CNPD foi notificada de violação de dados pessoais no ataque informático à Segurança Social

2 dez 2022 10:52

Este artigo tem mais de um ano

A Comissão Nacional de Proteção de Dados indica que foi alertada pelo Instituto de Informática da Segurança Social para uma violação de dados, notificada ao abrigo do artigo 33.º do Regulamento Geral de Proteção de Dados (RGPD), um dia antes de o ataque ter sido tornado público.

A 21 de novembro, a Segurança Social anunciou que foi alvo de um ataque informático. A investigação ao incidente está em em curso, tendo a Segurança Social indicado que não existia “qualquer evidência” de acesso indevido a dados. No entanto, a Comissão Nacional de Proteção de Dados (CNPD) confirma que foi notificada de uma violação de dados pessoais.

Em confirmações feitas ao Observador e ao jornal Público, a CNPD indica que a 20 de novembro, um dia antes de o ataque ter anunciado publicamente, foi alertada pelo Instituto de Informática da Segurança Social para uma violação de dados, notificada ao abrigo do artigo 33.º do Regulamento Geral de Proteção de Dados (RGPD).

Embora tinha indicado que não podia prestar informação adicional acerca do assunto, a CNPD detalha que "está a analisar a situação", lembrando que "abre sempre um processo na sequência de notificações desta natureza". A Comissão relembra que, tendo em conta o RGPD, os responsáveis pelo tratamento de dados são obrigados a notificá-la de violações de dados que possam resultar num "risco para os direitos e liberdades das pessoais singulares" num prazo de 72 horas após terem tido conhecimento das mesmas.

Recorde-se que, num comunicado divulgado dois dias depois do ataque, a Segurança Social realçou que se mantinha “o ponto de situação inicial", detalhando que, "até à presente data" não existia "qualquer evidência de ter existido acesso indevido a dados de cidadãos ou de empresas".

Na sequência do incidente foram desencadeadas diligências em colaboração com o Centro Nacional de Cibersegurança (CNCS), a Polícia Judiciária (PJ) e especialistas em cibersegurança, no sentido de garantir a segurança dos sistemas e dados.

Desde o início deste ano que várias empresas e entidades portuguesas têm sido vítimas de ataques informáticos. O ataque à Impresa, dona da SIC e do Expresso, aconteceu logo nos primeiros dias de 2022, seguindo-se um ao website da Assembleia da República. Em fevereiro, a Vodafone, o grupo Cofina, a Trust in News e os Laboratórios Germano de Sousa também foram atacadas.

Ao longo dos últimos meses a lista de nomes de organizações atacadas continuou a crescer, com a Sonae MC, o Hospital Garcia da Horta, a agência Lusa , o jornal i e o Nascer do Sol , a TAP, os sites do Sporting e do FC Porto, o Estado Maior das Forças Armadas, o BCP e a Câmara Municipal de Loures.