La compañía aérea Air Europa ha sufrido un ataque informático en sus sistemas por el cual se perpetró un acceso indebido a los datos de las tarjetas bancarias de sus clientes. En concreto, los ciberdelincuentes han tenido acceso al número de tarjeta bancaria, fecha de caducidad y código de seguridad CVV.
Air Europa, en aras de minimizar el impacto de la incidencia, ha enviado una comunicación a sus clientes indicando lo ocurrido y alertando de que cancelen sus tarjetas bancarias. Asimismo, como dicta la legislación de protección de datos personales ha notificado, en el plazo exigido de 72h, la brecha de seguridad a la Agencia Española de Protección de Datos (AEPD).
Para almacenar y conservar los datos de tarjetas bancarios el responsable del tratamiento tiene que contar con una base de legitimación adecuada.
Las Recomendaciones 02/2021 relativas a la base jurídica para el almacenamiento de datos de tarjetas de crédito de la Comité Europea de Protección de Datos descartan que se puedan almacenar datos de una tarjeta bancaria para facilitar futuras compras en base a una obligación legal, intereses vitales o intereses públicos. Además, establecen claramente que el almacenamiento de los datos de una tarjeta bancaria tras el pago de productos o servicios no es necesario para la ejecución de un contrato. Por tanto, parece que la única base de legitimación adecuada sería el consentimiento del titular de los datos. Sin embargo, no parece que se estuviera recabando.
Adicionalmente, el tratamiento de datos de tarjetas bancarias exige la necesidad de establecer medidas de seguridad lo suficientemente robustas para evitar un acceso no autorizado a esta información. Del mismo modo, se habrían de establecer medidas para mitigar el impacto que una fuga de estos datos pudiera generar a sus titulares como habría sido, por ejemplo, el cifrado.
Esta no es la primera brecha de seguridad que sufre Air Europa, en el año 2018 sufrió un ataque informático por el cual accedieron a datos personales de más de 400.000 clientes, entre los cuales se encontraban datos de tarjetas bancarias.