Notícias
AUTORIDADE DE DADOS DO REINO UNIDO MULTA A REDE HOTELEIRA MARRIOT POR FALHA NA SEGURANÇA NÃO DETECTADA EM OPERAÇÃO DE M&A
No dia 30 de setembro de 2020, o UK Information Commissioner’s Office – ICO (i.e., autoridade de proteção de dados do Reino Unido), apresentou um aviso de penalidade à rede de hotéis Marriot por violações ao GDPR (Regulamento de Proteção de Dados da União Europeia), referente a um ataque aos sistemas do Starwood Hotéis, adquirido pelo Marriot em 2016.
Apurou-se que em 2014 os sistemas do Starwood sofreram um ataque cibernético sem que os seus gestores tomassem conhecimento. O invasor instalou um código em um dispositivo do sistema Starwood e através de malware ganhou acesso remoto como um usuário VIP obtendo, dessa forma, acesso irrestrito ao dispositivo. O Marriot só tomou conhecimento dessa falha em setembro de 2018, tendo notificado a ICO e os titulares afetados em novembro de 2018, após tomar plena consciência da natureza da violação, que pode ter atingido e comprometido dados pessoais de mais 339 milhões de pessoas no mundo inteiro, incluindo seus nomes, e-mails, números de telefone, números de passaporte, informações sobre o programa de fidelidade etc. Note que a penalidade só se refere às violações ocorridas a partir de 25 de maio de 2018, quando o GDPR entrou em vigor.
De acordo com a ICO, o Marriott não adotou medidas técnicas e organizacionais adequadas para garantir a segurança dos dados pessoais, conforme exigido pelo GDPR. A ICO identificou quatro falhas principais: (i) monitoramento insuficiente de contas privilegiadas que poderiam ter detectado a violação; (ii) monitoramento insuficiente de bancos de dados; (iii) falha em reduzir a vulnerabilidade do servidor, como medida preventiva; e (iv) falha em criptografar certos dados pessoais, incluindo números de passaporte.
No cálculo da multa, a ICO: (i) considerou que o incidente não resultou em benefício financeiro ao Marriot; (ii) concluiu que a natureza das falhas do Marriott eram de grande preocupação, pois este poderia ter adotado múltiplas medidas para detectar o ataque; (iii) considerou o prejuízo dos titulares dos dados; (iv) concluiu que o Marriott agiu negligentemente ao não manter adequadamente os sistemas afetados pelo incidente, particularmente em razão do tamanho e do perfil do Marriott, e a probabilidade do mesmo ser um potencial alvo de ataque cibernético. Fica a lição da importância das revisões periódicas preventivas de segurança bem como da due diligence de sistemas de TI e de banco de dados nos processos de M&A.
A ICO reduziu o valor da penalidade para £14,4 milhões (US$ 23,8 milhões), que em julho de 2019 havia sido anunciada em £99 milhões (US$123 milhões). Uma das justificativas utilizadas para a redução da multa, que é a segunda maior cobrada pela ICO, foi a pandemia da Covid 19, também empregada para reduzir a multa imposta pela ICO à British Airways, também em outubro de 2020.
O Marriott não admitiu responsabilidade pela infração, mas indicou que não planeja recorrer.
A equipe do núcleo de Direito Digital do Viseu Advogados está apta para dirimir quaisquer dúvidas sobre o assunto e orientar processos de adequação e compliance às legislações vigentes.