Depois de multar a British Airways com uma multa recorde de 183 milhões de libras no começo da semana, o regulador de privacidade de dados do Reino Unido está planejando multar a rede internacional de hotéis Marriott International com uma multa de 99 milhões de dólares sob o GDPR.
Este é o segundo grande aviso de multa nos últimos dois dias que atingiu empresas por não proteger as informações pessoais e financeiras de seus clientes comprometidas e implementar medidas de segurança adequadas.
Em novembro de 2018, a Marriott descobriu que hackers desconhecidos comprometeram o banco de dados de reservas de hóspedes por meio de sua subsidiária de hotéis Starwood e saíram com detalhes pessoais de aproximadamente 339 milhões de hóspedes.
O banco de dados comprometido vazou nomes de convidados, endereços de correspondência, números de telefone, endereços de e-mail, datas de nascimento, sexo, informações de chegada e partida, data da reserva e preferências de comunicação.
A violação, que provavelmente aconteceu em 2014, também expôs números de passaporte não criptografados para pelo menos 5 milhões de usuários e registros de cartão de crédito de oito milhões de clientes.
De acordo com o Information Commissioner’s Office (ICO), quase 30 milhões de residentes de 31 países da Europa e 7 milhões de residentes do Reino Unido foram impactados pela violação de dados do Marriott.
A investigação da OIC concluiu que a Marriott não realizou diligência devida suficiente quando comprou a Starwood e também deveria ter feito mais para proteger seus sistemas.
No ano passado, o Regulamento Geral de Proteção de Dados (GDPR) foi introduzido na Europa, o que força as empresas a garantirem que a maneira como coletam, processam e armazenam dados é segura.
“O GDPR deixa claro que as organizações devem ser responsáveis pelos dados pessoais que possuem. Isso pode incluir a devida diligência adequada ao fazer uma aquisição corporativa, e implementar medidas de responsabilidade adequadas para avaliar não apenas quais dados pessoais foram adquiridos, mas também como é protegido “, disse a comissária de informação Elizabeth Denham.
“Os dados pessoais têm valor real, portanto as organizações têm o dever legal de garantir sua segurança, assim como fariam com qualquer outro ativo. Se isso não acontecer, não hesitaremos em tomar medidas firmes quando necessário para proteger os direitos do público.”
O presidente da Marriott International, Arne Sorenson, disse que a empresa estava “decepcionada” com o anúncio da OIC e contestaria a multa.