| Resolución | E-02649-2019 |
| Firmado | 2019-05-27T00:00:00Z |
| Enlace | 📋 |
Amadeus IT Group, S.A. (Amadeus) detectó una brecha de seguridad en sus sistemas, la cual fue descubierta tras una actividad sospechosa de un empleado autorizado en India. La brecha afectó datos personales de viajeros cuyo billete fue emitido por agencias de viajes en ese país. El empleado, con acceso legítimo al sistema, extrajo información de los Passenger Name Records (PNRs) y la envió a WorldSIM, una empresa que comercializa tarjetas SIM internacionales.
El incidente se resolvió con el bloqueo del acceso del empleado al sistema y su posterior despido. Amadeus también denunció los hechos ante la policía en Delhi y envió cartas de cese y desistimiento a WorldSIM, aunque no obtuvo respuesta. La empresa revisó sus medidas de seguridad y continuó invirtiendo en tecnología y recursos humanos para prevenir futuros incidentes.
Amadeus notificó la brecha de seguridad a la autoridad competente, aunque no consideró necesario informar directamente a los afectados debido a un análisis de riesgo que determinó que el incidente no representaba un alto riesgo para sus derechos y libertades. Sin embargo, publicó una reseña en su página web y mantuvo informados a sus clientes sobre las investigaciones y sus resultados.
La decisión final fue archivar las actuaciones, ya que se determinó que Amadeus actuó de manera diligente y acorde con la normativa de protección de datos personales. La empresa notificó la brecha de seguridad de manera razonablemente diligente y adoptó medidas adicionales para minimizar los riesgos.