Cybersecurity and Crime

Resultados de la Investigación de la Comisióno de Privacidad sobre la Fuga de Datos del Registro de Empresas y Revisión de Cumplimiento de Deliveroo en Hong Kong

14 marzo 2025

El Comisionado de Privacidad para Datos Personales (PCPD) ha publicado los hallazgos de su investigación sobre la reciente fuga de datos en el Registro de Empresas de Hong Kong (Registry), así como el inicio de una revisión de cumplimiento tras el cese de operaciones de Deliveroo en Hong Kong.

Investigación sobre la Fuga de Datos del Registro de Empresas

El PCPD inició la investigación tras recibir una notificación de violación de datos del Registry el 19 de abril de 2024. La notificación alertaba sobre un riesgo de filtración de datos personales dentro del sistema de búsqueda electrónica en el portal de servicios en línea.

Antecedentes del Incidente

El 27 de diciembre de 2023, el Registry lanzó un sistema renovado llamado «Integrated Companies Registry Information System», junto con un portal de servicios electrónicos. Sin embargo, el 18 de abril de 2024, se descubrió que el sistema transmitía datos personales adicionales a los ordenadores de los usuarios que realizaban búsquedas. Aunque estos datos no se mostraban directamente en los resultados de búsqueda, podían ser accedidos mediante herramientas de desarrollo web o mediante búsquedas automatizadas (robotic search).

La investigación reveló que el problema se originó por el uso de módulos comunes de diseño, los cuales no eliminaron datos adicionales antes de ser transmitidos a los usuarios. El error estuvo presente desde el lanzamiento del sistema en diciembre de 2023.

Datos Comprometidos y Personas Afectadas

Un total de 109,002 individuos pudieron haber sido afectados, incluyendo:

  • 108,575 directores de empresas cuyos números de identidad de Hong Kong (HKID), pasaportes y direcciones residenciales habituales pudieron haber sido expuestos.
  • 217 personas descalificadas y prestamistas licenciados, cuyos HKID y números de pasaporte estuvieron en riesgo.
  • 210 contactos de prestamistas, cuyos nombres, números de teléfono y correos electrónicos estuvieron accesibles.

A pesar de la exposición, el PCPD no encontró evidencia de acceso no autorizado o uso indebido de los datos comprometidos.

Medidas Correctivas Implementadas

Tras el incidente, el Registry:

  • Notificó a todas las personas afectadas.
  • Corrigió inmediatamente el diseño del sistema.
  • Contrató una auditoría independiente para revisar el sistema.
  • Implementó medidas preventivas para evitar incidentes similares en el futuro.

El PCPD concluyó que el Registry tomó medidas de seguridad adecuadas antes del lanzamiento del sistema, incluyendo revisiones de código, evaluaciones de privacidad y pruebas de aceptación del usuario. Sin embargo, recomendó que se realicen revisiones periódicas y exhaustivas para garantizar que no existan vulnerabilidades similares en el futuro.

Revisión de Cumplimiento de Deliveroo

El PCPD también inició una revisión de cumplimiento tras el anuncio de Deliveroo de cesar sus operaciones en Hong Kong. Dado que esta decisión podría afectar los derechos de privacidad de los datos de sus clientes y repartidores, el PCPD busca garantizar que la empresa maneje, elimine o transfiera dichos datos conforme a la Ordenanza de Privacidad de Datos Personales (PDPO).

El objetivo de esta revisión es evitar que los datos personales de clientes y repartidores sean:

  • Mal utilizados o vendidos sin consentimiento.
  • Filtrados a terceros sin protección adecuada.
  • Expuestos a fraude, lo que podría facilitar actividades ilegales.

El PCPD insta a los clientes y repartidores afectados a comunicarse con los operadores de Deliveroo o con el propio PCPD para obtener más información sobre el manejo de sus datos personales.

Conclusiones y Recomendaciones

  1. El Registry tomó medidas adecuadas de seguridad, pero debe fortalecer la supervisión periódica de sus sistemas.
  2. No se encontraron pruebas de acceso no autorizado a los datos filtrados, pero el PCPD recomienda una auditoría continua.
  3. Se ha iniciado una revisión para garantizar que Deliveroo maneje adecuadamente los datos personales de sus usuarios tras su cese de operaciones.

El PCPD reafirma su compromiso con la protección de los datos personales en Hong Kong y continuará supervisando tanto al Registry como a Deliveroo para garantizar el cumplimiento de las normativas de privacidad.

Related Posts

La nueva base de datos europea de vulnerabilidades: una herramienta clave para reforzar la seguridad digital en la UE

21 mayo 2025

Protección de menores en línea: la UE lanza directrices bajo la Ley de Servicios Digitales

19 mayo 2025
Miguel_Ortego

La Comision presenta la nueva norma de ciberseguridad: La «Ley de Ciberresiliencia»

19 septiembre 2022