Hay una canción famosa de Britney Spears: "Oops, I did it again" (Vaya, lo he vuelto a hacer). Esta frase se puede atribuir con facilidad a las filtraciones de datos, que tienen como objetivo cualquier sector que maneje pagos con tarjeta de crédito e información de identificación personal (PII).

También es atribuible a las organizaciones, especialmente a las de hostelería, que son más propensas al filtrado de información, pues han fracasado a la hora de exigir a sus proveedores que cumplan con la normativa PCI, protegiendo así la información confidencial.

En esta ocasión, aunque parezca irónico, le ha tocado el turno a la asociación de agencias de viaje británicas (Association of British Travel Agents, ABTA): han accedido al servidor de su proveedor web y de alojamiento, aprovechando una vulnerabilidad. ABTA ha insistido en que no se han encontrado daños, pero admite que unos mil archivos pueden incluir datos personales de clientes de los miembros de la asociación. También pueden haber tenido acceso a las contraseñas de los miembros y clientes de ABTA, aunque aseguran que estaban encriptadas.

Entonces, ¿de quién es la culpa? Pese a que la asociación puede culpar a su proveedor, ABTA es el responsable último de la seguridad de la información de sus miembros. Y es ABTA quien tendría que haber examinado en profundidad si sus proveedores garantizaban la seguridad de los datos personales.

Si esto pasara dentro de un año, ABTA habría violado el Reglamento general de protección de datos de la Unión Europea en lo concerniente a protección de datos personales. No se habría salvado con tanta facilidad: las fuertes multas previstas en el reglamento se habrían ocupado de ello. ABTA, y cualquier otra organización que viole el reglamento, también podría enfrentarse a investigaciones policiales.

Por desgracia, muchos miembros de ABTA casi no son conscientes de la existencia del Reglamento general de protección de datos, por lo que mucho menos lo son de sus serias consecuencias.

Por eso, especialmente ahora que la propia asociación ha sufrido un filtrado de información, es crucial que, como organización líder del mercado, guíe a sus miembros para que adopten las mejores prácticas en lo que se refiere a gestión y protección de datos personales y pagos con tarjeta de crédito. Sin embargo, los miembros de ABTA, siguen llevando sus negocios de forma tradicional y han invertido poco en TI y tecnología. Los procesos de adquisición están fragmentados y no están totalmente integrados.

La IATA (asociación internacional de agencias de viajes, por sus siglas en inglés) parece que ha tomado medidas para garantizar que se cumple con las reglas PCI de protección de datos; emitió un comunicado en el que daba de plazo hasta el 1 de junio de 2017 a sus miembros presentes y potenciales para que cumplieran con las normas PCI. En caso contrario, no serían acreditados como agentes IATA.

ABTA: ha llegado el momento de seguir su ejemplo. No eres tan inocente.