La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 650.000 euros a una compañía del sector aéreo por infringir el principio de integridad y confidencialidad recogido en el artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD). La resolución tiene su origen en una brecha de seguridad producida en los sistemas de un proveedor, encargado del tratamiento,que prestaba servicios de gestión de planes de fidelización de clientes a través de una plataforma en la nube bajo el modelo SaaS.
El incidente fue comunicado a la AEPD en febrero de 2023 tras detectarse un acceso no autorizado a información gestionada por dicho proveedor. La brecha afectó a datos personales de usuarios de la referida plataforma SaaS y representantes de clientes corporativos, incluyendo credenciales de acceso, identificadores de usuario, datos de contacto e información relacionada con vuelos y números de billete. Además, el incidente tuvo alcance transfronterizo al afectar a interesados ubicados en distintos Estados miembros de la Unión Europea.
Aunque inicialmente la aerolínea consideró que el riesgo para los afectados era limitado y concluyó que no era necesario comunicar la brecha a los interesados, las investigaciones posteriores confirmaron la exfiltración de datos personales. La AEPD destacó que el volumen y la diversidad de la información comprometida incrementaban el riesgo para los derechos y libertades de los afectados.
Uno de los aspectos más relevantes de la resolución es el análisis que realiza la AEPD sobre las obligaciones de supervisión del responsable del tratamiento respecto de sus encargados. Según consta en la resolución, el ataque fue posible debido a la explotación de dos vulnerabilidades conocidas públicamente desde 2017 y 2019, para las que existían medidas correctoras y parches disponibles con anterioridad a los hechos. A juicio de la AEPD, esta circunstancia evidencia la ausencia de medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales tratados.
La resolución rechaza asimismo que el responsable del tratamiento pueda acreditar su diligencia basándose únicamente en cuestionarios de autoevaluación o en información facilitada por el propio proveedor. En aplicación del principio de responsabilidad proactiva, la AEPD recuerda que corresponde al responsable verificar de forma efectiva el cumplimiento de las obligaciones de protección de datos por parte de los encargados del tratamiento; verificación que no se produce en el presente caso.
La AEPD subraya además que la obligación de garantizar la seguridad de los datos no se satisface únicamente mediante el diseño formal de medidas de protección, sino que exige su correcta implantación, actualización y supervisión continuada. Desde esta perspectiva, la externalización de servicios no exime al responsable del tratamiento de las obligaciones que le impone la normativa de protección de datos.
Finalmente, la AEPD concluyó que la aerolínea no había adoptado las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales objeto de tratamiento, vulnerando de este modo el principio de integridad y confidencialidad recogido en el artículo 5.1.f) del RGPD. Para determinar el importe de la sanción, la autoridad valoró, entre otros factores, la estrecha relación existente entre la actividad desarrollada por la entidad y el tratamiento de datos personales, dado que, en su condición de aerolínea de transporte de pasajeros, el ejercicio de su actividad requiere un tratamiento continuo de este tipo de información. Como resultado, se impuso una multa de 650.000 euros.