ANPD abre processo sancionador contra instituto de saúde por vazamento de dados

Ataque cibernético de ransomware expôs dados sensíveis de saúde de usuários de unidades públicas geridas pelo Instituto Saúde e Cidadania. A agência investiga falhas graves na Segurança e na comunicação às vítimas

Compartilhar:

A Agência Nacional de Proteção de Dados (ANPD) instaurou um processo de sanção contra o Instituto Saúde e Cidadania (Isac), organização social que gerencia unidades públicas de saúde em estados como Goiás, Bahia e Tocantins. O Isac é investigado por falhas na proteção de dados pessoais sensíveis de 500 mil pacientes, além de omissão na comunicação às vítimas e na adoção de medidas de Segurança após um ataque cibernético sofrido em 2025. 

  

O incidente envolveu um ataque de ransomware, em que os dados foram sequestrados. A instituição informou que a invasão afetou cerca de 500 mil registros, incluindo aproximadamente 78.772 cadastros de crianças e adolescentes e 47.921 de idosos. Os arquivos continham informações de identificação e dados sensíveis de saúde, como históricos de exames, prontuários, prescrições médicas, diagnósticos e internações. 

  

A ANPD investiga o descumprimento de obrigações da Lei Geral de Proteção de Dados Pessoais (LGPD). As possíveis infrações envolvem a falta de medidas técnicas para proteger os dados, a ausência de avisos adequados aos afetados, a não disponibilização de informações sobre o encarregado de dados da entidade e a violação aos princípios de prevenção e prestação de contas. 

  

Ao ser questionado, o Isac alegou que não haveria risco relevante aos titulares, argumentando que os invasores acessaram apenas informações administrativas de contratos encerrados. No entanto, a entidade não apresentou comprovação técnica para a afirmação. A agência apurou que o instituto não comunicou individualmente os pacientes afetados, limitando-se a publicar uma nota em seu site oficial. 

  

“Para a ANPD, essa comunicação foi insuficiente, pois não informava a data do incidente, a natureza dos dados e das pessoas afetadas, nem as medidas adotadas antes e depois do ataque, itens exigidos pela LGPD e pela regulamentação específica da Agência sobre Comunicação de Incidentes de Segurança (CIS)”, avalia o superintendente de Fiscalização da ANPD, Fabrício Guimarães. 

  

O Processo Administrativo Sancionador (PAS) prevê o prazo de dez dias úteis para a apresentação da defesa do Isac. Se condenada, a organização enfrentará penalidades previstas no artigo 52 da LGPD, que vão desde advertência e multas de até 2% do faturamento até a suspensão ou proibição total das atividades de tratamento de dados pessoais, conforme o Regulamento de Dosimetria da ANPD. 

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Project Lightwell: Players de TI formam parceria contra vulnerabilidades de software

Parceria une descoberta de falhas, aplicação de patches virtuais e remediação automatizada para neutralizar ameaças Cibernéticas na velocidade da inteligência...
Security Report | Overview

Defesa Civil: MFA se torna demanda urgente, alerta inteligência de ameaças

Especialistas alertam para os riscos do uso de credenciais legítimas comprometidas em sistemas críticos e destacam a urgência de aplicar...
Security Report | Overview

51% das instituições financeiras no Brasil perdem mais de US$ 10 milhões ao ano com fraudes

Pesquisa da BioCatch revela que 89% dos líderes bancários no país viram as tentativas de golpe crescerem em 2026, com...
Security Report | Overview

Phishing por fatura falsa mira empresas brasileiras no WhatsApp

Cibercriminosos utilizam contas comprometidas de fornecedores para enviar arquivos maliciosos via WhatsApp Web e Desktop e, ao clicar no anexo,...