Registro de Incidentes com Dados Pessoais
O que é um incidente de segurança com dados pessoais?
Segundo a Autoridade Nacional de Proteção de Dados (ANPD), um incidente de segurança é um evento adverso confirmado que comprometa as propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais.
Esse incidente pode decorrer de ações voluntárias ou acidentais que resultem em divulgação, alteração, perda ou acesso não autorizado a dados pessoais, independentemente do meio em que estejam armazenados.
Incidentes podem ocorrer de forma:
- Acidental, como o envio de informações confidenciais para o destinatário incorreto;
- Intencional, como a invasão de um sistema de informação ou o furto de um dispositivo de armazenamento de dados.
Exemplos de possíveis incidentes na área da saúde:
- Publicação indevida de relação de pessoas com nome e CPF que tiverem dengue;
- Acesso de pessoa não autorizada a sistema de informação do Ministério da Saúde utilizando a senha de um servidor com credencial válida;
- Invasão de sistema de informação de Secretaria de Saúde por hacker.
Descobri um incidente de segurança. O que devo fazer?
Caso você identifique ou suspeite de um incidente de segurança envolvendo dados pessoais sob a custódia do Ministério da Saúde é essencial comunicar imediatamente aos canais oficiais. As manifestações podem ser registradas por qualquer pessoa – cidadãos, profissionais de saúde, servidores públicos ou parceiros institucionais – através dos seguintes meios:
- Plataforma Fala.BR
- Ouvidoria do Ministério da Saúde: Disque 136
- Correspondência oficial: Memorandos ou Ofícios endereçados ao Ministério da Saúde
O relato é fundamental para possibilitar a apuração do ocorrido, contenção do incidente e proteção dos direitos dos titulares de dados.
Comunicação de Incidentes de Segurança à ANPD
Conforme o art. 48 da LGPD, o controlador (Ministério da Saúde) deve comunicar à Autoridade Nacional de Proteção de Dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A comunicação deve ser realizada no prazo de três dias úteis, contado do conhecimento de que o incidente afetou dados pessoais, e deve conter, no mínimo, a descrição da natureza dos dados afetados, as medidas técnicas e de segurança utilizadas, os riscos relacionados e as providências adotadas.
O Ministério da Saúde adota procedimentos internos para identificar, analisar e comunicar os incidentes que se enquadrem nos critérios definidos pela ANPD, possuindo um Plano de Resposta a Incidentes de Segurança.
Comunicação de Incidentes de Segurança aos titulares
Em conformidade com a LGPD, quando houver risco ou dano relevante aos direitos e liberdades do titular, o incidente de segurança também deve ser comunicado à pessoa afetada.
Abaixo estão especificados os incidentes de segurança com dados pessoais identificados no âmbito do Ministério da Saúde, com a respectiva descrição, data, impactos e medidas adotadas para contenção, mitigação e prevenção de reincidência:
| SCPA | Atualizado em 28/08/2024, em cumprimento ao Despacho Decisório nº 19/2024/FIS/CGF, de 07/08/2024, da Autoridade Nacional de Proteção de Dados. |
|---|---|
| Período do incidente | 27/11/2021 a 04/05/2022 |
Natureza dos dados potencialmente expostos | Foi identificado risco de acesso indevido ao Sistema de Cadastro e Permissão de Acesso (SCPA). A referida falha permitiria a consulta individual, a partir do número CPF, aos seguintes dados pessoais: Unidade administrativa; data nascimento; nome mãe; CPF; número título eleitor; sexo; situação estrangeiro; situação residente exterior; tipo sexo; tipo situação CPF; município IBGE; data atualização RFB; data processamento; nome bairro; nome logradouro; nome município; nome; número CEP; número logradouro; sigla UF; situação registro ativo. |
Comunicação do incidente aos titulares de dados | O Ministério da Saúde, em cumprimento ao disposto no art. 48 da Lei 13.709/2018 (LGPD), comunica aos titulares que, ao tomar conhecimento do incidente de segurança desabilitou emergencialmente a aplicação e realizou manutenção corretiva na falha identificada. Foram implementadas medidas adicionais de segurança para proteger os dados, relacionados a controles de acesso e verificação de vulnerabilidades. Em agosto de 2024, o SCPA passou a utilizar o Múltiplo Fator de Autenticação (MFA) e tornou obrigatória a troca de senha a cada 3 (três) meses. Para a verificação de vulnerabilidades, é utilizada a ferramenta Tenable, que engloba a identificação de ativos; avaliação de riscos; escaneamento, análise, classificação e correção de vulnerabilidades; monitoramento contínuo; além de produzir relatórios e documentação. O Datasus também realiza testes de penetreção (pentests), que são simulações controladas de ataques cibernéticos, destinadas a identificar e explorar vulnerabilidades em sistemas, redes e aplicativos, de modo a indentificar e corrigir preventivamente falhas de segurança, garantindo conformidade com normas e regulamentos. Os seguintes riscos relacionados ao incidente foram verificados, com possíveis impactos aos titulares: (a) risco de impedir ou limitar que os titulares tenham seu devido acesso à conta do sistema; (b) risco de dano em situações como discriminação e perturbações por fraudes em processos de autenticação ou validação de identidade em serviços específicos. A comunicação inicial do incidente aos titulares ocorreu em 16 de setembro de 2022. A demora na comunicação foi resultado do tempo necessário para detectar e confirmar o incidente, realizar investigações internas, com envolvimento de diversas áreas, implementar medidas de conteção, bem como pela não comprovação de efetivo acesso indevido ao sistema e aos dados cadastrais que indicassem, a princípio, a possibilidade de ocorrência de dano relevante. Caso queira solicitar mais informações referentes ao incidente de segurança, acesse a Plataforma Fala.BR |
