Assenza di due diligence privacy: Marriott sanzionata per oltre 100 milioni di euro
A seguito di un’approfondita indagine, l’Autorità per la protezione dei dati personali inglese (ICO), ha emesso un avviso relativo all’intenzione di multare l’azienda alberghiera Marriott International per circa € 110.000.000,00 per una violazione del Regolamento per la protezione dei dati personali (GDPR).
Oggetto dell’avviso è stato un incidente informatico notificato all’ICO da Marriott International nel novembre 2018. Dall’incidente sono stati esposti diversi dati personali contenuti in circa 339 milioni di record di ospiti, di cui circa 30 milioni relativi a residenti in 31 paesi. nello Spazio economico europeo (SEE). Sette milioni di persone legate ai residenti nel Regno Unito.
L’Autorità ritiene che la vulnerabilità ebbe inizio nel 2014 quando i sistemi del gruppo Starwood sono stati compromessi. Nel 2016 Marriott ha acquisito Starwood scoprendo però l’incidente solo nel 2018.
L’indagine dell’ICO ha rilevato che Marriot non ha intrapreso una sufficiente due diligence in fase di acquisizione di Starwood. Dell’importanza di una due diligence privacy – data protection ne abbiamo già parlato nell’articolo pubblicato sulla rivista MAG di Legalcommunity.
Il commissario per le informazioni della ICO Elizabeth Denham ha dichiarato:
“Il GDPR chiarisce che le organizzazioni devono essere responsabili dei dati personali in loro possesso. Ciò può includere lo svolgimento di un’adeguata due diligence quando si effettua un’acquisizione aziendale e la messa in atto di adeguate misure di responsabilità per valutare non solo quali dati personali sono stati acquisiti, ma anche come sono protetti.”
“I dati personali hanno un valore reale. Le organizzazioni hanno, quindi, il dovere legale di garantirne la sicurezza, proprio come farebbero con qualsiasi altra risorsa. Se ciò non dovesse accadere, non esiteremo a prendere misure energiche quando è necessario per proteggere i diritti del pubblico.”
Maggiori informazioni qui