La Oficina del Comisionado de Información ha anunciado la intención de multar con 99 millones de libras ( US$123 Millones) a Marriott International por infracciones del GDPR.
En relación con un incidente que Marriott informó en noviembre de 2018, en el que se expusieron aproximadamente 339 millones de registros de invitados a nivel mundial, de los cuales alrededor de 30 millones están relacionados con residentes de 31 países en el Área Económica Europea (EEE) y siete millones están relacionados con residentes del Reino Unido.
“El GDPR deja claro que las organizaciones deben ser responsables de los datos personales que poseen. Esto puede incluir llevar a cabo la debida diligencia adecuada al realizar una adquisición corporativa y establecer medidas de responsabilidad adecuadas para evaluar no solo qué datos personales se han adquirido, sino también cómo están protegidos”.
La comisionada de información ICO: Elizabeth Denham
En la infracción original, Marriott se enteró durante la investigación que había habido acceso no autorizado a la red de Starwood desde 2014, donde una parte no autorizada había copiado y cifrado la información, y tomó medidas para eliminarla. “El 19 de noviembre de 2018, Marriott pudo descifrar la información y determinó que el contenido era de la base de datos de reservas de Starwood” , se indicó en su declaración .
El ICO dijo que Marriott no realizó la debida diligencia cuando compró Starwood, y también debería haber hecho más para asegurar sus sistemas. Sin embargo, Marriott ha cooperado con la investigación de ICO y ha hecho mejoras a sus arreglos de seguridad desde que estos eventos salieron a la luz.
En un comunicado , el presidente y director general de Marriott International, Arne Sorenson, dijo que pretendía impugnar la multa y que estaba “decepcionado” con el aviso de intención.
“Lamentamos profundamente que haya ocurrido estas infracciones. Nos tomamos muy en serio la privacidad y la seguridad de la información del huésped y seguimos trabajando arduamente para cumplir con el estándar de excelencia que nuestros huéspedes esperan de Marriott”.
Arne Sorenson
Al igual que con el anuncio de ayer de la intención de multar a British Airways, Marriott ahora tendrá la oportunidad de hacer declaraciones ante la OIC en relación con los hallazgos y la sanción propuestos.
Elizabeth Denham dijo: “Los datos personales tienen un valor real, por lo que las organizaciones tienen el deber legal de garantizar su seguridad, al igual que lo harían con cualquier otro activo. Si eso no sucede, no dudaremos en tomar medidas firmes cuando existan infracciones y sea necesario para proteger los derechos del público “.
“Si bien BA y Marriott tienen todo el derecho de desafiar el tamaño de sus multas, una recaudación tan dolorosa contra marcas tan icónicas debería ser un catalizador histórico para el cambio y poner la seguridad cibernética y el cumplimiento de la seguridad en la agenda de cada junta”.
Justin Coker, vicepresidente de EMEA
“Ya sea que estas compañías ajusten sus multas o no, BA y Marriott pueden usar el juicio de la OIC para tomar la delantera en conocer el valor de la seguridad cibernética proactiva y cómo puede aprovecharse para fomentar la confianza del cliente a largo plazo”.