A novembre 2018 sono stati esposti a un attacco informatico i dati personali di circa 339 milioni di ospiti di Marriott International, tra cui circa 30 milioni di europei e 7 milioni i britannici. L’accesso ai database ha fruttato agli hacker informazioni sugli ospiti come indirizzi, numeri di telefono, numeri di passaporto, carte di credito. Per violazione del GDPR e in particolare per non aver garantito la sicurezza dei dati dei clienti dall’attacco informatico, l’Ico (Information Commissioner’s Office), l’Autorità britannica per la privacy e la protezione dei dati, ha comunicato l’intenzione di sanzionare con 110 milioni di euro la più grande catena alberghiera al mondo. Ora Marriott dovrà difendersi prima della decisione finale. Il presidente e amministratore delegato di Marriott International, Arne Sorenson, ha commentato: “Siamo delusi da questo avviso di intenti da parte dell’ICO, che contesteremo in appello”.
Elizabeth Denham, il commissario per l’informazione a capo dell’Ico, ha così commentato:
” Il GDPR prevede che le organizzazioni devono essere responsabili dei dati personali in loro possesso. Questo può includere lo svolgimento di un’adeguata due diligence quando si effettua un’acquisizione aziendale e la messa in atto di adeguate misure di responsabilità per valutare non solo quali dati personali sono stati acquisiti, ma anche come è protetto”.
“I dati personali hanno un valore reale”, ha aggiunto, “quindi le organizzazioni hanno il dovere legale di garantirne la sicurezza, proprio come farebbero con qualsiasi altra risorsa. Se ciò non accade, non esiteremo a prendere misure adeguate quando necessario per proteggere i fondamentali diritti di privacy”.
