Marriott se enfrenta a 110 M € de multa por el hackeo de Starwood

La ICO ha comunicado su intención de multar a Marriott por infringir el Reglamento General de Protección de Datos tras la filtración de información personal de clientes de Starwood anunciada el 30 de noviembre de 2018 y que había afectado entre 2014 y 2018 a unos 500 millones de clientes, un volumen de damnificados que más tarde la compañía rebajó a 100 millones de usuarios.

El organismo independiente británico, en cambio, cifra en aproximadamente 339 millones el volumen de datos expuestos al ataque informático, de los cuales aproximadamente 30 millones están relacionados con residentes de 31 países de Europa y siete millones de residentes en el Reino Unido.

Se cree que la filtración de datos comenzó cuando los sistemas del grupo de hoteles Starwood sufrieron un ciberataque en 2014. Posteriormente, Marriott adquirió Starwood en 2016, pero la exposición de la información de los clientes no se descubrió hasta 2018.

La comisionada de la ICO, Elizabeth Denham, aclara que la normativa sobre protección de datos del Reino Unido “deja claro que las organizaciones deben ser responsables de los datos personales que poseen. Esto incluye tomar las medidas adecuadas al realizar una adquisición corporativa y establecer medidas de responsabilidad adecuadas para evaluar no solo qué datos personales se han adquirido, sino también cómo están protegidos”.

Denham añade que “los datos personales tienen un valor real, por lo que las organizaciones tienen el deber legal de garantizar su seguridad, al igual que lo harían con cualquier otro activo. Si eso no sucede, no dudaremos en tomar medidas firmes cuando sea necesario para proteger los derechos de los ciudadanos”.

El organismo independiente británico cifra en aproximadamente 339 millones el volumen de datos expuestos al ataque informático sufrido por la cadena Starwood de Marriott.

Ante el anuncio de la oficina de protección de datos británica, el grupo hotelero ha señalado en una comunicado que tiene el derecho a responder antes de que desde la ICO se tome una decisión final y promete “responder y defender enérgicamente su posición” ante la amenaza de ser sancionada.

El presidente y CEO de Marriott International, Arne Sorenson, ha declarado que “estamos decepcionados con este aviso de intención de la ICO, que impugnaremos. Marriott ha estado cooperando con la ICO a lo largo de su investigación sobre el incidente, que involucró un ataque criminal contra la base de datos de reservas de huéspedes de Starwood”.

Reitera que lamenta profundamente este incidente y señala que en la compañía “se toma muy en serio la privacidad y la seguridad de la información de los huéspedes y continuamos trabajando arduamente para cumplir con el estándar de excelencia que nuestros huéspedes esperan de Marriott".

Las empresas turísticas, sobre todo cadenas hoteleras y aerolíneas, se han convertido en los últimos años en una de las presas más apetitosas de los hackers informáticos que sobre todo intentan robar información de las tarjetas de créditos de los clientes.