British Airways sigue sufriendo, más de dos años después, las consecuencias de la brecha de seguridad que comprometió información de más de 400.000 clientes y empleados. Este incidente permitió a hackers acceder a los nombres, direcciones e información de las tarjetas de crédito de los usuarios, así como a los nombres de usuario y las contraseñas de las cuentas del personal de British Airways.
En octubre de 2020, la compañía fue sancionada por la ICO -la autoridad de control en materia de protección de datos en Reino Unido-, quien impuso a British Airways una multa de 20 millones de libras por infracción del RGPD. Pese a que la multa fue, ciertamente, muy elevada, quedó lejos de la propuesta inicial de la ICO, que en un principio manifestó su intención de imponer a la aerolínea una sanción de más 183 millones de libras. Esta atenuación de la sanción se debió, según la ICO, a que la compañía fue transparente con relación al incidente, llevó a cabo acciones de forma inmediata para minimizar el impacto del ataque e implementó medidas de prevención para evitar situaciones similares en el futuro. En todo caso, esta sanción continúa siendo la más importante impuesta por la ICO.
Ahora, British Airways se enfrenta a una demanda colectiva a la que, hasta el momento, se han sumado más de 16.000 usuarios afectados. Cada uno de estos usuarios reclama una indemnización por valor de 2.000 libras, por lo que el montante total de la reclamación supera los 35 millones de euros. El plazo para que otras víctimas del ciberataque se unan a la acción está abierto hasta el 19 de marzo de 2021, por lo que la cuantía total de la que podría tener que responder British Airways asciende, potencialmente, a más de 900 millones de euros. En noviembre, British Airways manifestó al tribunal su posición favorable a una negociación que permitiera alcanzar un acuerdo con los demandantes. Sin embargo, a día de hoy esas conversaciones no se han iniciado.