¿Volverá a ser sancionada Air Europa por no proteger los datos de sus clientes?

La compañía aérea española, Air Europa, envió un correo a sus clientes este martes avisando de haber sido víctimas de un ciberataque. En este, la empresa informó a los usuarios de que los delincuentes habían accedido a sus datos bancarios: número de tarjeta, código de seguridad y la fecha de caducidad. En este comunicado además pidió precaución a los afectados y les aconsejó que bloqueasen o cancelasen su tarjeta para evitar posibles robos. Este no es el primer problema que tiene la compañía con la protección de los datos bancarios de sus clientes. En 2018 ya sufrió un ataque muy similar, tras el que se le impuso una multa de 600.000 euros dividida en: una sanción económica de 500.000 euros por la falta de medidas de seguridad y una de 100.000 por tardar 41 días en notificar el incidente. El ataque de 2018 afectó a 489.000 clientes y derivó en el uso fraudulento de 4.000 tarjetas. Noticia Relacionada estandar No Air Europa pide a sus clientes que cancelen sus tarjetas de crédito tras sufrir un ciberataque Blanca Martínez Mingo La compañía aérea ha contactado con los clientes afectados esta madrugada y ha recomendado que «no faciliten información personal, su pin, nombre o cualquier otro dato personal a través de ninguna vía electrónica o telefónica» En ese momento, la Agencia Española de Protección de Datos sancionó a la compañía ya que consideró que «las medidas de seguridad desplegadas por la aerolínea española no eran suficientes para garantizar el acceso no autorizado a los datos de sus clientes» y que, además, por superar el máximo legal para informar a los usuarios. La compañía aérea tardó 41 días en informar sobre el incidente, cuando el máximo está establecido en 72 horas desde que se tiene constancia de él. En esta segunda ocasión, producida este martes, la aerolínea sí comunicó el ataque de forma correcta a todos los afectados, clientes y entidades bancarias. No obstante, podría encontrarse ante una segunda sanción por no proteger los datos de sus usuarios. ¿Qué obligaciones tienen las empresas? En esta segunda ocasión, a pesar de que la aerolínea ha informado de forma correcta, los datos privados de sus clientes se han visto expuestos. En este sentido, las empresas están obligadas por ley a adoptar todas medidas de prevención, seguridad y vigilancia necesarias para evitar el éxito de los ciberataques. En el caso de Air Europa, no está claro si ha cumplido con esta parte de la norma. En caso de no haber cumplido con su obligación, la empresa deberá responder ante la Agencia Estatal de Protección de Datos . Además sería responsable de las consecuencias del ataque. No obstante, aun no se ha determinado si la compañía ha cumplido con los protocolos de seguridad y si es posible demandarla para recibir una indemnización. Si Air Europa demostrase que sí actuó con la diligencia debida y mantuvo las medidas de seguridad podría acogerse al artículo 1.105 del Código Civil. Este artículo sostiene que nadie estará obligado a hacerse cargo de «sucesos que no hubieran podido preverse, o que, previstos, fueran inevitables».