Vazamento de dados de saúde de 500 mil pessoas, incluindo crianças, vira alvo do governo

A ANPD (Autoridade Nacional de Proteção de Dados) instaurou, nesta quarta-feira (8), um processo administrativo contra uma operadora de saúde pelo vazamento de 500 mil registros de pacientes, incluindo crianças e idosos.
O alvo da ação é o Instituto Saúde e Cidadania (Isac), que atua na gestão de unidades públicas de saúde em Goiás, no Rio Grande do Sul, na Bahia, em Alagoas, no Piauí e em Tocantins.
O instituto foi alvo de um ataque cibernético em janeiro de 2025 e não pagou resgate para recuperar o acesso. Na ocasião, foram criptografados arquivos com informações de identificação, como nome e data de nascimento, além de dados pessoais sensíveis de saúde –histórico de exames, prontuários, prescrições, atendimentos amulatoriais, internações e procedimentos realizados.
O Isac confirma o ataque, mas nega o vazamento de dados. “O episódio consistiu em um ataque do tipo ransomware [sequestro de dados], que provocou a indisponibilidade temporária de sistemas administrativos mediante a criptografia de arquivos por agentes criminosos.”
O instituto afirma que comunicou o incidente à ANPD, registrou boletim de ocorrência e divulgou comunicado público em seus canais.
A ANPD afirma que o Isac não conseguiu comprovar que os invasores teriam acessado apenas informações administrativas e bancos de dados referentes a contratos já encerrados, como foi informado inicialmente à agência reguladora.
Segundo a ANPD, o Isac tampouco comunicou individualmente os titulares afetados. O regulamento da agência reguladora exige comunicação individualizada em linguagem simples, caso seja possível identificar as vítimas do vazamento.
“Essa comunicação foi insuficiente, pois não informava a data do incidente, a natureza dos dados e das pessoas afetadas, nem as medidas adotadas antes e depois do ataque”, diz a ANPD em comunicado.
O Isac tem dez dias úteis para apresentar sua defesa. Se condenado, além da sanção, o instituto pode sofrer penas de advertência a multa de até 2% do faturamento, além da suspensão ou proibição do tratamento de dados pessoais. A sanção é definida pela própria ANPD.
Folha de São Paulo>



