Multa en el Reino Unido de 18,4 millones de libras a la cadena hotelera Marriott por falta de medidas de seguridad apropiadas en el tratamiento de datos personales.

El 30 de octubre de 2020, la Agencia Británica de Protección de Datos(“Information Commissioner’s Office” o “ICO”) impuso a la cadena hotelera Marriott International Inc. (“Marriott”) una multa de 18,4 millones de libras (20,5 millones de euros aproximadamente) por no utilizar medidas técnicas y organizativas apropiadas para prevenir una brecha de seguridad de datos personales.

El 29 de julio de 2014, un atacante desconocido consiguió penetrar el sistema informático de la cadena hotelera Starwood Hotels and Resorts Worldwide Inc. (“Starwood“). Starwood fue posteriormente adquirida en el 2016 por Marriott, que tampoco detectó la existencia del ataque hasta septiembre de 2018.

El atacante instaló un código malicioso webshell en un dispositivo dentro de la red Starwood que le permitió acceso remoto al sistema informático de Starwood. El atacante posteriormente instaló en el sistema un programa llamado “Mimikatz” con el que recabó las credenciales de inicio de sesión de clientes temporalmente almacenadas en el sistema de memoria.

Pese a que el ataque se sucedió durante años en su sanción, la ICO solo ha tenido en cuenta el periodo de duración del ataque desde la entrada en vigor del RGPD el 25 de mayo de 2018 hasta el 17 de septiembre de 2018 cuando Marriott detectó el ataque.

Según Marriott, durante el ataque se vieron afectados 339 millones de registros de clientes. De dichos registros, 30,1 millones pertenecen a ciudadanos del Espacio Económico Europeo. Sin perjuicio de lo anterior, se desconoce el número exacto de personas afectadas dado que un mismo cliente podía tener múltiples registros.

Los datos personales sustraídos varían según los clientes, y destacan los siguientes: Nombre del cliente, género, fecha de nacimiento, información de su cuenta, dirección postal, número de pasaporte, número de teléfono, fax, dirección de correo electrónico, fecha de expiración de su tarjeta de crédito, y la fecha de llegada y de salida del cliente.

La ICO concluye que, en el periodo del 25 de mayo de 2018 hasta el 17 de septiembre de 2018, Marriott incumplió las obligaciones exigidas por el artículo 5.1.f) y el artículo 32 del RGPD al no utilizar medidas técnicas y organizativas apropiadas para detectar el ataque informático y remediar la brecha de seguridad.

La ICO tuvo en consideración los siguientes agravantes al calcular la Sanción Inicial:

La naturaleza, gravedad y duración de la infracción (art. 83.2.a del RGPD): La ICO considera que la naturaleza de la infracción es grave. 

Asimismo, el número de datos sustraídos en la brecha (339 millones de registros de clientes) es alto, lo que aumenta la gravedad de la infracción.

En cuanto a la duración de la infracción, la ICO estima que  es un período de tiempo significativo.

La intencionalidad o negligencia en la infracción (art. 83.2.b del RGPD): La ICO considera que Marriot fue negligente por mantener unos sistemas informáticos que adolecían de vulnerabilidades y deficiencias.

El grado de responsabilidad del responsable o del encargado del tratamiento (art. 83.2.d del RGPD): Marriott alegó en su defensa que tenía un contrato con la empresa Accenture para la prestación de ciertos servicios de seguridad informática, y que este aspecto debería tenerse en cuenta al determinar la responsabilidad de Marriott en la falta de medidas de seguridad.

Tras los agravantes antes mencionados, la ICO decidió imponer a Marriott una sanción inicial de 28 millones de libras (la “Sanción Inicial”)

La ICO tuvo en consideración los siguientes aspectos al atenuar la Sanción Inicial:

La inversión efectuada por Marriott en seguridad informática: antes de tener conocimiento del ataque, el presupuesto de seguridad informática de Marriott ya era de 49,5 millones de dólares. En 2019, tras detectar el ataque informático, Marriott aumentó dicho presupuesto para el 2020 a 108,5 millones de dólares.

Las medidas que Marriott tomó de forma inmediata para mitigar los efectos del ataque y proteger los intereses de los afectados mediante la implementación de medidas correctivas. 

La ICO también consideró que la noticia del ataque informático a Marriott ha servido para concienciar a otros controladores de datos sobre los riesgos que plantean los ciberataques y sobre la necesidad de asegurarse de tomar medidas adecuadas para proteger los datos personales.

Finalmente, el ataque a Marriott y la posterior sanción de la ICO han afectado negativamente a la marca y la reputación de Marriott, lo que, a juicio de la ICO, debería tener un efecto disuasorio sobre otros controladores de datos.

La ICO tuvo también en cuenta el impacto de la pandemia de Covid-19 en el cálculo de su multa, y consideró razonable aplicar una reducción adicional  sobre la multa. La multa final a pagar por Marriott será de 18,4 millones de libras.

Como hemos visto , con la adquisición de Starwood por parte de Marriott, esta última adquirió también el ataque informático existente y no detectado que se hallaba en el sistema de Starwood. El presente caso ilustra la importancia de realizar un proceso de diligencia debida para analizar los sistemas informáticos de una empresa con carácter previo a su adquisición, con el fin de mitigar riesgos de ciberataques.

Resulta también destacable el hecho de que la ICO haga expresa mención a la cantidad de dinero invertido en la seguridad del sistema informático como un claro factor atenuante.

Desde TalentoProtec, división especializada en protección de datos de Talento Consulting, trabajamos para cumplir con la normativa vigente en protección de datos para empresas y autónomos y proteger de esta forma tanto a usuarios como a responsables de tratamiento de datos de posibles sanciones. Para más información sobre el uso correcto de la  RGPD no dudes en consultarnos o mandarnos email protecciondedatos@talentoprotec.com