La Sala de lo Contencioso-Administrativo de la Audiencia Nacional dictó, el pasado mes de julio, Sentencia en la que confirmaba la sanción de 600.000 euros impuesta por la Agencia Española de Protección de Datos (en adelante, “AEPD”) a la aerolínea Air Europa, por infringir diversos preceptos del Reglamento General de Protección de Datos (en adelante, “RGPD”).
El objeto de debate es la idoneidad de las medidas de seguridad con las que contaba Air Europa, ya que, en 2018 sufrió una brecha de seguridad que afectó a datos personales de sus clientes. Asimismo, también se debate acerca de la correcta o incorrecta notificación de la brecha a la AEPD.
Durante el procedimiento ante la AEPD Air Europa alegó que contaba con las medidas técnicas y organizativas adecuadas para hacer frente al incidente, pero la Sentencia de la Audiencia Nacional desestima las pretensiones de Air Europa, argumentando lo siguiente:
- “Las medidas de seguridad técnicas y organizativas implantadas por la parte demandante no eran apropiadas para garantizar un nivel de seguridad adecuado al riesgo e impedir un acceso no autorizado a los datos de los clientes […]”
- “Por tanto, hay que tener en cuenta como fecha en que tuvo conocimiento la parte recurrente de la violación de la seguridad de los datos personales, el 16 de octubre de 2018, y, como se dice en la resolución sancionadora, la notificación, » se realizó de manera extemporánea 41 días después de que fuera conocida [y] la notificación la violación de seguridad de los datos personales, se produjo fuera del plazo de las 72 horas previsto […]”