A invasão dos bancos de dados de reservas da Marriott International Inc. em novembro do ano passado pode resultar em uma multa de US$ 124 milhões (£99 milhões) já que o Reino Unido continua a reprimir as violações de privacidade, como ocorreu com a British Airways essa semana, informou a agência Bloomberg.
O ataque cibernético expôs informações sobre 339 milhões de registros de convidados, incluindo 7 milhões relacionados a residentes britânicos, informou terça-feira, 9, o Gabinete do Comissariado da Informação do Reino Unido.
A multa proposta também destaca um risco emergente em fusões e aquisições, com o ICO culpando a Marriott por não ter conduzido due diligence suficiente em sua aquisição da Starwood Hotels & Resorts. O hack provavelmente ocorreu em 2014 e teve como alvo um banco de dados da Starwood, dois anos antes de a empresa ser adquirida pela Marriott.
"As organizações devem ser responsáveis ??pelos dados pessoais que possuem", disse a comissária de informação Elizabeth Denham no comunicado. "Isso pode incluir a devida diligência adequada ao fazer uma aquisição corporativa e a implementação de medidas de responsabilidade adequadas para avaliar não apenas quais dados pessoais foram adquiridos, mas também como eles são protegidos."
A ICO disse que a Marriott cooperou com a investigação do regulador e melhorou sua segurança desde a descoberta da violação no ano passado. O processo de regulamentação permite à Marriott contestar a multa, que a empresa planeja fazer.
"Estamos decepcionados com esta notificação de intenção da ICO, que vamos contestar", afirmou o presidente-executivo do Marriott, Arne Sorenson, em comunicado separado. "Lamentamos profundamente que este incidente tenha acontecido. Levamos a privacidade e a segurança das informações dos hóspedes muito a sério e continuamos a trabalhar arduamente para atender ao padrão de excelência que nossos clientes esperam.
A multa representa cerca de 2,4% da receita total da Marriott, abaixo do máximo possível de 4% que a ICO poderia ter cobrado sob as regras de proteção de dados da lei europeia (GDPR).
