Nota de esclarecimento: envio de e-mail para comunicar incidente com dados pessoais

O Plan-Assiste MPU, em conjunto com a UPDP/MPF, encaminhou e-mail a alguns beneficiários do programa comunicando a ocorrência de incidente de segurança da informação envolvendo dados pessoais. Tal procedimento está previsto na Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018, LGPD) e na Resolução CNMP 281/2023.

O incidente de segurança com dados pessoais ocorreu nas informações (login e senha)  utilizadas por uma colaboradora e empresas credenciadas para acessar o sistema do Plan-Assiste.

As equipes de segurança da informação da Secretaria de Tecnologia da Informação e Comunicação do MPF e da Diretoria Centralizada de Tecnologia e Inovação  do Plan-Assiste já efetuaram a troca das senhas afetadas. Além disso, elas continuam analisando possíveis impactos relacionados a outros dados pessoais, assegurando a aplicação das medidas necessárias para proteger as informações envolvidas. 

Acesse a íntegra da mensagem enviada: 

Modelo de e-mail aos titulares

Assunto do e-mail: Comunicação de incidente de segurança com dados pessoais – Programa de Saúde e Assistência Social do Ministério Público da União (Plan-Assiste MPU)

Senhor(a) Beneficiário(a) do Programa de Saúde e Assistência Social do Ministério Público da União (Plan-Assiste MPU)

Em observância à Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018, LGPD) e à Resolução CNMP 281/2023, o Programa de Saúde e Assistência Social do Ministério Público da União (Plan-Assiste MPU), em conjunto com a Unidade de Proteção de Dados Pessoais do MPF, comunica incidente de segurança envolvendo dados pessoais de beneficiários do programa cadastrados no Sistema de Gestão do Plan-Assiste.

Para facilitar o entendimento da ocorrência, solicitamos especial atenção às perguntas e respostas abaixo: 

1) O que é um incidente de segurança envolvendo dados pessoais?

Trata-se de um acesso não autorizado a dados pessoais de uma determinada pessoa. Dados pessoais são informações que podem identificar uma pessoa. Exemplos: Nome, CPF, telefone, e-mail, credenciais de acesso a sistemas, entre outros.

2) O que aconteceu?

A equipe de segurança da informação do MPF informou que identificou o vazamento de informações de login e senha utilizadas por uma colaboradora e empresas credenciadas para acessar o sistema de gestão do Plan-Assiste.

3) Quando se tomou conhecimento do incidente?

O incidente foi identificado em 6/12/2024, a partir de quando se iniciou a apuração de sua dimensão, dos dados pessoais envolvidos e dos titulares potencialmente afetados, motivando esta comunicação na presente data.

4) Quais dados pessoais foram afetados?

Foi confirmado o vazamento de dados de login e senha pertencentes a uma colaboradora do Plan-Assiste e prestadores credenciados. A equipe de segurança da informação do MPF está investigando se, a partir dessas credenciais, houve acesso indevido a dados pessoais de beneficiários, como:

• Nome, sobrenome, data de nascimento, matrícula, RG, CPF, CNH, endereço, telefone e e-mail;
• Dados bancários (código do banco, agência e conta corrente);
• Comprovantes de rendimentos e valores pagos; e
• Informações de saúde, como nomes de procedimentos médicos e resultados de exames laboratoriais.

5) Por que eu estou recebendo essa comunicação?

Foi identificado que seus dados pessoais podem ter sido acessados no sistema do Plan-Assiste a partir das credenciais comprometidas. Contudo, até o momento, não há indícios de uso inadequado ou ilegal dessas informações. Ressaltamos que os acessos identificados podem estar relacionados a atividades rotineiras de gestão do programa, como emissão de guias, autorização de procedimentos, atualizações cadastrais e outras operações necessárias para a administração e funcionamento regular do Plan-Assiste.

6) Qual é a causa provável do incidente?
Segundo a equipe técnica, o incidente ocorreu porque os usuários salvam a senha no navegador da internet, possibilitando que vírus capturem essas informações e enviem para repositório externo.

7)Como esse incidente pode afetar o titular?

Se a violação dos dados pessoais for confirmada, os titulares podem estar sujeitos a:

• Constrangimentos ou discriminação pela exposição de informações relacionadas à saúde;
• Recebimento de e-mails falsos e de chamadas telefônicas com ofertas de produtos/serviços ou eventuais golpes; e 
• Divulgação de informações protegidas por sigilo profissional ou legal.

8) O que foi feito para proteger os dados pessoais?

As seguintes medidas foram adotadas:

• Troca de todas as senhas de acesso ao sistema;
• Campanha de conscientização sobre o uso responsável de login e senha; e 
• Implementação de uma política de alteração periódica de senhas.

9) O que o titular do dado pessoal deve fazer para se proteger?

Recomendamos que os titulares de dados continuem adotando, ou passem a adotar, medidas básicas de segurança, tais como:

• Não salvar informações de acesso em navegadores;
• Não compartilhar senhas com terceiros;
• Realizar trocas periódicas de senhas;
• Redobrar a atenção a e-mails que possam conter mensagens falsas, especialmente aqueles com textos alarmantes ou promessas de ganhos;
• Garantir que o antivírus de seus dispositivos esteja sempre atualizado;
• Estar atento a possíveis golpes telefônicos, evitando fornecer informações pessoais ou financeiras em chamadas de origem desconhecida.

10) Quais os contatos para tirar dúvida?

Programa de Saúde e Assistência Social do Ministério Público da União - Plan-Assiste MPU
(61) 3105-6768
seplan-suporte@mpu.mp.br 

Atenciosamente,

Programa de Saúde e Assistência Social do Ministério Público da União - Plan-Assiste MPU
(61) 3105-6768
seplan-suporte@mpu.mp.br

Unidade de Proteção de Dados Pessoais
Ministério Público Federal
(61) 3105-6250
pgr-updp@mpf.mp.br