Reino Unido ha propuesto sancionar con 99 millones a la hotelera, afectada por un ciberataque que dejó 339 millones de datos expuestos.
La Oficina del Comisionado de Información de Reino Unido (ICO, por sus siglas en inglés) ha comunicado a Marriott International que tiene la intención de imponer a la cadena hotelera una sanción de 99,2 millones de libras esterlinas (110 millones de euros) por incumplir el Reglamento General de Protección de Datos (GDPR) europeo, tras la filtración de información personal de clientes de Starwood anunciada el 30 de noviembre de 2018 y que había afectado entre 2014 y 2018 a unos 500 millones de clientes, un volumen de damnificados que más tarde la compañía rebajó a 100 millones de usuarios.
En un comunicado, el organismo británico señala que en su investigación comprobó que Marriott «no realizó la debida diligencia cuando compró Starwood y también debería haber hecho más para asegurar sus sistemas», aunque reconoce que la cadena hotelera ha cooperado en la investigación.
La comisionada de la ICO, aclara que la normativa sobre protección de datos del Reino Unido “deja claro que las organizaciones deben ser responsables de los datos personales que poseen. Esto incluye tomar las medidas adecuadas al realizar una adquisición corporativa y establecer medidas de responsabilidad adecuadas para evaluar no solo qué datos personales se han adquirido, sino también cómo están protegidos”.
Tras el aviso de sanción, el presidente y consejero delegado de Marriott International, ha manifestado su decepción por la intención de sancionar a la cadena y ha avanzado que impugnará la multa.
Marriott ha estado cooperando con el ICO a lo largo de su investigación del incidente y ha asegurado que la base de datos de reservas de su marca Starwood que fue atacada ya no se usa para operaciones comerciales.