Seguridad

El ‘fail’ de British Airways pretendiendo cumplir el GDPR

Escrito por Marcos Merino

La compañía exigía a los clientes que querían hacer alguna reclamación vía Twitter que publicaran sus datos personales en dicha red social. El denunciante de este hecho también descubrió que la compañía comparte con terceros los datos de los usuarios de su página web sin solicitar permiso previamente.

La entrada en vigor de la nueva normativa europea de protección de datos, el GDPR, parece estar generando todavía problemas a algunas grandes compañías. Y bien es cierto que es una legislación compleja, compuesta de 56.000 palabras que permiten llenar hasta 88 páginas. Pero algunas malinterpretaciones del texto claman al cielo; en esta categoría entraría el caso descubierto por el investigador de ciberseguridad Mustafa Al-Bassam, quien esta semana dio aviso de que la gran compañía aérea del Reino Unido, British Airways, estaba exigiendo a aquellos usuarios que se ponían en contacto vía Twitter para realizar alguna reclamación que hicieran públicos en dicha red social un gran número de datos confidenciales (entre ellos el número de pasaporte y la dirección postal completa).

Lo retorcido del asunto es que el community manager de la compañía decía exigir la publicación de dichos datos… ¡precisamente para cumplir con el RGPD! Peor aún: al no indicar que dichos datos podían ser remitidos vía mensaje directo, varios clientes de British Airways terminaron publicado información personal sensible en un foro público. Todo ello en nombre de la “protección de datos”. Cuando Al-Bassam denunció este hecho en Twitter, los responsables de la cuenta pidieron perdón por la confusión, se excusaron en la necesaria identificación de los clientes y empezaron a aclarar la vía adecuada para hacer llegar los datos.

El checklist de 12 puntos para asegurarnos de que cumplimos con el GDPR

Pero el ‘fail’ en la gestión de datos personales por parte de British Airways no termina ahí: Al-Bassam trató registrarse on línea en su sitio web, pero la página intersticial no me redireccionó, y por lo tanto no pude registrarme. Descubrí que esto se debía a que mi adblocker estaba habilitado. Tras desactivarlo, descubrí que su página de registro filtraba mi referencia de reserva y mi apellido a un sinnúmero de terceros con fines publicitarios, incluidos Twitter, LinkedIn y DoubleClick de Google. […] No recuerdo explícitamente mi consentimiento para que mi información se comparta de esta manera, ni veo ninguna forma de excluirme o retirar mi consentimiento”.

 

Repetimos, el GDPR es una normativa compleja, pero hay compañías que parecen haber leído el Reglamento al revés.

Sobre el autor de este artículo

Marcos Merino

Diseñador web y docente de educación no formal, imparte cursos de informática en el medio rural porque las brechas están para cerrarlas. Desde que le nombraron director de la revista de su colegio, no ha dejado de escribir.