O CASO MARRIOTT/STARWOOD: DADOS PESSOAIS EM OPERAÇÕES DE TRANSFERÊNCIA DE TECNOLOGIA

  • 22/07/2022
  • Henrique Magalhães

Uma das primeiras grandes multas após a vigência do regulamento europeu sobre proteção de dados pessoais (“GDPR”) ocorreu em outubro de 2020, quando a rede hoteleira Marriott foi autuada pela autoridade de proteção de dados do Reino Unido (“ICO”) no valor de £18.4 milhões.

Para compreender o contexto e impacto do incidente de segurança na rede Marriott, é necessário analisar os fatos cronologicamente:

  • Em 2014, a rede hoteleira Starwood teve seu sistema interno de reservas comprometido por cybercriminosos devido a vulnerabilidades de segurança da informação.
  • Em 2016, o Marriott adquiriu a rede Starwood. A compradora não identificou as vulnerabilidades de segurança da informação já existentes no sistema de reservas da Starwood.
  • Em 2018, o Marriott identificou a vulnerabilidade e comunicou o incidente de segurança às autoridades competentes. A falha resultou no vazamento de dados pessoais de aproximadamente 339 milhões de clientes da rede hoteleira.
  • Em 2020, a ICO aplicou a referida multa à rede Marriott. A repercussão do incidente resultou em um grande dano reputacional à companhia, que teve uma queda de 5% no valor de suas ações imediatamente após a publicidade do vazamento na mídia, além da perda aproximada de 1 bilhão de dólares de receita em razão da diminuição do fluxo de clientes.
  • A empresa gastou cerca de 30 milhões de dólares em estratégias de retenção de danos.

Nota-se que ao adquirir uma tecnologia, o comprador adquire também os riscos atrelados a ela. Nesse caso, os prejuízos foram materializados na forma de um incidente de segurança, que resultou em: (i) insegurança de acionistas; (ii) penalidades regulatórias; (iii) danos reputacionais e; (iv) gastos com mitigação de danos.

Talvez você esteja se perguntando “OK, mas o que isto tem a ver com o meu negócio?”

De maneira simples, tudo!

A expectativa é que a ANPD, órgão fiscalizador brasileiro, começará a aplicar suas primeiras penalidades por descumprimento à LGPD no segundo semestre de 2022, logo após a publicação de uma portaria que definirá a metodologia de cálculo de multas.

Portanto, caso você esteja em fase negocial de aquisição de uma empresa ou sistema, é importante ter em mente os erros cometidos pelos empresários europeus nos primeiros anos de vigência do GDPR, para que os mesmos prejuízos não sejam concretizados neste novo cenário da LGPD.

É essencial refletir que caso a rede Marriott tivesse realizado uma due diligence em proteção de dados durante a negociação do deal com a Starwood e identificado o incidente de segurança antes da assinatura do contrato, o prejuízo teria sido completamente evitado.

Além disso, a identificação prévia das vulnerabilidades da Starwood poderia ter impactado no valor da transação, fazendo com que a rede Marriott adquirisse a empresa por um preço bastante reduzido, tal como ocorrido durante as tratativas contratuais que resultaram na venda da empresa Yahoo! para a Verizon – nesse caso, o preço original foi reduzido em 8% (ou seja, um desconto de 350 milhões de dólares) em razão da descoberta de vulnerabilidades de segurança da informação.

Logo, considere os riscos de proteção de dados atrelados à transferência de tecnologia em operações de aquisição de empresas, pois é essencial que as vulnerabilidades sejam descobertas o mais cedo possível, por meio de uma robusta due diligence.

Sendo este o seu caso, nossa equipe especializada em proteção de dados pessoais está pronta para prestar todo o suporte necessário.

busca

1
Olá 👋 Como posso te ajudar hoje?