La ICO impone una multa a Marriott por la falta de medidas de seguridad en relación a los datos personales de sus consumidores.
La ICO ha impuesto una multa a Marriott International Inc. en relación a una brecha de seguridad que tuvo lugar tras un ciber ataque ocurrido en 2014 y descubierto en 2018, sobre la cual informamos en nuestro blog el pasado julio. Así, el ataque lo sufrió Starwood Hotels and Resorts Worldwide Inc., pero repercutió en Marriot International Inc., porque la había adquirido tiempo antes a la investigación de los hechos. Como consecuencia, quedaron expuestos datos personales de más de 339 millones de clientes. Si bien las cifras son imprecisas, se calcula que más de siete millones de datos podrían pertenecer a personas de Reino Unido.
El ataque que desencadenó la brecha de seguridad en Marriott tuvo lugar en 2014, aunque se descubrió en 2018.
Si bien la ICO identificó que el ciber ataque tuvo lugar en 2014, la multa se impuso conforme a la legislación vigente en el momento en que éste fue descubierto, cuando el RGPD ya estaba vigente. Los sistemas de Starwood Hotels and Resorts fueron accedidos por un tercero desconocido mediante una pieza de código que se instaló de manera ilegítima, lo cual permitió la manipulación de los dispositivos de manera remota y la usurpación de credenciales de varios clientes, lo que comprometió datos de reservas de clientes Starwood. La investigación de la ICO reveló que Marriott no implementó las medidas técnicas y organizativas apropiadas para proteger los datos personales de sus sistemas, tal y como exige el RGPD.
La ICO emitió a Marriott un comunicado con su intención de ejecutar la multa en Julio de 2019, que después se materializó en 20,5 millones de euros.
Tras descubrir la brecha de seguridad, Marriott contactó inmediatamente tanto con los consumidores como con la ICO, lo cual fue tomado en consideración por ésta antes de imponer la multa. Asimismo, la empresa actuó rápidamente para minimizar el riesgo sufrido por los clientes e implementó una serie de medidas para mejorar la seguridad de los sistemas. A fin de decidir la cuantía de la multa, la ICO valoró todos los pasos dados por Marriott para mitigar los efectos del incidente, al igual que el impacto económico del COVID-19. La investigación desarrollada por la ICO comprendió varios intercambios con Marriott durante las cuales está aprobó varias pruebas al respecto. La ICO comunicó a Marriott sus planes de imponer una multa en julio de 2019, y está se estableció posteriormente en 20,5 millones de euros. Conforme a Elizabeth Denham, “Cuando una empresa no cumple con sus deberes de protección de los datos de sus consumidores, el impacto no es sólo la posible multa, sino que lo verdaderamente importante son los interesados, cuyos datos la compañía tenía el deber de proteger”.
La multa y la acción coercitiva pasaron por el proceso de cooperación del RGPD, que requiere aprobación de otras autoridades de control europeas.
La brecha de seguridad tuvo lugar antes de la salida del Reino Unido de Europa y, por ello, el proceso tuvo que contar con la participación de otras autoridades de control. El artículo 60 del RGPD establece que la autoridad de control principal debería cooperar con otras autoridades de control involucradas a fin de alcanzar un consenso. En este caso, la ICO investigó por parte de otras autoridades europeas como la autoridad principal bajo el RGPD y la sanción fue aprobada por todas ellas. Parte de este proceso incluyó la aportación de un borrador de decisión a las otras autoridades de control para recoger sus opiniones. Finalmente la sanción fue impuesta bajo la normativa británica de protección de datos, la Data Protection Act 2018, por incumplimiento del RGPD.
