Fecha: 1 de agosto de 2019 | Autor: Rebeca Pastrana
Si en un post anterior nos hacíamos eco de la histórica sanción a British Airways, en el artículo de hoy nos centraremos en el trasfondo de la sanción a la cadena hotelera Marriott International Inc y las repercusiones que ésta supone para las estrategias de expansión por adquisición. Para ello, en primer lugar, es esencial señalar que Marriott amplió su red hotelera con la compra de Starwood Hotels en 2016.
Brecha de seguridad en Marriott International Inc.
El día 30 de noviembre de 2018 Marriott emitió un comunicado de prensa en el que informaba que el día 8 de septiembre de 2018 se produjo una alerta de seguridad relacionada con un intento de acceder a la base de datos de la red de Starwood Hotels. Durante las investigaciones se descubrió que desde 2014 se habían producido accesos no autorizados a la base de datos de Starwood Hotels consistentes en el duplicado y cifrado de la base de datos de aproximadamente 500 millones de huéspedes. Entre los datos implicados encontramos: nombre, dirección postal, número de teléfono, dirección de correo electrónico, pasaporte, número, información de la cuenta de Starwood Preferred Guest («SPG»), fecha de nacimiento, sexo, información de llegada y salida, fecha de reserva, preferencias de comunicación, números de tarjetas bancarias y fechas de vencimiento de las tarjetas. Según fuente consultadas, de los clientes afectados, aproximadamente 30 millones están relacionados con ciudadanos europeos.
Si la compra de Starwood Hotels por Marriott cerró en 2016 y la exposición de los datos se retrotrae a 2014, ¿cómo es que nadie se dio cuenta?
Ahí encontramos, precisamente, el motivo de la sanción: la falta de la diligencia debida por Marriott. La comisionada de información Elizabeth Denham ha señalado: “el GDPR deja claro que las organizaciones deben ser responsables de los datos personales que poseen. Esto puede incluir llevar a cabo la debida diligencia adecuada al realizar una adquisición corporativa y establecer medidas de responsabilidad adecuadas para evaluar no solo qué datos personales se han adquirido, sino también cómo están protegidos. Los datos personales tienen un valor real, por lo que las organizaciones tienen el deber legal de garantizar su seguridad, al igual que lo harían con cualquier otro activo. Si eso no sucede, no dudaremos en tomar medidas firmes cuando sea necesario para proteger los derechos del público«.
En consecuencia, no sólo basta con identificar los datos adquiridos con la compra, sino que se precisa la intervención de profesionales en protección de datos personales que analicen dónde se encuentran, cómo se utilizan y cómo se protege la información personal de los clientes; a fin de determinar si se ajusta a los estándares de protección de la integridad y confidencialidad de los datos según la normativa vigente. Un ejemplo más de cómo la protección de datos personas es un elemento fundamental en las estrategias de negocio. Esta sanción a Marriott nos debe de servir como advertencia para las estrategias de crecimiento por adquisición, ya que existe el riesgo de sufrir sanciones por infracciones históricas no reveladas.
¿Cuánto le ha costado a Marriott su falta de diligencia en la adquisición de Starwood?
La multa por omisión del deber diligencia asciende a 110 millones de euros, a esta cifra se deben sumar los 80 millones de euros (£ 72 mill ) gastados en atención a los clientes afectados, así como a expertos que pudieran reconducir la situación, además, sus acciones se han devaluado. Total: casi 200 millones de euros. Por su parte, Marriott ya ha anunciado que recurrirá la resolución, tendremos que esperar para conocer la cuantía definitiva, aunque todo indica que el «premio» por la colaboración en la investigación ya se ha aplicado y la cifra se mantendrán.
Sin embargo, más allá de las pérdidas económicas, el verdadero daño para Marriott ha sido el daño en la confianza de sus clientes y es que, los hackers habían estado dentro de sus sistemas durante varios años. Marriott no ha revelado la cuantía de los daños producidos a los clientes, pero se han movilizado 79 millones de euros (£71 mill) por las compañías aseguradoras, lo que puede ser indicativo del daño ocasionado. En este sentido, no se debe de olvidar que el derecho a la protección de los datos personales es un derecho fundamental y su lesión dolosa e imprudente, se paga.
Tanto la sanción a Marriott como la sanción a British Airways recuerdan que el incumplimiento de las reglas del Reglamento General de Protección de Datos se escrudiña cada vez con más rigurosidad. Parece que ya han pasado los años de benevolencia de las autoridades competentes para la adaptación de las empresas a la nueva normativa, estamos asistiendo al inicio de una nueva etapa en las autoridades actuarán con firmeza y, por ende, las organizaciones deberán demostrar sólidamente su cumplimiento de la normativa en protección de datos.
¿Te preocupa la seguridad del dato en tu empresa?
En Ciberlex Consulting aportamos soluciones legales integrales a nuestros clientes para el cumplimiento y adecuación de su actividad empresarial a la regulación en materia de protección de datos personales. Nuestros más de 20 años de experiencia nos avalan y nuestro equipo de expertos ofrece una atención personalizada. Estamos a tu disposición en: info@ciberlexconsulting.com y (+34) 91 169 12 98.
