Air Europa impugnó una resolución de la Agencia Española de Protección de Datos (AEPD) del 2 de diciembre de 2021 que confirmaba dos sanciones: una de 500,000 euros por infracción del artículo 32 del Reglamento General de Protección de Datos (RGPD) y otra de 100,000 euros por infracción del artículo 33 del mismo reglamento.
Las sanciones se basan en un incidente de seguridad notificado a la AEPD por Air Europa en octubre de 2018, con la información completa remitida en enero de 2019 consistente en el acceso ilícito continuado a los sistemas de Air Europa, a través de los cuales se extrajeron datos de 2,7 millones de tarjetas de crédito.
La Audiencia Nacional estima que las medidas de seguridad técnicas y organizativas implantadas no era apropiadas para garantizar el nivel de seguridad adecuado al riesgo e impedir un acceso no autorizado a los datos de los clientes.
Además, dado que la notificación del incidente de seguridad a la AEPD se realizó 41 días después de tener conocimiento de la misma, excediendo del plazo de 72 horas previsto en el artículo 33 del RGPD se declara infringido también dicho precepto.
Por tanto, se desestima el recurso interpuesto por Air Europa y se confirma la sanción con imposición de costas a Air Europa. La sentencia aún es recurrible en casación.