Em atualização

Os dados pessoais dos portugueses foram violados no ataque que teve a Segurança Social como alvo, confirma a Comissão Nacional de Proteção de Dados ao Observador. “Confirmo que a violação de dados pessoais ocorrida na Segurança Social foi notificada à CNPD ao abrigo do artigo 33.º do RGPD”, afirma a CNPD, que detalha que a violação foi “notificada no dia 20 de novembro”. Ministério do Trabalho “mantém que até ao momento não existe qualquer evidência de ter existido acesso indevido a dados de cidadãos ou de empresas”.

O ataque à Segurança Social só foi tornado público no dia seguinte, a 21 de novembro, através de um e-mail interno enviado aos funcionários. Mesmo depois de tornado público o ataque, numa atualização feita dois dias depois, a Segurança Social continuava a afirmar que não existia ainda “qualquer evidência de acesso a dados de cidadãos”, embora já tivesse comunicado à CNPD a violação de dados.

Ao Observador, o Ministério do Trabalho remete para o comunicado da Segurança Social de dia 23 de novembro e “mantém que até ao momento não existe qualquer evidência de ter existido acesso indevido a dados de cidadãos ou de empresas”, não clarificando ou quantificando que dados pessoais foram atingidos no ciberataque.

Segurança Social alvo de ataque informático. PJ está a avaliar a dimensão dos danos

PUB • CONTINUE A LER A SEGUIR

“A Comissão Nacional de Proteção de Dados abre sempre um processo na sequência de notificações desta natureza, e está a analisar a situação”, esclarece a CNPD, acrescentado ainda que “não pode prestar neste momento qualquer informação adicional sobre o assunto.”

Seis perguntas sobre a “intrusão intencional e maliciosa” nos sistemas da Segurança Social

Segundo o Regulamento Geral de Proteção de Dados, os responsáveis pelo tratamento de dados afetados são obrigados a “notificar no prazo de 72 horas após ter tido conhecimento da mesma” considerando que a violação dos dados pessoais é “suscetível de resultar num risco para os direitos e liberdades das pessoas singulares”.

À Rádio Observador, o especialista em Cibercrime David Silva Ramalho diz que “pode haver dever de divulgação” dos dados afetados. “A Lei distingue os dados pessoais de sentido geral, dos outros dados que são categorias especiais de dados genéticos, orientação social ou dados de saúde, por exemplo. Isso tornaria as coisas mais complicadas. São dados que justificam tutela acrescida e um regime mais musculado para a sua proteção”, explica o especialista.

Silva Ramalho acrescenta ainda que “não é a mera circunstância de um ataque que implica responsabilidade sancionatória, quer civil”: “É preciso haver sempre um grau residual de culpa”, afirmou notando que será necessário