Está siendo una semana muy activa para la ICO –Information Commissioner’s Office–. Tan sólo un día después de anunciar la sanción a British Airways por el robo de datos producido en septiembre del año pasado, ahora le ha tocado el turno a Marriott International.

Tras una extensa investigación, la ICO británica ha publicado su intención de multar a Marriott con más de 110 millones de euros por infringir el Reglamento General de Protección de Datos (GDPR).

La multa propuesta se refiere a un incidente cibernético que fue notificado a la ICO por Marriott en noviembre de 2018. Una variedad de datos personales contenidos en aproximadamente 339 millones de registros de huéspedes en todo el mundo quedaron expuestos por el incidente, de los cuales alrededor de 30 millones se referían a residentes de 31 países del Espacio Económico Europeo (EEE). Siete millones están relacionados con residentes en el Reino Unido.

Se cree que la vulnerabilidad comenzó cuando los sistemas del grupo Starwood se vieron comprometidos en 2014. Posteriormente, Marriott adquirió Starwood en 2016, pero la exposición de la información de los clientes no se descubrió hasta 2018.

La investigación de la ICO reveló que Marriott no puso en marcha las acciones debidas con suficiente eficacia cuando compró Starwood y que también debería haber hecho más para asegurar sus sistemas.