La Oficina del Comisionado de Información del Reino Unido (IOC, por sus siglas en inglés) anunció su intención de multar al grupo hotelero de los EE. UU. Marriott International con 110.000.000 de euros por una violación de datos que expuso los datos personales de cientos de millones de invitados.
En su anuncio inicial en noviembre de 2018, Marriott dijo que la piratería de su sistema de reservas de invitados Starwood puedo haber tenido información de unos 500 millones de invitados, aunque esta cifra se redujo más tarde a aproximadamente 383 millones de registros de invitados.
La información robada incluía nombres, direcciones de correo, números de teléfono, direcciones de correo electrónico, información de la cuenta de Starwood Preferred Guest ("SPG"), fechas de nacimiento, género, información de llegadas y salidas, fechas de reserva y preferencias de comunicación. Además, se expusieron millones de números de tarjetas de pago cifradas y números de pasaportes.
Durante una investigación posterior, Marriott descubrió que había habido acceso no autorizado a la red de Starwood desde 2014 (Marriott adquirió el grupo de hoteles Starwood en 2016).
Y, por supuesto, algunos de los datos que se habrían visto comprometidos por el pirateo se habrían relacionado con clientes que se encuentran en la Unión Europea. Y es esa conexión europea lo que significa que Marriott se enfrenta a una fuerte multa según el Reglamento General de Protección de Datos (GDPR) de la UE.
Según la OIC, alrededor de 30 millones de los registros pirateados se relacionaron con residentes de 31 países en el Área Económica Europea (EEE), con siete millones conectados a residentes del Reino Unido.
El ICO dice que Marriott "no realizó la debida diligencia suficiente" cuando compró Starwood y debería haber hecho más para proteger sus sistemas.
GDPR, que entró en vigor el año pasado, permite multas de hasta 20 millones de euros o el 4% de la facturación anual global de la empresa, lo que sea mayor.
En una declaración, la comisionada de información Elizabeth Denham envió una clara advertencia a otras empresas que no tienen cuidado con los datos personales que poseen:
€Los datos personales tienen un valor real, por lo que las organizaciones tienen el deber legal de garantizar su seguridad, al igual que lo harían con cualquier otro activo. Si eso no sucede, no dudaremos en tomar medidas firmes cuando sea necesario para proteger los derechos del público ".
Marriott está cooperando con la investigación de ICO y ha mejorado su seguridad desde que se descubrió la violación. La cadena de hoteles dice que responderá vigorosamente a la multa propuesta, con la esperanza de que pueda reducirse.
A principios de esta semana, el ICO anunció que tenía la intención de multar a British Airways con 200 millones por una violación que comprometió los datos personales de 500,000 clientes el año pasado.
