Al finalizar su investigación sobre el incidente de violación de datos del Registro de Sociedades ( el Registro ), la Oficina del Comisionado de Privacidad de Datos Personales (PCPD) publicó hoy los hallazgos de la investigación.

La investigación surgió de una notificación de violación de datos enviada por el Registro a la PCPD el 19 de abril de 2024, informando el riesgo de fuga de datos personales identificado en los Servicios de búsqueda electrónica del Portal de servicios electrónicos (el Incidente).

Antecedentes

El 27 de diciembre de 2023, el Registro lanzó su «Sistema Integrado de Información del Registro de Sociedades» (el sistema relevante) completamente renovado junto con el «Portal de Servicios electrónicos» para proporcionar a los usuarios servicios de búsqueda electrónica y envío de documentos. Posteriormente, durante el trabajo de rutina el 18 de abril de 2024, el Registro descubrió que los Servicios de búsqueda electrónica del «Portal de Servicios electrónicos» transmitían datos personales adicionales a las computadoras de los buscadores, además de la información de búsqueda relevante. Sin embargo, los datos personales en cuestión no se mostraban directamente en las páginas de resultados de búsqueda, los investigadores debían abrir la herramienta para desarrolladores web [1] , que rara vez usaban los usuarios generales, en las páginas de resultados de búsqueda, utilizaban la función de búsqueda dentro de diferentes paneles de la herramienta para desarrolladores web e ingresaban parte de los datos personales en cuestión (como números parciales de la tarjeta de identidad de Hong Kong (HKID)) para localizar los datos personales «adicionales». Además, los investigadores también podían acceder a algunos de los datos personales «adicionales» mediante una búsqueda robótica [2] . Además, también se identificó el mismo problema en el envío electrónico de avisos relacionados con los terceros designados por los prestamistas de dinero con licencia.

Hallazgos de la investigación

El PCPD realizó cuatro rondas de consultas con el Registro y se acercó al contratista contratado por el Registro para la modernización del sistema relevante (el Contratista) dos veces para obtener información sobre el Incidente. El PCPD también revisó más de 1500 páginas de documentos proporcionados por el Registro, incluyendo el contrato de servicios entre el Registro y el Contratista, así como los informes de diseño y pruebas del sistema pertinente, etc. El PCPD agradeció al Registro y al Contratista su cooperación y la información solicitada en la investigación.

Según la información proporcionada por el Registro y el Contratista, el incidente se originó debido al uso de módulos comunes (常用模組) en el diseño de las funciones afectadas del sistema pertinente sin eliminar campos de datos excesivos, lo que resultó en la transmisión de datos personales adicionales a la computadora de los usuarios.La investigación reveló que este problema había estado presente desde el lanzamiento del sistema pertinente (es decir, el 27 de diciembre de 2023). Sin embargo, la información «adicional» en cuestión no se mostró directamente en las páginas de resultados de búsqueda, y no hubo evidencia que sugiriera que los datos personales «adicionales» estuvieran sujetos a algún acceso no autorizado o accidental.

Un total de 109,002 personas podrían haber sido afectadas por el incidente. Los datos personales involucrados incluían los números de tarjeta HKID, números de pasaporte y/o direcciones residenciales habituales (URA) de 108,575 directores de empresas; los números de tarjeta HKID y/o números de pasaporte de 217 personas descalificadas, solicitantes de prestamistas de dinero y terceros designados por prestamistas de dinero autorizados; y los nombres, números de teléfono y/o direcciones de correo electrónico de 210 personas de contacto de prestamistas de dinero. La investigación reveló que casi el 90% de los datos personales involucrados, incluidos los datos personales de los directores de empresas, estaban disponibles para su inspección en las imágenes de los documentos registrados en el Registro.Tras el incidente, el Registro notificó a todas las personas que pudieron verse afectadas, corrigió de inmediato el diseño del sistema, contrató a un tercero independiente para que realizara una revisión exhaustiva del sistema y adoptó medidas correctivas para evitar que se repitiera un incidente similar.

Tras considerar las circunstancias del incidente y la información obtenida durante la investigación, las observaciones del PCPD sobre el incidente son las siguientes:

1. El Registro implementó una serie de medidas de seguridad en la modernización del sistema pertinente: Al contratar al Contratista para modernizar el sistema pertinente, el Registro había adoptado medios contractuales para exigir al Contratista que diseñara el sistema de manera sensible a la privacidad y se adhiriera a las normas y directrices pertinentes emitidas por el Gobierno al diseñar el sistema. Además, el contrato de servicio especificó los requisitos mínimos de calificación para los miembros del equipo del proyecto. Antes de la implementación del sistema pertinente, tanto el Registro como el Contratista realizaron una serie de pruebas y evaluaciones, incluidas pruebas de aceptación del usuario y evaluaciones de impacto en la privacidad. El Contratista también realizó un total de cuatro revisiones de código adicionales, y los resultados de las revisiones de código fueron verificados por el Registro. En general, el PCPD consideró que el Registro había tomado una serie de medidas de seguridad en la modernización del sistema pertinente. 

1. El riesgo de acceso no autorizado o accidental a los datos personales afectados es relativamente bajo : El PCPD observó que los datos personales adicionales involucrados no se mostraban directamente en las páginas de resultados de búsqueda. Los usuarios debían realizar pasos o procedimientos adicionales mediante herramientas como herramientas de desarrollo web o búsquedas robóticas para acceder a los datos relevantes. Además, no hay evidencia que sugiera que se haya accedido indebidamente a datos personales adicionales. En vista de lo anterior, la probabilidad y el riesgo de acceso no autorizado o accidental a los datos personales involucrados se consideran relativamente bajos.

El Principio de Protección de Datos (DPP) 4(1) del Anexo 1 de la Ordenanza de Datos Personales (Privacidad) (PDPO) exige que el usuario de datos adopte todas las medidas posibles para garantizar que los datos personales que posee estén protegidos contra acceso, procesamiento, borrado, pérdida o uso no autorizados o accidentales.La investigación del PCPD reveló que no hay evidencia que sugiera que los datos personales «adicionales» hayan sido objeto de algún acceso no autorizado o accidental. Con base en la información obtenida durante la investigación y los hechos relevantes, 

el PCPD observó que el Registro implementó una serie de medidas de seguridad en la modernización del sistema relevante, que incluyeron la incorporación de requisitos contractuales sobre las medidas de seguridad que debería adoptar el Contratista en la modernización del sistema relevante, las pruebas y evaluaciones realizadas tanto por el Registro como por el Contratista antes del lanzamiento del sistema relevante, así como las revisiones de código adicionales.

Español Con base en los hallazgos anteriores, el PCPD consideró que no hay evidencia suficiente para sugerir que el Registro no tomó todas las medidas practicables para salvaguardar los datos personales que conservaba durante el proceso de modernización del sistema relevante, lo que equivale a una contravención del DPP 4(1). No obstante lo anterior, a la luz del hecho de que efectivamente existía un riesgo de fuga de datos personales asociado con el sistema relevante, el PCPD brindó asesoramiento al Registro para que realizara revisiones periódicas y exhaustivas en cualquier sistema que contenga datos personales para garantizar que estén libres de otras vulnerabilidades de diseño y seguridad del sistema.

Dado que la Comisionada de Privacidad para Datos Personales, Sra. Ada CHUNG Lai-ling, fue nombrada Registradora de Sociedades antes de septiembre de 2020, la Sra. CHUNG no participó en esta investigación para evitar cualquier posible conflicto. Esta investigación fue dirigida y conducida por la Comisionada Adjunta de Privacidad para Datos Personales (Legal) (en funciones), Sra. Fiona LAI Ho-yan, y el Director de Datos Personales (Cumplimiento e Investigaciones), Sr. Brad KWOK Ching-hei.

Se inició la verificación de cumplimiento con Deliveroo

Además, la plataforma de reparto a domicilio Deliveroo anunció recientemente el cese de sus operaciones en Hong Kong, lo que podría afectar a los derechos de privacidad de los datos personales de sus clientes y repartidores. El PCPD ha iniciado una verificación de cumplimiento contra Deliveroo, de acuerdo con los procedimientos establecidos, para recopilar más información y ayudar a los comerciantes pertinentes, incluido el operador que se hace cargo del negocio, a gestionar, eliminar o transferir los datos personales de los clientes y repartidores de conformidad con los requisitos de la PDPO. La verificación de cumplimiento se ha iniciado para garantizar que los datos personales en cuestión no se utilicen indebidamente, se filtren ni caigan en manos de estafadores para actividades fraudulentas. El PCPD insta a los clientes y repartidores afectados a que consulten a los comerciantes pertinentes o al PCPD (teléfono: 2827 2827 o correo electrónico: communications@pcpd.org.hk ) si les preocupa cómo gestionan sus datos personales.

[1] Una herramienta para desarrolladores web es una herramienta de prueba integrada en el navegador para su uso por parte de los desarrolladores web. Por ejemplo, para usuarios generales que usan el navegador Google Chrome, al presionar la tecla F12 se abrirá la interfaz de herramientas para desarrolladores.

[2] Una búsqueda robótica se refiere a una solicitud de búsqueda emitida por un programa de computadora.

https://www.pcpd.org.hk/english/news_events/media_statements/press_20250312.html