A British Airways foi multada em 183 milhões de libras (cerca de 204 milhões de euros) devido a uma ciberataque que a empresa descobriu no site em Setembro de 2018 e afectava dados pessoais – emails, moradas e nomes – de milhares de passageiros. O valor da multa equivale a cerca de 1,5% da facturação anual da companhia aérea britânica, que tem 28 dias para recorrer da multa.

O valor foi anunciado, esta segunda-feira, pela agência britânica de protecção de dados, a Information Commissioner's Office (ou ICO, na sigla original). É a primeira vez que a agência atribui uma multa ao abrigo do novo Regulamento Geral sobre a Protecção de Dados (RGPD), que entrou em vigor em Maio de 2018 para proteger os dados pessoais dos cidadãos da União Europeia na Internet.

Em causa estão dois ciberataques ao site da British Airways que, entre Junho e Agosto de 2018, conseguiram desviar o trafego do site da empresa até sites maliciosos que recolhiam dados pessoais sem autorização. De acordo com a investigação da ICO, o problema terá afectado cerca de 500 mil utilizadores.

“Os dados pessoais das pessoas são isso mesmo – pessoais. Quando uma organização falha em proteger [esses dados] de perda, danos ou roubo é mais do que uma inconveniência”, frisou, em comunicado, Elizabeth Denham, comissária daquela agência. “E é por isso que a lei é clara – quando uma empresa trabalha com dados pessoais, tem de os proteger.”

A informação roubada não incluía dados das viagens (por exemplo, destino e origem) nem informação dos passaportes, mas dava acesso a nomes dos passageiros, emails, informação sobre a morada e dados de pagamento.

A empresa de viagens considera a multa precipitada. “A British Airways respondeu de forma rápida a um acto criminal de roubar dados de passageiros”, justificou, em comunicado, o presidente do companhia, Alex Cruz. E acrescentou: “Não encontrámos quaisquer provas de fraude/actividade fraudulenta nas contas associadas ao roubo.”

A multa da British Airways chega cerca de um ano depois de o Facebook ter sido multado em 500 mil libras (cerca de 558 mil euros) por falhar em proteger os dados pessoais dos utilizadores no escândalo Cambridge Analytica (uma empresa de consultoria britânica utilizou dados pessoais de milhares de utilizadores para criar campanhas políticas personalizadas). Na altura, a multa era o valor máximo permitido segundo as leis de regulação de dados em vigor no país. A agência chegou a frisar, inclusive, que a penalização seria “inevitavelmente maior” ao abrigo do RGPD.