Agência investiga falhas na segurança e na comunicação às vítimas após ataque de ransomware
A Agência Nacional de Proteção de Dados (ANPD) informou na última quarta-feira, 8, a instauração de um processo de sanção contra o Instituto Saúde e Cidadania (Isac), organização social com sede administrativa em Brasília que atua na gestão de unidades públicas de saúde em estados como Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins.
O Isac é investigado por falhas na proteção de dados pessoais sensíveis de 500 mil pacientes, incluindo problemas na comunicação às vítimas e na adoção de medidas de segurança.
A ação decorre de um incidente de segurança ocorrido em 2025, comunicado pelo próprio Isac à ANPD, o que deu origem a um processo de apuração dos fatos. O caso envolveu um ataque cibernético de ransomware, quando os dados são sequestrados e tornados inacessíveis.
Segundo a instituição, o incidente afetou cerca de 500 mil registros, dos quais aproximadamente 78.772 seriam de crianças e adolescentes e 47.921 de idosos. Os dados incluíam informações de identificação, como nome e data de nascimento, além de dados sensíveis de saúde, como histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados.
A ANPD investiga se, em decorrência do incidente, foram cometidas infrações à Lei Geral de Proteção de Dados Pessoais (LGPD) relacionadas à não adoção de medidas de segurança técnicas e administrativas, à comunicação inadequada às pessoas afetadas, à ausência de informações sobre o encarregado pelo tratamento de dados pessoais e ao descumprimento dos princípios de prevenção e de responsabilização e prestação de contas.
Leia mais: MRS Logística leva SAP S/4 Hana para a nuvem em migração de 40 TB
Questionado sobre o real impacto do incidente, o Isac alegou que não haveria risco ou dano relevante aos titulares, argumentando que os invasores teriam acessado apenas informações administrativas e bancos de dados referentes a contratos já encerrados, mas não comprovou a alegação.
A Agência também apurou que a organização não comunicou individualmente os titulares afetados, tendo se limitado a publicar um aviso em seu site institucional, o que, segundo o comunicado da ANPD, foi considerado insuficiente por não fornecer detalhes exigidos pela LGPD e pela regulamentação da Agência sobre comunicação de incidentes de segurança (CIS), como data, especificidades dos dados, das pessoas afetadas e medidas adotadas antes e depois do ataque.
Segundo o auto de infração, o Isac não apresentou evidências técnicas que comprovassem suas alegações mesmo após questionamentos, o que comprometeu a investigação sobre a adoção de medidas corretivas.
A Agência identificou também que a organização não disponibiliza, em seu portal, informações sobre o encarregado pelo tratamento de dados pessoais, conforme também exige a LGPD.
O Processo Administrativo Sancionador (PAS) instaurado pela ANPD prevê prazo de dez dias úteis, a contar da intimação, para apresentação de defesa pelo Isac. Se condenada, a organização será orientada sobre as medidas necessárias para regularizar a situação; além de sanções como advertência, multa de até 2% do faturamento, suspensão ou proibição do exercício de atividades de tratamento de dados pessoais; o que é definida ao final da análise do processo.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
Redação
1 hora atrás
Redação
2 horas atrás
Rogério Baldauf
3 horas atrás
Redação
18 horas atrás