Caros/as Beneficiários/as do Serviço de Restabelecimento de Laços Familiares,
A Cruz Vermelha Portuguesa faz parte da rede humanitária de Laços Familiares do Movimento Internacional da Cruz Vermelha e do Crescente Vermelho, que ajuda a esclarecer o destino e o paradeiro de pessoas desaparecidas e a restaurar e manter os laços familiares entre famílias separadas devido a conflitos armados, migração, desastres naturais. A fim de prestar este serviço, frequentemente precisamos recolher e armazenar dados pessoais.
A Cruz Vermelha Portuguesa soube, na noite de quarta-feira, 19 de Janeiro, que o(s) sistema(s) digital(is) que o Movimento Internacional da Cruz Vermelha e do Crescente Vermelho usa para armazenar os dados dos seus beneficiários foram expostos a um Incidente de Segurança Cibernética e Violação de Dados Pessoais.
Lamentamos profundamente informar-lhe que, considerando o Regulamento Geral de proteçao de dados, o Artigo 2.3.8 do Código de Conduta sobre Proteção de Dados para Restabelecimento de Laços Familiares, Artigo 20 das Regras do CICV sobre Proteção de Dados Pessoais e o Artigo 2.3.8 do Código de Conduta sobre Proteção de Dados para Restabelecimento de Laços Familiares, os seus dados pessoais foram afetados por estarem armazenados no(s) sistema(s) que foram alvo(s) e estão agora comprometido(s).
Violação de Dados Pessoais / Incidente de Segurança Cibernética
A violação ainda está a ser investigada pelo Comité Internacional da Cruz Vermelha (CICV), parceiro da Cruz Vermelha Portuguesa que armazenou os dados em nosso nome. Nesta fase, parece que o objetivo seria infiltrar-se na infra-estrutura do CICV para monitorizaçao ad hoc não autorizada e/ou extração de dados. O CICV não tem indicações imediatas sobre quem realizou esta violação, que teve como alvo uma empresa externa na Suíça que o CICV contrata para o armazenamento de dados.
Ainda não há qualquer indicação de que os dados comprometidos tenham sido perdidos ou adulterados. Além disso, não vimos nenhum uso indevido ou uso público desses dados. As equipes do CICV estão totalmente mobilizadas para monitorar de perto esta eventualidade.
Categorias e número de titulares de dados em questão
O incidente de segurança comprometeu dados pessoais e informações confidenciais coletadas pelo Movimento da Cruz Vermelha/Crescente Vermelho sobre mais de 515.000 pessoas altamente vulneráveis em todo o mundo, incluindo aquelas separadas de suas famílias devido a conflito, migração e desastre, pessoas desaparecidas e suas famílias, e pessoas privadas de liberdade. Os dados foram provenientes de pelo menos 60 Sociedades Nacionais da Cruz Vermelha e do Crescente Vermelho em todo o mundo. A violação afetou aproximadamente 415 de titulares dos dados da Cruz Vermelha Portuguesa, consistindo em Beneficiários do Serviço de Restabelecimento de Laços Familiares.
Categorias e número aproximado de registros de dados em questão
A violação afetou aproximadamente 415 registos de dados. Os tipos de dados afetados envolvem todos os dados pessoais, incluindo dados sensíveis que coletamos sobre as pessoas afetadas acima mencionados (por exemplo, pessoas desaparecidas e separadas e membros de suas família), incluindo, por exemplo, nome completo, detalhes de contato (endereço de e-mail, número de telefone, etc.), nomes e outros dados pessoais dos membros da família das pessoas desaparecidas, e a narrativa que nos foi fornecida sobre as circunstâncias do desaparecimento de uma pessoa desaparecida.
Consequências da violação
A intenção da violação ainda é desconhecida. Nesta fase, não há nenhuma adulteração ou eliminação dos dados pessoais. Atá à data, as consequências da violação são limitadas ao acesso a esses dados por pessoas não autorizadas. É possível que os dados confidenciais recolhidos sejam compartilhados publicamente, o que pode colocar as populações afetadas em risco. Neste momento, ainda não há qualquer indicação de que a informação comprometida tenha sido partilhada ou compartilhada publicamente.
Medidas tomadas ou propostas a fim de lidar com a violação
Atualmente, o CICV suspendeu todo o acesso aos sistemas comprometidos para reduzir o impacto imediato desta violação. Está agora em processo de identificação de soluções de curto prazo para permitir que as equipas da Cruz Vermelha e do Crescente Vermelho em todo o mundo continuem a prestar serviços humanitários para as pessoas impactadas por esta violação.
Indicação de medidas para mitigar os possíveis efeitos adversos da violação
As equipas técnicas do Movimento da Cruz Vermelha e do Crescente Vermelho estão a trabalhar em conjunto para fortalecer, ainda mais, os sistemas a fim de evitar ao máximo violações futuras.
A nossa equipa RLF está disponível para esclarecimentos.
Qualquer dúvida ou preocupação pode ser direcionada:
Gabinete de Proteção de Dados
Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.
Coordenadora Serviço RLF
Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.
A Cruz Vermelha Portuguesa/CICV leva a proteção de dados extremamente a sério. A Cruz Vermelha Portuguesa/CICV continuarão os seus esforços para tomar todas as medidas necessárias a fim de proteger os seus dados e reduzir ao máximo os riscos potenciais.
Atualizaremos esta informaçao caso obtenhamos novas informações sobre esta violação e permaneceremos disponíveis caso tenha alguma dúvida. Lamentamo profundamente quaisquer dificuldades que esta atividade não autorizada tenha causado.
Atenciosamente,
Sara Valente
Diretora Geral da Cruz Vermelha Portuguesa