El 30 de octubre de 2020, la Agencia Británica de Protección de Datos (“Information Commissioner’s Office” o “ICO”) impuso a la cadena hotelera Marriott International Inc. (“Marriott”) una multa de 18,4 millones de libras (20,5 millones de euros aproximadamente) por no utilizar medidas técnicas y organizativas apropiadas para prevenir una brecha de seguridad de datos personales.

La presente multa finaliza el proceso iniciado el 9 de julio de 2019 en el que la ICO declaró su intención de imponer una multa de entonces 99 millones de libras a Marriott.

Hechos:

El 29 de julio de 2014, un atacante desconocido consiguió penetrar el sistema informático de la cadena hotelera Starwood Hotels and Resorts Worldwide Inc. («Starwood«). Starwood fue posteriormente adquirida en el 2016 por Marriott, que tampoco detectó la existencia del ataque hasta septiembre de 2018.

El atacante instaló un código malicioso webshell en un dispositivo dentro de la red Starwood que le permitió acceso remoto al sistema informático de Starwood. El atacante posteriormente instaló en el sistema un programa llamado “Mimikatz” con el que recabó las credenciales de inicio de sesión de clientes temporalmente almacenadas en el sistema de memoria.

Pese a que el ataque se sucedió durante años (julio 2014 a septiembre 2018), en su sanción, la ICO solo ha tenido en cuenta el periodo de duración del ataque desde la entrada en vigor del RGPD el 25 de mayo de 2018 hasta el 17 de septiembre de 2018 cuando Marriott detectó el ataque.

Según la información ofrecida por Marriott, durante el ataque se vieron afectados 339 millones de registros de clientes. De dichos registros, 30,1 millones pertenecen a ciudadanos del Espacio Económico Europeo. Sin perjuicio de lo anterior, se desconoce el número exacto de personas afectadas dado que un mismo cliente podía tener múltiples registros.

Los datos personales sustraídos varían según los clientes, y destacan los siguientes: Nombre del cliente, género, fecha de nacimiento, información de su cuenta, dirección postal, número de pasaporte, número de teléfono, fax, dirección de correo electrónico, fecha de expiración de su tarjeta de crédito, y la fecha de llegada y de salida del cliente.

Infracción:

La ICO concluye que, en el periodo del 25 de mayo de 2018 hasta el 17 de septiembre de 2018, Marriott incumplió las obligaciones exigidas por el artículo 5.1.f) y el artículo 32 del RGPD al no utilizar medidas técnicas y organizativas apropiadas para detectar el ataque informático y remediar la brecha de seguridad.

Agravantes:

La ICO tuvo en consideración los siguientes agravantes al calcular la Sanción Inicial:

La naturaleza, gravedad y duración de la infracción (art. 83.2.a del RGPD): La ICO considera que la naturaleza de la infracción es grave. Principalmente debido a que, durante el período del 25 de mayo de 2018 al 17 de septiembre de 2018, Marriott estuvo procesando millones de datos en un sistema informático que adolecía de diversas vulnerabilidades que podrían haber sido explotadas por otros atacantes.

Asimismo, el número de datos sustraídos en la brecha (339 millones de registros de clientes) es alto, lo que aumenta la gravedad de la infracción.

En cuanto a la duración de la infracción, la ICO estima que el periodo comprendido entre el 25 de mayo de 2018 al 17 de septiembre de 2018, durante el cual el atacante pasó desapercibido, es un período de tiempo significativo.

La intencionalidad o negligencia en la infracción (art. 83.2.b del RGPD): La ICO considera que Marriot fue negligente por mantener unos sistemas informáticos que adolecían de vulnerabilidades y deficiencias.

El grado de responsabilidad del responsable o del encargado del tratamiento (art. 83.2.d del RGPD): En un argumento interesante, Marriott alegó en su defensa que tenía un contrato con la empresa Accenture para la prestación de ciertos servicios de seguridad informática, y que este aspecto debería tenerse en cuenta al determinar la responsabilidad de Marriott en la falta de medidas de seguridad.

Sin embargo, la ICO concluyó que, el hecho de que Accenture estuviera encargada de implementar, mantener o administrar ciertos elementos del sistema informático de Marriott no reduce la responsabilidad de esta última por las infracciones del RGPD identificadas. “[…] En circunstancias en las que Marriott acepta que es el controlador de datos relevante y se han identificado fallos significativos en sus medidas de seguridad, la participación de terceros no puede reducir su grado de responsabilidad.”

Tras los agravantes antes mencionados, la ICO decidió imponer a Marriott una sanción inicial de 28 millones de libras (la “Sanción Inicial”).

Atenuantes:

La ICO tuvo en consideración los siguientes aspectos al atenuar la Sanción Inicial:

La inversión efectuada por Marriott en seguridad informática: antes de tener conocimiento del ataque, el presupuesto de seguridad informática de Marriott ya era de 49,5 millones de dólares. En 2019, tras detectar el ataque informático, Marriott aumentó dicho presupuesto para el 2020 a 108,5 millones de dólares.

Las medidas que Marriott tomó de forma inmediata para mitigar los efectos del ataque y proteger los intereses de los afectados mediante la implementación de medidas correctivas. Entre estas medidas se encuentran la creación de un centro de llamadas para responder a las preguntas de los afectados; la creación de un sitio web explicando el incidente en distintos idiomas; la comunicación del incidente a distintas agencias gubernamentales y la mejora de sus sistemas de seguridad informática.

La plena cooperación de Marriott en la investigación de la ICO, respondiendo de forma inmediata a las solicitudes de información de la agencia.

La ICO también consideró que la noticia del ataque informático a Marriott ha servido para concienciar a otros controladores de datos sobre los riesgos que plantean los ciberataques y sobre la necesidad de asegurarse de tomar medidas adecuadas para proteger los datos personales.

Finalmente, el ataque a Marriott y la posterior sanción de la ICO han afectado negativamente a la marca y la reputación de Marriott, lo que, a juicio de la ICO, debería tener un efecto disuasorio sobre otros controladores de datos.

Como consecuencia de lo anterior, la ICO decidió atenuar la Sanción Inicial de 28 millones de libras en un 20%: a 22,4 millones de libras.

Política de Covid-19 de la ICO y multa final:

La ICO tuvo también en cuenta el impacto de la pandemia de Covid-19 en el cálculo de su multa, y consideró razonable aplicar una reducción adicional de 4 millones de libras sobre la multa. La multa final a pagar por Marriott será de 18,4 millones de libras.

En su reciente sanción a British Airways, la ICO aplicó la misma reducción de 4 millones de libras por el mismo concepto.

Conclusión:

Como hemos visto al principio de los hechos, con la adquisición de Starwood por parte de Marriott, esta última adquirió también el ataque informático existente y no detectado que se hallaba en el sistema de Starwood. El presente caso ilustra la importancia de realizar un proceso de diligencia debida para analizar los sistemas informáticos de una empresa con carácter previo a su adquisición, con el fin de mitigar riesgos de ciberataques.

El caso también resulta interesante por como la ICO rechaza uno de los argumentos de defensa de Marriott, al intentar evadir su responsabilidad escudándose en el servicio de seguridad informática realizado por un tercero. En ultima instancia, y como ha hemos escrito mas arriba: “[…] En circunstancias en las que Marriott acepta que es el controlador de datos relevante y se han identificado fallos significativos en sus medidas de seguridad, la participación de terceros no puede reducir su grado de responsabilidad”.

Resulta también destacable el hecho de que la ICO haga expresa mención a la cantidad de dinero invertido en la seguridad del sistema informático como un claro factor atenuante.

Finalmente, y como ya mencionamos en el caso de la multa a British Airways, vemos de nuevo como ciertas conductas del reclamado, como la plena cooperación con la agencia de protección de datos, la rapidez en la toma de fuertes medidas para mitigar el daño causado a los afectados, y la implementación de mejoras en la seguridad del sistema informático, sirven para reducir el importe de la multa. En este caso concreto en un 20%.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.