La Oficina del Comisionado de Información del Reino Unido ha multado a Marriott International con 18,4 millones de libras esterlinas (algo más de 20 millones de euros) por un ciberataque al sistema de reservas de Starwood Hotels & Resorts, según la OIC, que impuso la multa tras concluir su investigación sobre la violación de datos.
El ataque tuvo lugar en 2014, antes de la adquisición de Starwood por parte de Marriott, y fue descubierto en septiembre de 2018 e informado en noviembre.
La OIC quería inicialmente penalizar a Marriott con 123 millones de dólares. Antes de establecer su sanción final, la OIC tuvo en cuenta la explicación de Marriott, las medidas que la hotelera tomó para mitigar los efectos del incidente y el impacto económico de Covid-19 en su negocio.
La sanción se refiere a la infracción sólo a partir del 25 de mayo de 2018, cuando entraron en vigor las nuevas normas del Reglamento General de Protección de Datos.
Marriott estimó que hasta 339 millones de registros de invitados en todo el mundo se vieron afectados, con unos 7 millones de los relacionados con personas en el Reino Unido.
La investigación determinó que Marriott no puso en práctica las medidas técnicas u organizativas adecuadas para proteger los datos personales que se estaban procesando en sus sistemas, tal como lo exige la regulación.
«Los datos de millones de personas se vieron afectados por el fracaso de Marriott; miles de personas se pusieron en contacto con una línea de ayuda y otras tuvieron que tomar medidas para proteger sus datos personales porque la empresa en la que confiaban no lo había hecho», dijo la comisionada de información de la OIC, Elizabeth Denham, en un comunicado.
En una declaración, Marriott dijo que no tiene la intención de apelar la decisión, «pero no admite responsabilidad en relación con la decisión o las alegaciones subyacentes». Como reconoce la oficina, Marriott cooperó plenamente durante toda la investigación».
Marriott declaró además que «lamenta profundamente el incidente» y sigue comprometido con la privacidad y la seguridad de la información de sus huéspedes y continúa haciendo importantes inversiones en medidas de seguridad para sus sistemas.
En marzo, Marriott anunció que había sufrido una segunda violación de datos, que afectó a hasta 5,2 millones de huéspedes.
Noticia original publicada en Business Travel News.