La autoridad holandesa de protección de datos (APD) ha impuesto una multa de 475.000 euros a Booking.com por no informar con la suficiente rapidez de una violación de datos grave.
Como consecuencia de dicha violación de datos los ciberdelincuentes tuvieron acceso a los datos personales de 4.109 clientes, así como información de las tarjetas de crédito de 283 personas; en 97 de estos casos obtuvieron el código de seguridad CVV.
Los hechos ocurrieron en diciembre de 2018. Valiéndose de una estafa telefónica, los delincuentes convencieron al personal de 40 hoteles en los Emiratos Árabes Unidos (EAU) para que les proporcionaran los datos de acceso al sistema de Booking de los mencionados 4.109 clientes, con reservas en dichos hoteles en los EAU. Estos datos incluyeron los nombres, direcciones, números de teléfono de los clientes e información sobre las reservas.
“Los clientes de Booking.com corrieron el riesgo de ser víctimas de un robo considerable de dinero, incluso en aquellos casos en que los delincuentes no obtuvieran datos de las tarjetas de crédito, sino solamente a través de sus nombres, datos de contacto e información de la reserva. Al fin y al cabo, esa información puede ser utilizada de manera fraudulenta para operaciones de ‘phising’ o suplantación de identidad”.
Monique Verdier, vicepresidenta de la APD holandesa
Booking.com informó de la violación de datos a la APD holandesa el 7 de febrero de 2019, 22 días después de que la compañía hubiera sido informada (el 13 de enero). Las violaciones de datos deben informarse a las autoridades de protección de datos, tanto por parte de empresas como de las administraciones públicas, con carácter inmediato, en un plazo máximo de 72 horas.
Los clientes afectados fueron informados por Booking.com el 4 de febrero de 2019 y recibieron diversas ofertas compensatorias.
“Actuar de forma rápida es esencial, sobre todo para las víctimas de la violación de datos. Una vez que la APD (holandesa) es informada, ésta puede ordenar a la empresa que inmediatamente avise a aquellas personas afectadas. Esto puede evitar que los delincuentes dispongan de semanas para intentar defraudar a los clientes”.
Monique Verdier, vicepresidenta de la APD holandesa
Booking.com ha anunciado que acepta la multa y no solicitará la revisión de la sanción.
Booking.com tiene su sede central en los Países Bajos, motivo por el que la investigación fue llevada a cabo por las autoridades de dicho país. La APD holandesa realizó todas las investigaciones en coordinación con otras autoridades de protección de datos europeas al tratarse de un asunto de alcance internacional.
