La Oficina del Comisionado de Información del Reino Unido (en adelante, “ICO”, por sus siglas en inglés) propone dos sanciones por un importe de 99,2 millones y 183,39 millones de libras esterlinas (110 y 204 millones de euros, respectivamente) de acuerdo con el Reglamento General de Protección de Datos (“RGPD”) por brechas de seguridad en sus datos personales.
Como particularidad, resulta relevante destacar que, por primera vez, la graduación de la sanción tiene en cuenta los porcentajes establecidos por el artículo 83.5 del RGPD.
En concreto, este apartado dispone que las autoridades de control de protección de datos al imponer las sanciones más graves, podrán tomar como punto de partida 10 millones de euros o el 2% del volumen de negocio anual, pudiendo alcanzar cantidades de hasta 20 millones de euros o el 4% del volumen de negocio anual correspondiente al ejercicio financiero del año anterior.
La primera propuesta de sanción se dirige frente a Marriot International, una de las mayores cadenas hoteleras del mundo. La propuesta trae causa de la investigación sobre un ataque cibernético sufrido por la compañía en 2014, si bien no fue notificada al ICO hasta septiembre de 2018.
De acuerdo con el ICO, la brecha de seguridad se produjo a través de una intrusión en la compañía Starwood Hotels & Resorts Worldwide, sociedad adquirida por Marriot International en 2015, y pudo afectar a los datos personales de más de 500 millones de clientes en todo el mundo, de los cuales 30 millones pertenecían a la Unión Europea. En concreto, el ataque cibernético pudo afectar a nombres, direcciones, números de teléfono, correos electrónicos, números de pasaporte, itinerarios e incluso datos de las tarjetas de crédito.
La multa propuesta, de 110 millones de euros, supone un 2,4 % de los ingresos totales de Marriot International.
La segunda propuesta de sanción se dirige frente a la compañía aérea British Airways, perteneciente al grupo IAG, por la sustracción de datos de sus clientes desde la página web de la aerolínea. La propuesta se produce tras el ataque informático que sufrió la compañía en 2018, que, de acuerdo con el ICO, pudo afectar a los datos personales de hasta 500.000 pasajeros.
En concreto, la brecha de seguridad afectó a los clientes que realizaron sus reservas a través de la página web utilizando tarjeta de crédito durante el periodo comprendido entre el 21 de abril y el 28 de julio de 2018. Durante ese tiempo, los atacantes accedieron a nombres, apellidos, dirección, correo electrónico y datos de las tarjetas de crédito de los clientes.
En este caso, la multa que propone la autoridad británica equivale al 1,5% de los ingresos globales de British Airways durante el ejercicio finalizado el 31 de diciembre de 2017.
De igual forma, estas propuestas, se suman a las multas impuestas a Uber por el acceso no autorizado a datos personales de 57 millones de usuarios en todo el mundo. Reino Unido, Francia y Holanda han impuesto sanciones a la compañía por importe de 433.818, 400.000 y 600.000 euros, respectivamente.
Marta Zaballos y Alejandro Negro
