L'Information Commissioner's Office (ICO), il garante della privacy inglese, ha annunciato l'intenzione di multare Marriott International per 99.200.396 sterline (al cambio 110 milioni di euro) in relazione all'intrusione informatica avvenuta nel novembre 2018 nei sistemi della controllata Starwood. Le indagini hanno confermato che ai tempi sono stati esposti diversi dati personali contenuti in circa 339 milioni registrazioni di ospiti, di cui circa 30 milioni relativi a residenti in 31 paesi UE – ben 7 milioni del Regno Unito.
La violazione del Regolamento generale sulla protezione dei dati (GDPR) si deve al fatto che Marriott "non ha intrapreso sufficiente diligenza quando ha comprato Starwood (nel 2016, N.d.R.) e avrebbe dovuto fare di più per proteggere i suoi sistemi". In pratica la vulnerabilità si sarebbe manifestata a partire del 2014 e non sarebbe stata risolta dopo l'acquisizione.
"Il GDPR chiarisce che le imprese devono essere responsabili dei dati personali in loro possesso. Ciò può includere lo svolgimento di un'adeguata due diligence quando si effettua un'acquisizione aziendale e la messa in atto di adeguate misure di responsabilità per valutare non solo quali dati personali sono stati acquisiti, ma anche come sono protetti", ha dichiarato commissario dell'ICO Elizabeth Den.
"I dati personali hanno un valore reale, quindi le organizzazioni hanno il dovere legale di garantirne la sicurezza, proprio come farebbero con qualsiasi altra risorsa. Se ciò non dovesse accadere, non esiteremo a prendere misure energiche quando necessario per proteggere i diritti delle persone".
ICO ha sottolineato che Marriott ha collaborato fin dall'inizio dell'indagine e apportato miglioramenti in materia di sicurezza. "L'azienda avrà ora l'opportunità di presentare osservazioni all'ICO in merito alle conclusioni e alle sanzioni proposte", si legge nella nota finale del garante.