Marriott enfrenta una multa de $ 123 millones por la violación de datos dirigida a millones de huéspedes
Marriott International enfrenta una multa de 99 millones de libras esterlinas (alrededor de $ 123 millones) por una violación de datos descubierta en 2018 que afectó a alrededor de 339 millones de sus huéspedes de Starwood.
La multa financiera ha sido propuesta por la Oficina de Comisionados de Información del Reino Unido (ICO) y se produce un día después de que el mismo organismo golpeó a British Airways con una multa récord de $ 230 millones por una violación de datos sufrida por la aerolínea el año pasado.
El gran tamaño de las multas tiene mucho que ver con los nuevos poderes vinculados al Reglamento General de Protección de Datos (GDPR) de la UE que entró en vigor en 2018 . Esto significa que las empresas pueden recibir una multa de hasta 20 millones de euros (aproximadamente $ 22.4 millones) o hasta el 4% de la facturación global anual de la empresa, lo que sea mayor. En este caso, la multa representa aproximadamente el 3% de los ingresos de Marriott en 2018.
La brecha de datos se dirigió a un sistema de reserva de huéspedes operado por Starwood, una empresa de hoteles y ocio que Marriott adquirió en 2016. Se cree que comenzó en 2014 , pero solo se descubrió el año pasado.
Los piratas informáticos pudieron robar una gran variedad de datos personales de los invitados, incluida una combinación de nombres, direcciones, fechas de nacimiento, números de teléfono, direcciones de correo electrónico, números de pasaportes, información de la cuenta de Starwood Preferred, información de llegada y salida, fechas de reserva y cifrado Números de tarjetas de pago.
Se estima que alrededor de 339 millones de invitados en todo el mundo se vieron atrapados en la brecha, de los cuales 30 millones viven en la UE.
Un informe emitido por el ICO el martes dijo que Marriott no había realizado la debida diligencia cuando adquirió Starwood, y agregó que el gigante hotelero debería haber hecho más para asegurar sus sistemas.
"El GDPR deja en claro que las organizaciones deben ser responsables de los datos personales que poseen", comentó la comisionada de información Elizabeth Denham. “Los datos personales tienen un valor real, por lo que las organizaciones tienen el deber legal de garantizar su seguridad, al igual que lo harían con cualquier otro activo. Si eso no sucede, no dudaremos en tomar medidas firmes cuando sea necesario para proteger los derechos del público ".
En respuesta a la multa propuesta, el presidente de Marriott International, Arne Sorenson, dijo : "Estamos decepcionados con este aviso de intención del ICO, que impugnaremos. "Marriott ha estado cooperando con el ICO a lo largo de su investigación sobre el incidente, que involucró un ataque criminal contra la base de datos de reservas de Starwood".
Sorenson agregó: "Lamentamos profundamente que este incidente haya ocurrido. "Tomamos muy en serio la privacidad y la seguridad de la información de los huéspedes y continuamos trabajando arduamente para cumplir con el estándar de excelencia que nuestros huéspedes esperan de Marriott".
El movimiento hacia sanciones económicas más severas por violaciones de datos será una preocupación importante para las empresas grandes y pequeñas, aunque si las multas más altas incitan a las empresas a revisar sus defensas cibernéticas y realizar mejoras cuando sea necesario, los clientes de todo el mundo se beneficiarán.