ICO sanziona Marriott International per 18.4 milioni di sterline

Il 30 ottobre 2020, l’Information Commissioner’s Office (“ICO”), ossia l’Autorità inglese per la protezione dei dati personali, ha sanzionato la catena alberghiera Marriott International (“Marriott”) per 18.4 milioni di sterline (pari circa a 20.4 milioni di euro) per non aver protetto i dati personali di milioni di clienti.

La sanzione si riferisce all’attacco informatico ai sistemi IT di Starwood Hotels (“Starwood”) – società poi acquisita da Marriott – subìto nel 2014 e che, provenendo da una fonte sconosciuta, non era stato scoperto sino a settembre 2018.

In particolare, stando a quanto indicato nel provvedimento dell’ICO, l’analisi dell’attacco hacker ha rivelato che la rete di Starwood era stata compromessa (i) dall’installazione di un malware che ha permesso ad un hacker di accedere da remoto ai sistemi IT della società in qualità di “priviledged user”, nonché (ii) dall’installazione di ulteriori tools che hanno permesso allo stesso di venire a conoscenza delle credenziali di accesso di alcuni utenti alla predetta rete.

Attraverso tali credenziali, era stato dunque hackerato il database di Starwood contenente i dati di prenotazione dei clienti con la conseguente esportazione degli stessi al di fuori del perimetro IT della società.

Sebbene Marriott, venuta a conoscenza dell’attacco, abbia coinvolto tempestivamente l’ICO e abbia informato prontamente i propri clienti, adottando altresì misure correttive per mitigare il rischio per i diritti e le libertà degli interessati, nonché i danni connessi e derivanti dalla violazione subìta, l’ICO ha ritenuto che la società, non avendo implementato le necessarie misure tecniche ed organizzative volte a prevenire trattamenti non autorizzati o illeciti, nonché la perdita accidentale o la distruzione dei dati previste dal Regolamento UE 2016/679 (“GDPR”), abbia violato sia il principio di integrità e riservatezza di cui all’art. 5, comma 1, lett. f) sia l’art. 32 del GDPR.

Con riferimento alla tipologia di dati personali violati e al numero di interessati coinvolti nella violazione è emerso che:

• i dati violati dall’attacco informatico differivano da interessato a interessato e, in ogni caso, includevano informazioni quali, nome e cognome, sesso, indirizzi e-mail, numeri di telefono, data di scadenza della carta di credito, numeri di passaporto e le relative informazioni su arrivi e partenze dei clienti, nonché lo status “VIP” degli ospiti e numero di iscrizione al programma fedeltà, oltre ad informazioni relative alla tipologia di camera prenotata, al numero di bambini e/o di adulti ivi ospitati, etc.;
• risultava complicato quantificare il numero di interessati impattati dalla violazione ma, in ogni caso, stando alla ricostruzione di Marriott, i dati hackerati erano circa 339 milioni di cui 30.1 milioni riferibili a cittadini europei.

Sulla base delle valutazioni effettuate dall’ICO ai sensi dell’art. 83, comma 2 del GDPR, la sanzione è stata comminata alla luce dei seguenti criteri (inter alia):

• natura e gravità della violazione, considerate dall’ICO “of significant concern”. Infatti, come ha dimostrato l’attacco informatico, Marriott ha trattato i dati personali dei propri clienti su sistemi informatici aventi problemi di sicurezza sotto molteplici profili, i quali hanno reso i sistemi vulnerabili a possibili data breach;
• durata della violazione; sebbene la violazione abbia avuto luogo dal 2014 al 2018, il periodo preso in considerazione dall’ICO è stato quello da maggio 2018 – mese in cui è divenuto pienamente applicabile il GDPR – a settembre 2018, mese in cui Marriott ha scoperto la violazione;
• carattere doloso o colposo della violazione, nel caso di specie considerata “colposa”;
• categorie di dati personali oggetto della violazione (nel caso di specie, categorie di dati comuni);
• grado di cooperazione con l'Autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, valutato positivamente dell’ICO;
• modo in cui l'Autorità di controllo ha preso conoscenza della violazione – ossia la notifica di data breach effettuata da parte di Marriott.

Per concludere, come ha ricordato Elizabeth Denham, commissario dell’ICO, occorre tenere a mente che “personal data is precious and businesses have to look after it. Millions of people’s data was affected by Marriott’s failure; thousands contacted a helpline and others may have had to take action to protect their personal data because the company they trusted it with had not.

When a business fails to look after customers’ data, the impact is not just a possible fine, what matters most is the public whose data they had a duty to protect.”