A principios de enero pasado, Marriott confirmó un hackeo a la cadena hotelera Starwood Hotels, que expuso los datos de 500 billones de usuarios. En ese momento, la compañía dijo que los hackers habían accedido a la base de datos de reservas del hotel desde el año 2014 y, tras una investigación exhaustiva, determinó que los delincuentes robaron datos privados de al menos 383 millones de huéspedes.
Tras la divulgación sobre la brecha de datos, los grupos de derechos de privacidad y los propios usuarios comenzaron a presentar demandas colectivas en contra de Marriott. Ahora, la Oficina del Comisionado de Información (ICO, por sus siglas en inglés) del Reino Unido, ha anunciado su intención de multar a la multinacional hotelera por violar el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés).
A través de un comunicado, la comisionada de Información, Elizabeth Denham, afirmó:
El GDPR establece que las organizaciones deben ser responsables de los datos personales que poseen. Esto puede incluir llevar a cabo la debida diligencia al realizar una adquisición corporativa y establecer medidas de responsabilidad adecuadas para evaluar no solo los datos personales que se han adquirido, sino también cómo están protegidos estos datos.
Denham afirmó que las organizaciones tienen la responsabilidad de garantizar la seguridad de los datos personales, ya que estos tienen el valor real de cualquier otro activo físico. En caso de que eso no ocurra, la funcionaria dijo que la ICO tomará las medidas necesarias para proteger a los usuarios.
Marriott responde
En una presentación realizada hoy ante la Comisión de Bolsa y Valores (SEC, por sus siglas en inglés) de EE.UU., Marriott afirmó que, cuando ICO imponga formalmente la multa, la compañía apelará la medida. Marriot asegura que siempre se ha comprometido con la privacidad de los usuarios, y trabaja arduamente para aplicar estándares de seguridad óptimos en sus sistemas.
La noticia se produce apenas un día después de que la ICO impusiera una multa a British Airways de casi US$ 230 millones. El dictamen se produjo luego de determinar que la firma británica no protegió adecuadamente su sitio web y permitió que se recopilaran millones de datos bancarios de los usuarios de su sistema de reservas.
