La Oficina del Comisario de Información (ICO) va a multar al grupo hotelero estadounidense Marriott International con $124 millones (99,2 millones de libras).
La sanción se produce un día después de que el regulador de la privacidad de datos del Reino Unido anunciara su plan de multar a British Airways con 183 millones de libras por otra violación de datos, que dio lugar a la exposición de alrededor de 339 millones de datos personales de huéspedes. Aunque se cree que el incidente ocurrió en 2014, no se descubrió hasta 2018.
Las cantidades de estas últimas sanciones reflejan el hecho de que la ICO tiene poderes sustancialmente más fuertes desde que el Reglamento General de Protección de Datos (GDPR) de la UE entró en vigor en mayo de 2018.
La filtración de datos de Marriott afectó a los registros de unos 30 millones de europeos y se produjo en la empresa rival Starwood, que Marriott adquirió en 2016. El sistema de reservas de huéspedes comprometido ya ha sido eliminado.
El presidente de Marriott International, Arne Sorenson, dijo:
Estamos decepcionados con esta notificación de intención de la ICO, que impugnaremos. Marriott ha cooperado con la OIC en su investigación sobre el incidente, que implicó un ataque criminal contra la base de datos de reservas de huéspedes de Starwood. ...Lamentamos profundamente que haya ocurrido este incidente. Nos tomamos muy en serio la privacidad y la seguridad de la información de los huéspedes y seguimos trabajando duro para cumplir con el nivel de excelencia que nuestros huéspedes esperan de Marriott.
La ICO dijo que Marriott no había revisado adecuadamente las prácticas de datos de Starwood y que debería haber hecho más para asegurar sus sistemas.
La Comisaria de Información, Elizabeth Denham, dijo:
El RGPD deja claro que las organizaciones deben ser responsables de los datos personales que poseen, ... "Esto puede incluir la realización de la debida diligencia cuando se realiza una adquisición corporativa, y la puesta en marcha de medidas de responsabilidad adecuadas para evaluar no sólo qué datos personales se han adquirido, sino también cómo están protegidos.
El investigador principal de la empresa de seguridad CyberInt, Jason Hill, dijo: "Las multas draconianas.. son una llamada de atención a todas las organizaciones, grandes y pequeñas".
Aunque esto puede suponer un golpe para una empresa como BA o Marriott, son lo suficientemente robustas como para capear el temporal. Una organización más pequeña que sufra una infracción grave podría verse abrumada por cualquier sanción que, combinada con la pérdida de confianza de los consumidores y el daño a la reputación asociado, tendría consecuencias devastadoras para su negocio.