Home Gobierno Marriott fue multado con 18,4 millones de libras por una violación de...

Marriott fue multado con 18,4 millones de libras por una violación de datos

La Oficina del Comisionado de Información (ICO) ha multado a la cadena hotelera Marriott International con 18,4 millones de libras por una violación de datos que expuso la información de millones de huéspedes en todo el mundo.

El organismo independiente del Reino Unido creado para defender los derechos de información, impuso la sanción financiera a Marriott por “no mantener seguros los datos personales de millones de clientes”.

En noviembre de 2018, Marriott informó de una violación de datos que vio expuestos unos 339 millones de registros de huéspedes en todo el mundo, de los cuales alrededor de siete millones se relacionaban con residentes del Reino Unido. Una investigación del incidente reveló que una parte no autorizada había estado accediendo a la red de Starwood Hotels and Resorts Worldwide Inc. desde 2014, copiando y encriptando información.

El ataque permaneció sin ser detectado hasta septiembre de 2018, cuando Starwood fue adquirido por Marriott.

Los datos personales involucrados en la violación diferían entre individuos, pero el ICO dijo que puede haber incluido nombres, direcciones de correo electrónico, números de teléfono, números de pasaporte no encriptados, información de llegada/salida, estatus VIP de los huéspedes y número de membresía del programa de lealtad.

Una investigación del incidente por parte de la OIC determinó que Marriott “no puso en marcha las medidas técnicas u organizativas adecuadas para proteger los datos personales que se estaban procesando en sus sistemas, tal como exige el Reglamento General de Protección de Datos (RGPD)”.

Sin embargo, la OIC reconoció que Marriott actuó rápidamente una vez que se descubrió la infracción, contactando a los clientes y a la OIC con prontitud.

En un comunicado, el ICO dijo: “Como parte del proceso de regulación, el ICO consideró las declaraciones de Marriott, las medidas que Marriott tomó para mitigar los efectos del incidente y el impacto económico de COVID-19 en su negocio antes de establecer una sanción final”.

Aunque la infracción se remonta a 2014, la reglamentación de la RPI sólo entró en vigor en mayo de 2018, dos años antes de que el Reino Unido dejara la Unión Europea.