La AN confirma la multa de 600.000 euros que la AEPD impuso a Air Europa por una brecha de seguridad
La AEPD les multó tras haber quedado al descubierto datos personales y bancarios de 489.000 clientes.

La AN confirma la multa de 600.000 euros que la AEPD impuso a Air Europa por una brecha de seguridad

1 / 08 / 2024 05:30

Actualizado el 02 / 08 / 2024 00:47

La Sala de lo Contencioso-Administrativo ha confirmado la multa de 600.000 euros que la Agencia Española de Protección de Datos (AEPD) impuso a Air Europa por una brecha de seguridad. Quedaron al descubierto datos personales y bancarios de, al menos, 489.000 clientes.

Los magistrados Eduardo Menéndez (presidente), Fernando de Mateo (ponente), Begoña Fernández y Nieves Buisan han considerado en una sentencia dictada el 4 de julio que las medidas de seguridad técnicas y organizativas por la aerolínea no eran apropiadas. 

La sanción se impuso por infringir dos artículos del Reglamento General de Protección de Datos (RGPD). El 32, que hace referencia a la “seguridad del tratamiento” y el 33, que habla sobre la “notificación de una violación de la seguridad de los datos personales a la autoridad de control”. Por el primer artículo les castigaron con 500.000 euros y, por el segundo, 100.000.

Según ha comentado en redes sociales Francisco Javier Sempere, director de Supervisión y control de Protección de Datos del Consejo General del Poder Judicial (CGPJ), este caso fue uno de los primeros en los que la AEPD multó por brechas de seguridad. La sanción se impuso el 15 de marzo de 2021 y fue ratificada el 2 de diciembre de ese año.

La resolución de la AEPD

Todo comenzó cuando una usuaria decidió el 29 de noviembre de 2018 presentar una reclamación ante la AEPD tras haber recibido una notificación del Banco Popular relativa a un incidente de seguridad.

Quedaron desprotegidos informaciones bancarias, la numeración de la tarjeta, el CVV o la fecha de caducidad. Datos que se podrían usar por terceras personas para operaciones fraudulentas.

La AEPD le explicó a Air Europa que no habían tenido constancia de la existencia de la brecha hasta que recibieron la notificación en octubre de 2018 de Banco Popular. Y es que hizo una primera comunicación un mes después y no fue hasta enero de 2019 cuando efectuó una segunda notificación completa sobre la brecha.

Sin embargo, la ley exige que la notificación debe ser máximo 72 horas después de tener constancia de la misma. En este caso, se hizo 41 días después, «infringiendo claramente lo dispuesto en el artículo 33 del RGPD».

Decisión de la Audiencia Nacional

En su recurso ante la Audiencia Nacional, la aerolínea manifestó que en el momento de los hechos, sí cumplía con los requisitos de seguridad. También comentó que tenía implementadas las medidas de seguridad técnicas y organizativas exigidas por la legislación aplicable en el momento del incidente.

Por otro lado, manifestaron que, en todo caso, se les debería aplicar la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), y no el RGPD. Pues el acceso confirmado de los atacantes a la infraestructura de Air Europa fue el 12 de mayo de 2018, antes de la entrada en vigor del Reglamento.

De modo que, si se aplicase la LOPD, la sanción estaría prescrita al haber pasado más de dos años.

Pues bien, los magistrados comentaron, respecto al RGPD, que entró en vigor el 24 de mayo de 2016. Sin embargo, no fue aplicable hasta el 25 de mayo de 2018 porque se dio un plazo de dos años para su preparación, aplicación e interpretación de los distintos derechos y obligaciones.

Pero en este caso, aunque la infracción comenzó el 12 de mayo de 2018, continuó en el tiempo hasta la adopción de aquellas medidas adecuadas para poner fin a la quiebra producida en los sistemas de la aerolínea. Por lo que es una infracción de carácter permanente.

«Y aunque los accesos continuaron hasta agosto de 2018, cesando a partir de esta fecha las medidas implantadas, continuaron siendo inadecuadas hasta que no se implementaron otras con motivo de la comunicación del incidente y la adopción de aquellas otras nuevas con motivo de la intervención de las empresas contratadas», dice la sentencia.

La Audiencia Nacional ha considerado que la resolución de la AEPD no ha infringido el principio de proporcionalidad en la determinación de las sanciones impuestas. La Sala de lo Contencioso-Administrativo ha dictaminado que es ajustada en relación con la gravedad de las infracciones cometidas. Al igual que tampoco había que olvidar que la notificación se hizo 41 días después.

Noticias relacionadas:

Hacienda comunica a Calama la apertura de una investigación tributaria sobre Zapatero y su entorno familiar

El vicepresidente de la SEPI admite reuniones sobre el rescate de Air Europa antes de abrirse el plazo de ayudas, pero niega irregularidades

La Justicia francesa absuelve a Josu Ternera en su último juicio y allana el camino para su entrega a España

La directora de la Guardia Civil, Mercedes González y el DAO Manuel Llamas, citados como investigados en el «caso Leire Díez»

La Agencia Tributaria se persona en el caso de las joyas de Zapatero en plena crisis

Pedraz cita como testigos a los ex altos cargos de la Fiscalía que se reunieron con Leire Díez

Lo último en Tribunales

begoña gómez declara ante el juez peinado ucm

Begoña Gómez podrá ir a la graduación de su hija en Londres, pero no a la cumbre de la OTAN en Turquía

Begoña Gómez 3

Peinado se va de vacaciones y deja el pasaporte de Begoña Gómez en manos de un juez sustituto

félix bolaños carrera judicial y fiscal

Admitida a trámite la demanda de Bolaños contra Aldama por presunta vulneración del derecho al honor

Delcy Rodríguez

Delcy Rodríguez solicita un acto de conciliación con Víctor de Aldama por presuntas injurias

Lactalis

El Supremo abre la puerta a que los ganaderos reclamen más de 1.200 millones de euros por el cártel de la leche