Tras una investigación exhaustiva, la ICO ha anunciado su intención de multar a Marriott International con más de 100 millones de euros, conforme al RGPD, tras tener lugar una brecha de seguridad. De llegarse a producir, la cadena hotelera sería la segunda firma internacional en enfrentar una multa millonaria bajo el RGPD.
Marriott notificó el incidente a la ICO en noviembre de 2018. Una gran cantidad de información personal contenida en 340 millones de registros de clientes fue expuesta de manera global accidentalmente. De los datos comprometidos, unos 30 millones correspondían a residentes de 31 países del Área Económica Europea, de los cuales siete millones pertenecían a residentes británicos.
El origen fue un ataque a los hoteles del grupo Starwood en 2014. Después Marriott adquirió Starwood en 2016, pero la brecha no fue descubierta hasta 2018. La investigación de la ICO reveló que Marriott no había aplicado la diligencia debida en la adquisición de Starwood, y que podría haber tomado más acciones para reforzar la seguridad de los sistemas.
Desde la ICO, Elizabeth Denham afirma que: “El RGPD deja claro que las empresas deben ser responsables de los datos que trata. Esto incluye actuar de manera diligente cuando se realiza una adquisición corporativa, que debe ir seguida de una serie de garantías y acciones que comprueben no sólo qué información nueva se ha recibido, sino también cómo está ésta protegida. Los datos personales tienen un gran valor y las compañías han de responder a una obligación legal de velar por la seguridad de los mismos, igual que harían con cualquier otro activo. Si eso no ocurre, desde la ICO no dudaremos en tomar las acciones que sean necesarias para asegurar el interés público”.
Desde que se dio comienzo a la investigación, Marriot ha cooperado y realizado mejoras en sus acuerdos para la seguridad. El CEO ha anunciado que plantea recurrir la multa pretendida por la ICO.
Antes de alcanzar una decisión final, la ICO valorará las intervenciones y alegaciones tanto de la compañía como de otras autoridades públicas de protección de datos.
