Londres.- La Oficina de la Comisión de Información (ICO) del Reino Unido ha multado con 136.700 euros al aeropuerto de Heathrow por no asegurarse de que los datos personales de su red estuvieran protegidos adecuadamente.
El 16 de octubre de 2017, una persona encontró en la calle un dispositivo de memoria USB, que había sido perdido por un empleado del aeropuerto. El pen-drive, que contenía 76 carpetas y más de 1.000 archivos no estaba encriptado ni protegido con contraseña.
Si bien la cantidad de datos personales confidenciales y personales que se guardaban en el dispositivo comprendía una pequeña cantidad del total de archivos, un tema de especial interés fue un video de formación que exponía los detalles de diez personas, incluidos sus nombres, sus fechas de nacimiento, sus números de pasaporte y detalles del personal de seguridad de aviación del aeropuerto.
El dispositivo llegó a un periódico nacional que hizo copias de los datos contenidos antes de entregarlo al aeropuerto.
El director de Investigaciones de la ICO, Steve Eckersley, ha dicho:"La protección de datos debería haber sido una prioridad en la agenda de Heathrow. Pero nuestra investigación encontró una serie de deficiencias en aspectos corporativos, de formación y visión que indicaban lo contrario. La protección de datos es un problema de la dirección y es obligado que las empresas cuenten con políticas, procedimientos y capacitación para minimizar las vulnerabilidades de la información personal que se les ha confiado".
La investigación de la OIC encontró que solo el 2% de una plantilla de 6.500 personas había sido formada en protección de datos.
Otras deficiencias advertidas en la investigación incluyen el uso generalizado de pen-drives en contra de las propias políticas y guías del aeropuerto y los controles ineficaces que impiden que los datos personales se descarguen en medios no autorizados o no encriptados.
Heathrow llevó a cabo una serie de acciones correctoras una vez que fue informado de la infracción, incluido el hecho de denunciar el asunto a la policía, actuar para contener el incidente y contratar a un especialista externo para que supervise Internet y la web.
El caso se trató conforme a la normativa y penalizaciones máximas de la Ley de Protección de Datos de 1998, y no de la Ley de 2018 que la sucedió, debido a la fecha de la infracción.