Marriott International es uno de los grupos hoteleros estadounidenses más conocidos del mundo. La sede europea se encuentra en el Reino Unido y en total tiene alrededor de 7.300 propiedades residenciales y hoteleras y multipropiedades.
Desafortunadamente, el año pasado la empresa recibió una mala noticia y tendrá que pagar una multa de alrededor de 18,4 millones de libras esterlinas por haber violado el GDPR (Reglamento General de Protección de Datos), aunque inicialmente la multa resultaba ser de 99 millones de libras esterlinas.
Pero demos un paso atrás y entendamos mejor lo que ha pasado en los últimos años. En 2014 los hoteles Starwood sufrieron un ciberataque. En 2016 Marriott adquirió Starwood, pero solamente en 2018 se descubrió el hack que todavía estaba en curso y que duró cuatro años. Mientras tanto los datos de 339 millones de clientes fueron violados e informaciones como los números de teléfono, nombres, direcciones de correo electrónico, los días de llegada y salida e incluso los números de los pasaportes fueron robadas.
Considerado que el hecho ocurrió antes del Brexit, La Oficina del Comisionado de Información (ICO) tuvo la oportunidad de intervenir en nombre de la Unión Europea y, por lo tanto, investigar y encontrar a la empresa culpable.
Según la Autoridad Británica, el grupo Marriott no habría hecho todo lo posible para salvaguardar los datos personales de sus clientes que estaban archivados en los sistemas informáticos.
La comisionada de información Elizabeth Denham opinó sobre el acontecimiento: “Los datos personales son valiosos y las empresas deben cuidarlos. Millones de datos de personas se han visto afectados por la falla de Marriott. Miles de personas se pusieron en contacto con una línea de ayuda y es posible que otros hayan tenido que tomar medidas para proteger sus datos personales porque la empresa en la que confiaban no lo había hecho». Añadiendo: «Cuando una empresa no cuida los datos de los clientes, el impacto no es solo una posible multa, lo que más importa es el público cuyos datos tenían la obligación de proteger».
Después del incidente, el ICO también reconoció las acciones tomadas con prontitud por Marriott International para contactar a los clientes, para contrarrestar los daños y sobre todo para mejorar la seguridad de los sistemas informáticos.