CiberSegurançaNews
Tendência

ANPD abre processo contra Isac após ataque hacker expor dados de 500 mil pacientes

Investigação apura falhas na proteção de informações sensíveis, comunicação às vítimas e cumprimento da LGPD após ataque de ransomware

A Autoridade Nacional de Proteção de Dados (ANPD) instaurou um Processo Administrativo Sancionador (PAS) contra o Instituto Saúde e Cidadania (Isac) após um ataque de ransomware registrado em 2025 comprometer dados pessoais de aproximadamente 500 mil pacientes atendidos em unidades públicas de saúde administradas pela organização. A investigação busca apurar possíveis violações à Lei Geral de Proteção de Dados (LGPD) relacionadas à segurança da informação e à resposta ao incidente.

Segundo a ANPD, o Isac administra unidades de saúde em estados como Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins, e o vazamento envolveu tanto dados cadastrais quanto informações médicas consideradas sensíveis. Entre os registros afetados estavam aproximadamente 78 mil crianças e adolescentes e 48 mil idosos.

Agência aponta possíveis falhas na proteção dos dados

A investigação avalia se o instituto deixou de adotar medidas técnicas e administrativas adequadas para proteger as informações dos pacientes, conforme determina a LGPD.

Além disso, a ANPD apura se houve descumprimento dos princípios da prevenção, responsabilização e prestação de contas, bem como falhas na identificação e divulgação do encarregado pelo tratamento de dados pessoais (DPO).

Comunicação às vítimas também é alvo da investigação

Outro ponto analisado é a forma como o incidente foi comunicado aos titulares dos dados.

De acordo com a ANPD, o Isac limitou-se a publicar um aviso em seu site institucional, sem realizar comunicação individual aos pacientes afetados. A agência entende que as informações divulgadas não apresentavam detalhes importantes, como a natureza dos dados comprometidos, a data do incidente e as medidas adotadas para reduzir os riscos decorrentes do ataque.

Ataque envolveu ransomware

O incidente ocorreu após um ataque do tipo ransomware, modalidade em que criminosos criptografam sistemas e dados para exigir pagamento pelo restabelecimento do acesso.

Durante a investigação, o Isac afirmou que o ataque teria atingido apenas informações administrativas e bases relacionadas a contratos encerrados. No entanto, segundo a ANPD, a organização não apresentou evidências técnicas suficientes para comprovar essa versão.

Processo pode resultar em sanções

O Isac terá prazo para apresentar sua defesa antes da conclusão do processo administrativo.

Caso sejam confirmadas infrações à LGPD, a organização poderá receber penalidades previstas na legislação, que incluem advertências, multas, determinação de medidas corretivas e, em situações mais graves, restrições às atividades de tratamento de dados pessoais. A decisão será tomada após a conclusão da análise do processo pela ANPD.

Artigos relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo