Marriott enfrenta outro processo por violação de dados

Processo do Reino Unido busca danos no GDPR por hack de longa duração no sistema de reservas Starwood.

Marriott enfrenta outro processo, aberto na Grã-Bretanha, sobre a gigante hoteleira que está enfrentando uma das piores violações de dados da história.

A violação do sistema de reserva de hóspedes da Starwood ocorreu de julho de 2014 a setembro de 2018 – a Marriott adquiriu a Starwood em 2016 – e expôs informações pessoais de aproximadamente 339 milhões de clientes em todo o mundo.

Na terça-feira, uma ação representativa de violação de dados – também conhecida como ação coletiva ou ação coletiva – foi movida no Tribunal Superior de Justiça da Inglaterra e País de Gales por Martin Bryant, que dirige uma consultoria com sede em Manchester, Inglaterra, chamada Big Revolution.

O processo de Bryant busca indenização por Marriott perder o controle dos dados pessoais dos clientes, violando assim o Regulamento Geral de Proteção de Dados da UE, bem como a Lei de Proteção de Dados do Reino Unido. Está sendo julgado pela regra 19.6 do Regulamento de Processo Civil, que permite ações representativas. A ação visa incluir todos os indivíduos na Inglaterra e no País de Gales – as outras duas nações no Reino Unido, Escócia e Irlanda do Norte, têm sistemas jurídicos separados – cujas informações pessoais foram expostas, a menos que optem por sair.

“Eu abri uma ação coletiva de violação de dados no Tribunal Superior da Inglaterra e País de Gales contra a Marriott International”, disse Bryant em uma postagem no LinkedIn na quarta-feira . “A ação busca compensação em nome de milhões de hóspedes de hotéis que fizeram reservas em marcas de hotéis dentro do grupo Starwood. Esta ação segue a violação de dados de centenas de milhões de registros de hóspedes entre julho de 2014 e setembro de 2018.”

Marriott não respondeu imediatamente a um pedido de comentário.

A Marriott já enfrenta processos de ação coletiva em outros países, incluindo processos no Canadá . Nos Estados Unidos, um juiz combinou 11 ações coletivas em uma única no início de 2019. Em fevereiro, um juiz determinou que o processo contra a Marriott deveria prosseguir .

Alegado: violação das leis de proteção de dados

Bryant está sendo representado pela Hausfeld, um escritório de advocacia internacional com sede em Washington, especializado em ações judiciais coletivas.

“Por um período de vários anos, a Marriott International falhou em tomar medidas técnicas ou organizacionais adequadas para proteger milhões de dados pessoais de seus hóspedes que lhes foram confiados”, disse o advogado Michael Bywell, sócio da Hausfeld. “A Marriott International violou claramente as leis de proteção de dados especificamente estabelecidas para proteger os titulares dos dados.”

O direito dos europeus de buscar indenização por parte de organizações que violaram seus direitos de privacidade está consagrado no GPDR.

“De acordo com a lei de proteção de dados, você tem o direito de levar seu caso ao tribunal para: fazer valer seus direitos sob a lei de proteção de dados se você acreditar que eles foram violados; reivindicar compensação por qualquer dano causado por qualquer organização se ela violou a lei de proteção de dados, incluindo qualquer sofrimento que você possa ter sofrido; ou uma combinação dos dois “, de acordo com o Information Commissioner’s Office do Reino Unido , que aplica as leis de proteção de dados no país.

Custos de processos judiciais pagos pelo financiador de litígios

O custo de mover o processo contra a Marriott está sendo financiado pela Harbor Litigation Funding, uma financiadora de litígios global com sede em Londres.

“Conforme a nova legislação de proteção de dados pessoais é promulgada, mais e mais violações de dados estão resultando em litígios”, disse Ellora MacPherson, diretora de investimentos da Harbor. “Reivindicações desse tamanho e natureza são extremamente difíceis de trazer e manter sem o benefício de financiamento de litígio.”

O valor total dos danos que a Marriott pode enfrentar não está claro; Caberá ao tribunal fixar o valor per capita – caso avance – com base em evidências apresentadas pela rede hoteleira.

“Espero que este caso aumente a conscientização sobre o valor de nossos dados pessoais, resulte em uma compensação justa para aqueles de nós que foram vítimas da violação de dados extensa e duradoura da Marriott e também avise a outros proprietários de dados que eles devem manter nossos dados com responsabilidade “, diz Bryant.

Violação maciça

Em novembro de 2018, a Marriott anunciou que seu banco de dados de reservas de hóspedes Starwood foi hackeado, expondo aproximadamente 339 milhões de registros de clientes em todo o mundo. Os dados expostos incluíam nomes, endereços de correspondência, números de telefone, endereços de e-mail, números de passaporte e, em alguns casos, informações criptografadas de cartão de pagamento.

No Reino Unido, aproximadamente 7 milhões de registros de clientes foram expostos.

A violação levou o ICO – órgão de vigilância da privacidade da Grã-Bretanha – a propor em julho de 2019 que a Marriott fosse multada em £ 99 milhões (US $ 131 milhões) de acordo com o Regulamento Geral de Proteção de Dados da UE.

O GDPR autoriza os reguladores da UE a cobrar multas de até 4% da receita global anual de uma organização ou € 20 milhões ($ 23,9 milhões) – o que for maior – se violarem os direitos de privacidade europeus, por exemplo, ao não protegerem seus dados pessoais

“A investigação da ICO concluiu que a Marriott não realizou a devida diligência suficiente quando comprou a Starwood e também deveria ter feito mais para proteger seus sistemas”, disse o regulador na época.

Com sede em Washington, a Marriott International possui mais de 7.300 hotéis e propriedades para hóspedes em 134 países e territórios em todo o mundo. Além do nome Marriott, suas 30 marcas incluem W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton e Hotéis Design. Em 2019, a empresa teve uma receita de US $ 20,9 bilhões .

Marriott sofre multa no Reino Unido

Marriott está apelando da multa proposta pela OIC, e especialistas dizem que a incerteza jurídica causada pelo fato de a Grã-Bretanha ter saído formalmente da UE – por meio de seu chamado Brexit – pode exigir que a UE inicie uma nova investigação. O mesmo vale para a British Airways, que o regulador propôs multar um recorde de £ 184 milhões (US $ 243,5 milhões) pelas violações sofridas de setembro a outubro de 2018 que permitiram que os invasores encaminhassem clientes para um site fraudulento, expondo 500.000 dados pessoais de indivíduos.

Mais de um ano depois de propor multas, entretanto, a OIC ainda não impôs as multas finais. Exceto em circunstâncias incomuns, a OIC deve emitir multas finais no prazo de seis meses a partir da emissão de sua notificação de intenção de multa, a menos que a organização infratora concorde com um atraso (consulte: Grandes multas GDPR no Reino Unido e Irlanda: Qual é o atraso? ).

Em abril, a OIC disse que o COVID-19 conta como circunstâncias excepcionais, tanto para o momento de suas ações de aplicação, quanto para seu impacto nos negócios. Consequentemente, sugere-se que recomendará multas mais baixas para Marriott e BA, que concordaram em adiar a definição das multas finais. A OIC também disse que, enquanto a pandemia continuar, ela aplicará a todos os seus esforços uma “abordagem mais flexível, empática e pragmática” (ver: GDPR e COVID-19: Privacy Regulator Promises ‘Flexibility’ ).

Processo de ação coletiva contra a British Airways

Nesse ínterim, a British Airways – de propriedade do IAG, para o International Airlines Group – também enfrenta um processo, que foi iniciado em setembro de 2018 pela SPG Law, filial no Reino Unido da gigante jurídica americana Sanders Phillips Grossman. A SPG Law disse que estava buscando £ 500 milhões ($ 661 milhões) por meio de sua ação em grupo.

A companhia aérea em setembro e outubro de 2018 disse que notificou mais de 500.000 clientes que eles podem ter sido afetados pela violação.

No ano passado, a Suprema Corte da Inglaterra e do País de Gales decidiu que a ação coletiva poderia prosseguir e definiu uma data-limite de 17 de janeiro de 2021 para que as vítimas participassem da ação. Em outubro de 2019, supostamente apenas 1% das vítimas elegíveis o haviam feito.

Não está claro que nível de indenização as vítimas podem receber, embora vários advogados tenham sugerido que poderia ser de £ 3.000 ($ 4.000) a £ 6.000 ($ 8.000) por vítima, ou em casos de impacto extremo, até £ 16.000 ($ 21.500). Se tais níveis de penalidade seriam aprovados, no entanto, permanece para o tribunal decidir.

Fonte: https://www.inforisktoday.com/marriott-hit-class-action-data-breach-lawsuit-a-14850