Esta sexta-feira, a Altice, que é a operadora responsável pela exploração da Linha SNS24, enviou por engano um email com dados pessoais de centenas de profissionais de saúde da linha, incluindo médicos, dentistas, psicólogos, e enfermeiros. 

A informação — que incluía o número de identidade fiscal, dados do cartão de cidadão, profissão, nacionalidade e naturalidade de 1906 profissionais do SNS24 — não estava encriptada e era facilmente visível pelos destinatários. O PÚBLICO teve conhecimento do caso devido a uma denúncia de um dos psicólogos que recebeu a mensagem. 

Contactada pelo PÚBLICO, a Altice confirma o erro. “A Altice Portugal confirma que uma colaboradora, no envio de um email de rotina aos profissionais de saúde, anexou por lapso um ficheiro que continha dados pessoais desses mesmos profissionais”, reconheceu a empresa. 

A Altice não quis adiantar informação sobre quantas pessoas receberam o email, ou qual o motivo dos dados não estarem encriptados. A empresa nota, no entanto, que abriu de imediato um processo interno com vista à protecção dos dados pessoais e apuramento de responsabilidades e que já “iniciou diligências com vista a notificar" a Comissão Nacional de Protecção de Dados sobre o caso. 

O PÚBLICO contactou a CNPD ao final do dia desta sexta-feira, mas não obteve resposta até à hora de publicação do artigo. 

“O que mais me preocupa nesta situação é que os dados estavam facilmente visíveis”, partilha com o PÚBLICO o psicólogo do SNS24 que alertou o jornal sobre a situação e pediu para não ter o nome divulgado por receio de represálias. 

Embora não seja possível saber quantas pessoas receberam o ficheiro porque os remetentes foram adicionados via BCC (sigla inglesa para Blind Carbon Copy, que torna “invisíveis” os endereços de email dos destinatários), vários profissionais de saúde criaram grupos no WhatsApp e Facebook para alertar sobre o problema. Alguns diziam ter apagado o ficheiro; outros diziam que não tinham recebido nada mas tinham dados seus no ficheiro. 

“Sei que já há várias pessoas a contactar a Comissão Nacional de Protecção de Dados para denunciar o problema. E alguns contactam os bancos para cancelar as contas”, acrescentou o profissional de saúde com quem o PÚBLICO falou.

A Altice tentou mitigar o problema com dois emails a que o PÚBLICO teve acesso. O primeiro foi enviado às 18h59 (quase uma hora depois do primeiro email), pela colaboradora que cometeu o erro a pedir desculpa pelo lapso e a pedir que o ficheiro enviado por engano fosse apagado. Por volta das 20h, foi enviado outro email do Gestor do Serviço SNS24 a pedir que o email fosse apagado “ao abrigo do acordo de confidencialidade em vigor.”

O erro humano continua a ser um dos grandes problemas da cibersegurança. Muitas vezes, o problema é agravado devido à relutância das empresas admitirem os problemas. Um estudo de 2018 da IEEE, o Instituto de Engenheiros Eletrotécnicos e Eletrónicos, notava que 70% dos ataques às empresas não eram reportados externamente. 

Em Portugal, com o Regulamento para a Protecção de Dados, que entrou em vigor em 2018, as entidades têm até 72 horas para comunicar à Comissão Nacional de Protecção de Dados eventuais violações de dados pessoais. Se essa violação for considerada de alto risco para os direitos e liberdades dos cidadãos e se esse risco não tiver sido mitigado, então o indivíduo também direito a ser informados dessa fuga.

Correcção 30/01/2021: A Altice não contactou a CNPD na noite de 29 de Janeiro, mas a empresa “iniciou diligências com vista a notificar” a entidade responsável pela protecção de dados.