Hace unos meses nos hicimos eco de la importante fuga de seguridad sufrida por la cadena hotelera Marriot a trav\u00e9s de su filial Starwood. Los hechos ocurrieron en 2014, pero la noticia vio la luz a finales de 2018. Tras investigaciones posteriores se estim\u00f3 que finalmente esta fuga de seguridad afect\u00f3 a los datos de m\u00e1s al menos 383 millones de personas.<\/p>\n
M\u00e1s all\u00e1 del impacto reputacional y de las p\u00e9rdidas indirectas que este grave incidente pudo implicar para la cadena, a inicios de este mes de julio de 2019, se ha hecho p\u00fablica la posible multa propuesta por la Oficina del Comisionado de Informaci\u00f3n de Reino Unido (en ingl\u00e9s ICO) de 99,2 millones de libras (alrededor de 110 millones de euros) por incumplimiento del Reglamento General de Protecci\u00f3n de Datos (RGPD). <\/p>\n
Los principales argumentos que ha esgrimido la ICO para proponer la alta cuant\u00eda de la sanci\u00f3n son el gran volumen y diversidad a nivel mundial de los datos exfiltrados, afectando a unos 30 millones de ciudadanos residentes en 31 pa\u00edses en el Espacio Econ\u00f3mico Europeo (EEE) de aproximadamente 7 millones eran residentes del Reino Unido. <\/p>\n
El regulador, a trav\u00e9s de la comisionada de la ICO, transmiti\u00f3 en sus declaraciones, que tras sus investigaciones Marriott no hab\u00eda actuado con la debida diligencia cuando adquiri\u00f3 Starwood y deber\u00eda haber hecho m\u00e1s para asegurarse que a lo largo del proceso de adquisici\u00f3n corporativa, los sistemas TI de la empresa estuvieran seguros y no s\u00f3lo saber qu\u00e9 datos se hab\u00edan adquirido. Igualmente traslad\u00f3 que el valor de la informaci\u00f3n de los datos personales como activo que debe ser legalmente protegido por las empresas y la firme intenci\u00f3n de la ICO de proteger los derechos de los ciudadanos. Tambi\u00e9n hizo hincapi\u00e9 en el principio de responsabilidad activa exigida por el RGPD respecto a los datos por parte de las organizaciones (aspecto conocido con el t\u00e9rmino \u0093accountability\u0094 en ingl\u00e9s). <\/p>\n
La ICO ha estado investigando este caso como autoridad supervisora principal en nombre de otras autoridades de protecci\u00f3n de datos de los Estados miembros de la UE, sin menoscabo que las restantes autoridades de protecci\u00f3n de datos en la UE cuyos residentes han sido afectados puedan conocer los hallazgos del ICO y tomar las medidas oportunas. <\/p>\n
Si bien es cierto que tambi\u00e9n ha trascendido que la cadena Marriot ha colaborado activamente con la ICO y Marriot ha manifestado su disconformidad con la multa, as\u00ed como que recurrir\u00e1 a la misma en su momento (ya que la ICO a\u00fan no ha tomado su decisi\u00f3n final y tomar\u00e1 en consideraci\u00f3n las actuaciones hechas por la empresa). <\/p>\n