Últimas

ANPD investiga ataque cibernético que vazou dados de 500 mil pacientes

Radar Olhar Aguçado(há cerca de 2 horas)
ANPD investiga ataque cibernético que vazou dados de 500 mil pacientes

A ANPD (Agência Nacional de Proteção de Dados) instaurou um processo de sanção contra o Isac (Instituto Saúde e Cidadania), responsável pela gestão de unidades públicas de saúde em cerca de sete estados brasileiros, após um ataque cibernético vazar os dados pessoais de ao menos 500 mil pacientes em 2025.

O Isac trabalha nos estados de Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins, e virou algo da investigação federal por falhas na proteção de dados pessoais sensíveis, na comunicação às vítimas e na adoção de medidas de segurança.

Segundo a ANPD, o ocorrido foi comunicado pelo próprio instituto. Na ocasião, um ataque cibernético de ransomware — onde os dados são sequestrados e se tornam inacessíveis — afetou aproximadamente 500 mil registros de pacientes. Destes, 78.772 seriam de crianças e adolescentes e 47.921 de idosos.

Dados pessoais de identificação como nome e data de nascimento foram vazados, bem como relatórios de saúde incluindo histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados.

O PAS (Processo Administrativo Sancionador), instaurado pela ANPD, prevê prazo de dez dias úteis, a contar da intimação, para a defesa do instituto apresentar representação. Caso condenado, além da sanção, o Isac será orientado sobre o que precisa fazer para regularizar a situação.

Conforme o art, 52 da LGPD (Lei Geral de Proteção de Dados Pessoais), as sanções vão desde advertência a multa de até 2% do faturamento e suspensão ou proibição do exercício de atividades de tratamento de dados pessoais.

A sanção a ser eventualmente aplicada será definida ao final da análise do processo, conforme o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD.

Investigação

A investigação irá apurar se foram cometidas infrações à LGPD (Lei Geral de Proteção de Dados Pessoais), sobretudo no que diz respeito à não adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais.

O órgão reforçou ainda que irá analisar à não comunicação às pessoas afetadas pelo incidente; à não disponibilização de informações relativas ao encarregado pelo tratamento de dados pessoais e ao descumprimento aos princípios da prevenção e da responsabilização e prestação de contas.

Conforme a ANPD, o Isac alegou, após o ataque, que não haveria risco ou dano significativo aos pacientes atingidos, justificando que os hackers teriam acessado apenas informações administrativas e dados de contratos já encerrados.

Entretanto, o instituto não teria apresentado comprovações dessa alegação. Uma investigação da ANPD ainda apurou que o Isac não chegou a comunicar individualmente e de forma adequada os afetados, como previsto na LGPD. Para a agência, a comunicação da organização foi insuficiente e inadequada.

Informações como a data do incidente, a natureza dos dados e das pessoas afetadas não foram comunicadas aos pacientes, nem as medidas adotadas antes e depois do ataque. Esses itens são exigidos pela LGPD e pela regulamentação específica da Agência sobre CIS (Comunicação de Incidentes de Segurança).

O auto de infração aponta que o Isac não apresentou embasamento técnico que comprovasse suas alegações, mesmo após reiterados questionamentos da ANPD. A ação teria comprometido a verificação e eficiência da adoção de medidas corretivas.

Outro lado

À CNN Brasil, o Isac afirmou que o incidente não afetou a assistência prestada aos pacientes nem o funcionamento das unidades de saúde sob gestão do Instituto. Leia na íntegra:

“O Instituto Saúde e Cidadania (ISAC) esclarece que o incidente cibernético ocorrido em janeiro de 2025 não resultou em vazamento de dados de pacientes. O episódio consistiu em um ataque do tipo ransomware, que provocou a indisponibilidade temporária de sistemas administrativos mediante a criptografia de arquivos por agentes criminosos. O incidente não afetou a assistência prestada aos pacientes nem o funcionamento das unidades de saúde sob gestão do Instituto.

O ISAC comunicou espontaneamente o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD), registrou ocorrência junto às autoridades competentes e divulgou comunicado público em seus canais oficiais. Desde então, vem prestando todos os esclarecimentos solicitados e colaborando integralmente com o processo de apuração.

As análises técnicas realizadas à época do incidente não identificaram evidências de extração, exfiltração ou divulgação indevida de dados pessoais. Os sistemas afetados foram recuperados a partir de cópias de segurança mantidas pela
instituição, sem perda de informações.

Por esse motivo, o Instituto não reconhece como correta a afirmação de que houve vazamento de dados de pacientes decorrente do referido incidente. Após o ocorrido, o ISAC promoveu o fortalecimento adicional de seus controles de segurança da informação, ampliando mecanismos de proteção, monitoramento e resposta a incidentes cibernéticos.

O procedimento administrativo instaurado pela ANPD permanece em fase de análise. Até o momento, não foi aplicada qualquer penalidade ou sanção ao Instituto. O ISAC reafirma seu compromisso com a proteção de dados pessoais, a transparência institucional e o cumprimento da legislação vigente.”

A CNN Brasil entrou em contato com os estados que possuem contratos com o instituto. O espaço segue aberto.

*Sob supervisão de Carolina Figueiredo

ANPD investiga ataque cibernético que vazou dados de 500 mil pacientes — Radar Olhar Aguçado | Radar Olhar Aguçado