A agência britânica de proteção à privacidade anunciou na segunda-feira sua intenção de multar a British Airways, segunda maior companhia aérea do país, em 183,4 milhões de libras (mais de R$ 873 milhões). O motivo é uma falha de segurança no site da companhia, que permitiu a hackers coletar informações pessoais de clientes.

O Gabinete do Comissário para a Informação (ICO, na sigla em inglês) emitiu uma notificação relativa à multa proposta que cita infrações ao Regulamento Geral sobre a Proteção de Dados, mais conhecido pela sigla GDPR. Segundo o ICO, o incidente foi resultado de medidas de segurança insatisfatórias na empresa.

“Os dados pessoais dos usuários são, como o nome diz, pessoais. Quando uma organização falha em protegê-los contra perda, dano ou roubo, isso não é apenas uma inconveniência”, disse a Comissária para a Informação, Elizabeth Denham. “É por isso que a lei é clara — quando você fica responsável por dados pessoais, precisa cuidar deles.”

Ela acrescentou: “Aqueles que não cuidarem [dos dados] enfrentarão o escrutínio do meu gabinete para verificar se tomaram as medidas adequadas para proteger os direitos fundamentais de privacidade.”

Mais de 500 mil clientes foram comprometidos como resultado do incidente, de acordo com a British Airways. A empresa informou que qualquer pessoa que tenha feito reservas ou alterações em reservas entre 21 de agosto de 2018 e 5 de setembro de 2018 pode ter sido vítima.

A companhia aérea disse que nomes, endereços de faturamento, endereços de e-mail e todos os detalhes de cartões bancários estiveram em risco. Detalhes de passaportes e de viagens não foram roubados, segundo a empresa.

Alex Cruz, presidente e diretor-executivo da British Airways, disse ao Gizmodo que a empresa estava “surpresa e desapontada” com a intenção da ICO. “A British Airways respondeu rapidamente a um ato criminoso para roubar os dados dos clientes”, disse ele. “Não encontramos evidências de fraude/atividade fraudulenta em contas vinculadas ao furto. Pedimos desculpas aos nossos clientes por qualquer inconveniente causado por este evento.”

Willie Walsh, executivo-chefe da International Airlines Group, dona da British Airways, disse que a empresa pretende tomar “todas as medidas apropriadas para defender vigorosamente a posição da companhia, inclusive fazendo quaisquer apelos necessários”.

A multa potencial de 183,4 milhões de libras contra a British Airways seria a maior imposta pelo Reino Unido usando o GDPR desde que a lei entrou em vigor em maio de 2018, de acordo com a BBC. As maiores multas anteriores da OIC incluem uma de 500 mil libras contra o Facebook por seu papel no desastre da Cambridge Analytica — o valor era o maior previsto nas regras anteriores de proteção de dados do Reino Unido — e uma multa de 500 mil libras contra a Equifax por sua violação de dados de 2017, que pode ter afetado até 15 milhões de residentes no Reino Unido.

A ICO ainda não emitiu uma decisão formal sobre a pena e disse estar considerando contribuições da British Airways, assim como de outras autoridades de proteção de dados. O órgão também observou que a companhia aérea cooperou com a investigação e disse já ter feito melhorias em sua segurança.