento de las tarjetas de crédito de sus clientes, lo que obligó a la empresa a activar su plan de respuesta ante incidentes de seguridad el 17 de octubre de 2018. Sin embargo, no fue hasta el 29 de noviembre de 2018 cuando Air Europa comunicó formalmente el incidente a la Agencia Española de Protección de Datos (AEPD).

Posteriormente, el 1 de abril de 2019, la empresa presentó un informe técnico forense elaborado por IBM Global Services España, S.A. Este informe detallaba el análisis del incidente, identificaba las tareas técnicas realizadas para cerrar la brecha de seguridad y las mejoras implementadas, y señalaba que el acceso inicial de los atacantes a la red de Globalia (empresa matriz de Air Europa) se produjo a través de la pasarela de acceso Citrix mediante el uso de credenciales válidas el 12 de mayo de 2018.

En noviembre de 2019, Air Europa presentó un informe forense adicional de Foregenix basado en investigaciones realizadas y el análisis de las posibles causas del incidente. Este informe identificó pruebas concluyentes de la violación de seguridad en Air Europa y se acompañó de documentación adicional, como el contrato de asistencia y gestión de sistemas de información y comunicaciones. Finalmente, en junio de 2020, la empresa aportó una evaluación de impacto del tratamiento de «Venta a clientes por canales alternativos».

(Imagen: Air Europa)

La AEPD acordó una multa de 600.000 euros

Como consecuencia de esto, la AEPD multó con 600.000 euros a la aerolínea: 500.000 euros por no aplicar medidas apropiadas para garantizar la seguridad de los datos, que se recogen en el artículo 32 del Reglamento 2016/679 de la UE; y 100.000 euros por notificar este ataque de seguridad con 41 días de retraso, cometiendo así una infracción del artículo 33 del mismo texto legal previamente mencionado. Ambas sanciones tipificadas como graves en el artículo 83.4 a) del susodicho Reglamento.

“El incidente de seguridad ha comportado el acceso no autorizado a información de tarjetas bancarias, numeración, fecha de caducidad y CVV que se podría haber utilizado para la comisión de operaciones fraudulentas. Si bien todas las identificadas fueron canceladas antes de que conste que se haya producido algún perjuicio para los interesados”, señaló entonces la resolución.

Pero no conformes con este fallo, Air Europa interpuso recurso contencioso-administrativo ante la Justicia, denunciando una infracción del artículo 32.1 del Reglamento o (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (en lo sucesivo RGPD); y de los artículos 32.1 y 33.1 del RGPD. Asimismo, alegaba una falta de proporcionalidad de las sanciones impuestas, considerándolas excesivas dada la escasa repercusión de los hackeos sobre las tarjetas de crédito.

Por un lado, la aerolínea argumentó que el RGPD no se aplicaba al incidente de seguridad ocurrido el 12 de mayo de 2018, antes de su entrada en vigor, y que cumplía con las medidas de seguridad exigidas por la legislación vigente en ese momento (LOPD y RD 1720/2007). También sostuvo que la infracción estaba prescrita cuando la AEPD notificó el inicio del procedimiento sancionador el 25 de junio de 2020.

Air Europa también cuestionó la validez de los informes forenses utilizados por la AEPD, alegando que el informe de Foregenix era parcial y no evaluaba el cumplimiento de la normativa de privacidad. Incluso el informe de IBM, según la aerolínea, no fue diseñado para evaluar la adecuación de las medidas de seguridad bajo el RGPD.

Por otro lado, la empresa impugnó la sanción basada en el artículo 33.1 del RGPD, argumentando que notificaron el ciberataque a la AEPD el 27 de noviembre de 2018, tan pronto tuvieron conocimiento el 14 de noviembre de 2018, y no el 16 de octubre de 2018 como sugería la AEPD. Finalmente, alegó falta de proporcionalidad en las sanciones, comparándolas con otros casos y considerando el impacto de la pandemia de Covid-19 en sus operaciones.

(Imagen: Audiencia Nacional)

La Audiencia Nacional ratifica la sanción de la AEPD

Pese a todos estos argumentos, la Audiencia Nacional ha terminado dando la razón a la AEPD, ratificando así la sanción de 600.000 euros a la aerolínea española. Primero, porque «no cabe deducir que la infracción haya prescrito, pues los accesos duraron hasta agosto de 2018, y la notificación del acuerdo de inicio del expediente sancionador se produjo el 25 de junio de 2020, es decir, no habían transcurrido el plazo de dos años previsto para las infracciones graves del artículo 73.g) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales».

En segundo lugar, porque «las medidas de seguridad técnicas y organizativas implantadas por la parte demandante no eran apropiadas para garantizar un nivel de seguridad adecuado al riesgo e impedir un acceso no autorizado a los datos de los clientes, apreciándose la existencia de la infracción del art. 32.1 del RGPD».

Asimismo, porque «no nos encontramos con una notificación incompleta, tardía o defectuosa de la información relacionada con la brecha de seguridad puesta a disposición de la autoridad de control, como pretenda la parte actora, sino de un incumplimiento de la notificación a la autoridad de protección de datos de la incidencia de seguridad en los datos de carácter personal producida de conformidad con lo previsto en el art. 33 del RGPD, que señala que el responsable del tratamiento debe notificar la brecha sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella».

Por último, porque «la resolución sancionadora no ha infringido el principio de proporcionalidad en la determinación de las sanciones impuestas, que resultan ponderadas y proporcionadas a la gravedad de las infracciones cometidas y a la entidad de los hechos, sin que se aprecien razones que justifiquen su minoración».