Ataque cibernético vaza dados de 500 mil pacientes e ANPD investiga infrações graves à LGPD

A Agência Nacional de Proteção de Dados (ANPD) instaurou um Processo Administrativo Sancionador (PAS) para investigar falhas na proteção de dados pessoais sensíveis de cerca de 500 mil pacientes do Instituto Saúde e Cidadania (Isac). A organização é responsável pela gestão de unidades públicas de saúde em estados como Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins.

O incidente ocorreu em 2025, após um ataque de ransomware, tipo de crime cibernético em que os dados são sequestrados e ficam inacessíveis. Dos cerca de 500 mil registros afetados, 78.772 seriam de crianças e adolescentes, enquanto 47.921 pertenciam a idosos.

A ANPD informou que foi comunicada pelo instituto sobre o incidente, o que deu origem ao processo de apuração. Entre as informações comprometidas estavam dados cadastrais, como nome e data de nascimento, além de dados pessoais sensíveis, incluindo histórico de exames, prontuários, prescrições médicas, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados.

Ao ser questionado sobre o impacto do incidente, o instituto alegou que não haveria “risco ou dano relevante” aos titulares dos dados. Como justificativa apresentada à ANPD, afirmou que os invasores teriam acessado apenas informações administrativas e bancos de dados referentes a contratos já encerrados. No entanto, segundo a agência, essa alegação não foi comprovada.

A ANPD também verificou que o instituto não comunicou individualmente os titulares afetados pelo incidente, medida prevista na Lei Geral de Proteção de Dados Pessoais (LGPD) em determinadas situações.

Agora, o órgão apura se houve infrações à LGPD relacionadas à ausência de medidas técnicas e administrativas adequadas para proteger os dados pessoais; à falta de comunicação adequada aos titulares afetados; à não disponibilização de informações sobre o encarregado pelo tratamento de dados pessoais; e ao descumprimento dos princípios da prevenção e da responsabilização e prestação de contas.

Em comunicado, o Instituto Saúde e Cidadania (Isac) informou que identificou um incidente de segurança da informação que “pode ter afetado dados pessoais” sob sua responsabilidade. A organização afirmou ainda que está adotando as medidas necessárias para investigar o ocorrido, mitigar os impactos e evitar novos incidentes.

Tags

Compartilhe

Ataque cibernético vaza dados de 500 mil pacientes e ANPD investiga infrações graves à LGPD
Feninfra, Anatel e cassação de outorgas dos ISPs
Open Gateway: Claro faz piloto de API qualidade sob demanda com player do segmento financeiro
Apple é tratada como big tech e sofre dura derrota na Europa
Mhnet conclui aquisição de provedor e amplia atuação em Santa Catarina
Mhnet conclui aquisição de provedor e amplia atuação em Santa Catarina
Veja no Boletim TELETIME: 5G e gargalo na IA, SpaceX e o US$ 1 trilhão
Veja no Boletim TELETIME: 5G e gargalo na IA, SpaceX e o US$ 1 trilhão
Ministério da Gestão convoca 118 Analistas de TI para descongelar projetos do Governo Digital
Receita vai parar mainframe para implantar CNPJ Alfanumérico
Banco do Brasil e UnB se unem por Inteligência Artificial e Analítica
Ookla: gargalo da IA móvel no Brasil está na conexão com a nuvem, não na rede 5G