Confilegal
Confilegal
Menú
La AN confirma la multa de 600.000 euros que la AEPD impuso a Air Europa por una brecha de seguridad
La AEPD les multó tras haber quedado al descubierto datos personales y bancarios de 489.000 clientes.
Portada / Tribunales

La AN confirma la multa de 600.000 euros que la AEPD impuso a Air Europa por una brecha de seguridad

|
01/8/2024 05:30
|
Actualizado: 02/8/2024 00:47
|

En esta noticia se habla de:

La Sala de lo Contencioso-Administrativo ha confirmado la multa de 600.000 euros que la Agencia Española de Protección de Datos (AEPD) impuso a Air Europa por una brecha de seguridad. Quedaron al descubierto datos personales y bancarios de, al menos, 489.000 clientes.

Los magistrados Eduardo Menéndez (presidente), Fernando de Mateo (ponente), Begoña Fernández y Nieves Buisan han considerado en una sentencia dictada el 4 de julio que las medidas de seguridad técnicas y organizativas por la aerolínea no eran apropiadas. 

La sanción se impuso por infringir dos artículos del Reglamento General de Protección de Datos (RGPD). El 32, que hace referencia a la “seguridad del tratamiento” y el 33, que habla sobre la “notificación de una violación de la seguridad de los datos personales a la autoridad de control”. Por el primer artículo les castigaron con 500.000 euros y, por el segundo, 100.000.

Según ha comentado en redes sociales Francisco Javier Sempere, director de Supervisión y control de Protección de Datos del Consejo General del Poder Judicial (CGPJ), este caso fue uno de los primeros en los que la AEPD multó por brechas de seguridad. La sanción se impuso el 15 de marzo de 2021 y fue ratificada el 2 de diciembre de ese año.

La resolución de la AEPD

Todo comenzó cuando una usuaria decidió el 29 de noviembre de 2018 presentar una reclamación ante la AEPD tras haber recibido una notificación del Banco Popular relativa a un incidente de seguridad.

Quedaron desprotegidos informaciones bancarias, la numeración de la tarjeta, el CVV o la fecha de caducidad. Datos que se podrían usar por terceras personas para operaciones fraudulentas.

La AEPD le explicó a Air Europa que no habían tenido constancia de la existencia de la brecha hasta que recibieron la notificación en octubre de 2018 de Banco Popular. Y es que hizo una primera comunicación un mes después y no fue hasta enero de 2019 cuando efectuó una segunda notificación completa sobre la brecha.

Sin embargo, la ley exige que la notificación debe ser máximo 72 horas después de tener constancia de la misma. En este caso, se hizo 41 días después, «infringiendo claramente lo dispuesto en el artículo 33 del RGPD».

Decisión de la Audiencia Nacional

En su recurso ante la Audiencia Nacional, la aerolínea manifestó que en el momento de los hechos, sí cumplía con los requisitos de seguridad. También comentó que tenía implementadas las medidas de seguridad técnicas y organizativas exigidas por la legislación aplicable en el momento del incidente.

Por otro lado, manifestaron que, en todo caso, se les debería aplicar la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), y no el RGPD. Pues el acceso confirmado de los atacantes a la infraestructura de Air Europa fue el 12 de mayo de 2018, antes de la entrada en vigor del Reglamento.

De modo que, si se aplicase la LOPD, la sanción estaría prescrita al haber pasado más de dos años.

Pues bien, los magistrados comentaron, respecto al RGPD, que entró en vigor el 24 de mayo de 2016. Sin embargo, no fue aplicable hasta el 25 de mayo de 2018 porque se dio un plazo de dos años para su preparación, aplicación e interpretación de los distintos derechos y obligaciones.

Pero en este caso, aunque la infracción comenzó el 12 de mayo de 2018, continuó en el tiempo hasta la adopción de aquellas medidas adecuadas para poner fin a la quiebra producida en los sistemas de la aerolínea. Por lo que es una infracción de carácter permanente.

«Y aunque los accesos continuaron hasta agosto de 2018, cesando a partir de esta fecha las medidas implantadas, continuaron siendo inadecuadas hasta que no se implementaron otras con motivo de la comunicación del incidente y la adopción de aquellas otras nuevas con motivo de la intervención de las empresas contratadas», dice la sentencia.

La Audiencia Nacional ha considerado que la resolución de la AEPD no ha infringido el principio de proporcionalidad en la determinación de las sanciones impuestas. La Sala de lo Contencioso-Administrativo ha dictaminado que es ajustada en relación con la gravedad de las infracciones cometidas. Al igual que tampoco había que olvidar que la notificación se hizo 41 días después.

Noticias Relacionadas:
La Audiencia Nacional deja en libertad provisional al cerebro del «caso Nummaria»
La Audiencia Nacional procesa a ocho personas por la tentativa de asesinato de Vidal-Quadras
Koldo pide a la AN y al TS que le devuelvan su móvil para defenderse del presunto acoso a Claudia Montes
La Audiencia Nacional cita como investigados a Pardo de Vera (ADIF) y Javier Herrero (Carreteras) en relación al «caso Koldo»
El Supremo desdice a la Audiencia Nacional: Las elecciones sindicales no son tiempo de trabajo
Un despacho de abogados, sancionado por la AEPD por vulnerar la protección de datos dentro de su propio equipo
Lo último en Tribunales