Terá havido violação de dados pessoais no ciberataque à Segurança Social
No dia após o ataque, a Segurança Social disse que não havia sinais de “acesso indevido a dados de cidadãos ou de empresas”.
Houve uma alegada violação de dados pessoais no ciberataque à Segurança Social, confirmou ao PÚBLICO a Comissão Nacional de Protecção de Dados (CNPD).
Segundo a CNPD, “a Segurança Social considerou que devia notificar” o caso e a comissão “ainda está a analisar a situação”.
A possível violação de dados pessoais foi notificada à CNPD, ao abrigo do artigo 33.º do Regulamento Geral sobre a Protecção de Dados (RGPD), pelo Instituto de Informática da Segurança Social, que “está a analisar a situação”, afirma a CNPD em resposta escrita ao PÚBLICO.
A falha de segurança foi notificada no dia 20 de Novembro, mas o ataque à Segurança Social só foi tornado público no dia seguinte, através de um e-mail interno enviado aos funcionários.
A Segurança Social afirmou, nesse dia 21, ter sido “alvo de um ciberataque que resultou numa intrusão intencional e maliciosa na sua rede informática. Da investigação forense do incidente de segurança, não foi apurado, até ao momento, qualquer facto que permita concluir ter havido acesso indevido a dados de cidadãos ou de empresas”.
De acordo com o site da CNPD, uma violação de dados pessoais “é uma violação de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”.
É obrigação do responsável pelo tratamento dos dados notificar a CNPD de uma violação de dados pessoais. “A menos que a violação de dados pessoais não seja susceptível de resultar num risco para os direitos e liberdades das pessoais singulares, a notificação deve ser feita no prazo de 72 horas após ter tido conhecimento da mesma”, acrescenta a mesma fonte.
O responsável pelo tratamento está “obrigado a dar conhecimento aos titulares dos dados da ocorrência de um data breach, se reunidos os requisitos legais e nas condições descritas no artigo 34.º do RGPD”.