La Oficina del Comisionado de Información de Reino Unido (ICO, por sus siglas en inglés) ha comunicado a la cadena hotelera estadounidense Marriott International su intención de multarla con 99,2 millones de libras esterlinas, por violar el Reglamento General de Protección de Datos (GDPR).
La ICO ha tomado esta decisión, según asegura en un comunicado, tras realizar una “extensa investigación” sobre el ataque cibernético a Marriott, en el que cerca de 339 millones de registros de huéspedes de todo el mundo quedaron expuestos. Alrededor de 30 millones de estos datos correspondían a residentes de 31 países del Espacio Económico Europeo (EEE), mientras que siete millones a ciudadanos británicos.
Marriott comunicó este incidente a la entidad británica en 2018, aunque se cree que la vulnerabilidad del sistema comenzó en 2014. Entremedias, concretamente en el año 2016, la compañía estadounidense se hizo con la cadena hotelera Starwood, pero no descubrió la exposición de los datos hasta 2018.
En este sentido, ICO considera que Marriott no realizó las suficientes diligencias cuando compró Starwood y que “podría haber hecho más para asegurar sus sistemas”.
Por su parte, la Comisionada de Información, Elizabeth Denham, manifestó: "Los datos personales tienen un valor real, por lo que las organizaciones tienen el deber legal de garantizar su seguridad, al igual que lo harían con cualquier otro activo. Si eso no sucede, no dudaremos en tomar medidas enérgicas cuando sea necesario para proteger los derechos del público".
ICO puso de relieve en el comunicado que Marriott ha cooperado con la investigación y que ha mejorado sus medidas de seguridad. Ahora, la cadena hotelera podrá presentar sus observaciones sobre las conclusiones y sanciones propuestas por la entidad británica. También podrán hacerlo los residentes de la Unión Europea afectados.
La Oficina del Comisionado de Información de Reino Unido ha realizado esta investigación en calidad de autoridad supervisora principal y en nombre de las autoridades de protección de datos de otros Estados de la Unión Europea. Así, ha informado que tendrá en cuenta las observaciones de la hotelera y de las autoridades de protección de datos antes de tomar una decisión final.