En juillet 2019, l'ICO a publié un avis de son intention d'infliger une amende de 183,39 millions de livres à British Airways pour des infractions au RGPD qui impliquent vraisemblablement une violation de l'art. 32 RGPD. L'amende proposée concerne un cyber-incident notifié à l'ICO par British Airways en septembre 2018. Cet incident impliquait en partie le détournement du trafic d'utilisateurs vers le site Web de British Airways vers un site frauduleux. Grâce à ce faux site, les détails des clients ont été récoltés par les attaquants. Les données personnelles d'environ 500000 clients ont été compromises lors de cet incident, qui aurait commencé en juin 2018. L'enquête de l'ICO a révélé que diverses informations ont été compromises par de mauvaises dispositions de sécurité au sein de l'entreprise, notamment la connexion, la carte de paiement et les détails de la réservation de voyage ainsi que le nom et l'adresse. Dans l'intervalle, l'amende finale infligée à la compagnie aérienne a été fixée à 20 millions de livres sterling (environ 22 046 000 euros). L'ICO a souligné que lors de la fixation du montant de l'amende, elle a également pris en compte l'impact économique de la pandémie COVID-19 (`` Coronavirus '') sur l'industrie du transport aérien.