Ataque que sequestrou dados de 500 mil pacientes no Brasil entra na mira da ANPD
A Agência Nacional de Proteção de Dados (ANPD) iniciou um processo de sanção contra o Instituto de Saúde e Cidadania (ISAC) após um ataque que “sequestrou” dados de 500 mil pacientes da organização social. O ataque, ocorrido em 2025, foi um ransomware, que criptografa os dados e cobra um resgate para acessá-los novamente.
Os dados expostos incluíam informações de identificação, como nome e data de nascimento, e dados sensíveis de saúde, como histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados. Segundo a ANPD, o ataque atingiu tanto informações de identificação quanto dados sensíveis de saúde.
O ISAC afirmou que o incidente não resultou em vazamento de dados e não afetou a assistência aos pacientes das unidades de saúde. No entanto, a ANPD apurou que a entidade não apresentou comprovação para essa afirmação e não comunicou individualmente os titulares afetados, como seria esperado de acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD).
Motivos do processo
O processo foi instaurado para apurar se foram cometidas infrações à LGPD relacionadas aos seguintes pontos:
- Ausência de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais;
- Comunicação inadequada às pessoas afetadas pelo incidente;
- Indisponibilidade de informações relativas ao encarregado pelo tratamento de dados pessoais;
- Descumprimento aos princípios da prevenção e da responsabilização e prestação de contas.
A ANPD também pontuou que a entidade não apresentou comprovação para a afirmação de que os invasores teriam acessado apenas informações administrativas de bancos de dados de contratos já encerrados.
Próximos passos
Com o início do processo, a organização social tem dez úteis para apresentar a sua defesa. As sanções, em caso de condenação, preveem desde advertência a multa de até 2% do faturamento e suspensão ou proibição do exercício de atividades de tratamento de dados pessoais.
A empresa também receberá orientações para regulamentar a situação. O ISAC afirmou que “registrou ocorrência junto às autoridades competentes” e que “vem prestando todos os esclarecimentos solicitados e colaborando integralmente com o processo de apuração” desde então.
Este conteúdo pode conter links de compra.
Fonte: link