Dados de 500mil pacientes vaza na Organização Social ISAC

Dados de 500mil pacientes vaza na Organização Social ISAC, após ataque cibernético de ransomware.

A Agência Nacional de Proteção de Dados (ANPD) instaurou um processo de sanção contra uma organização social (OS) que atua na administração de unidades de saúde em vários Estados do País pelo acesso indevido a informações de cerca de 500 mil pacientes em um sequestro de dados durante um ataque hacker no ano passado. A ANPD investiga falhas do Instituto Saúde e Cidadania (Isac) responsável pela gestão de unidades públicas de saúde em cerca de sete estados brasileiros, após um ataque cibernético vazar os dados pessoais de ao menos 500 mil pacientes em 2025.

Entre as informações sensíveis estão: dados pessoais dos pacientes, como nome e data de nascimento, mas também históricos de exames, prontuários médicos, diagnósticos, entre outros.

O Isac trabalha nos estados de Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins, e virou alvo da investigação federal por falhas na proteção de dados pessoais sensíveis, na comunicação às vítimas e na adoção de medidas de segurança.  

Segundo a ANPD, o ocorrido foi comunicado pelo próprio instituto. Na ocasião, um ataque cibernético de ransomware — onde os dados são sequestrados e se tornam inacessíveis — afetou aproximadamente 500 mil registros de pacientes. Destes, 78.772 seriam de crianças e adolescentes e 47.921 de idosos.

A ANPD informou que foi comunicada pelo instituto sobre o incidente, o que deu origem ao processo de apuração. Entre as informações comprometidas estavam dados cadastrais, como nome e data de nascimento, além de dados pessoais sensíveis, incluindo histórico de exames, prontuários, prescrições médicas, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados.

A ANPD também verificou que o instituto não comunicou individualmente os titulares afetados pelo incidente, medida prevista na Lei Geral de Proteção de Dados Pessoais (LGPD) em determinadas situações.

Agora, o órgão apura se houve infrações à LGPD relacionadas à ausência de medidas técnicas e administrativas adequadas para proteger os dados pessoais; à falta de comunicação adequada aos titulares afetados; à não disponibilização de informações sobre o encarregado pelo tratamento de dados pessoais; e ao descumprimento dos princípios da prevenção e da responsabilização e prestação de contas.

Para a ANPD, essa comunicação foi insuficiente, pois não informava a data do incidente, a natureza dos dados e das pessoas afetadas, nem as medidas adotadas antes e depois do ataque — itens exigidos pela LGPD e pela regulamentação específica da Agência sobre Comunicação de Incidentes de Segurança (CIS) — afirmou o superintendente de Fiscalização da ANPD, Fabrício Guimarães.

O PAS (Processo Administrativo Sancionador), instaurado pela ANPD, prevê prazo de dez dias úteis, a contar da intimação, para a defesa do instituto apresentar representação. Caso condenado, além da sanção, o Isac será orientado sobre o que precisa fazer para regularizar a situação.

Conforme o art, 52 da LGPD (Lei Geral de Proteção de Dados Pessoais), as sanções vão desde advertência a multa de até 2% do faturamento e suspensão ou proibição do exercício de atividades de tratamento de dados pessoais.

A sanção a ser eventualmente aplicada será definida ao final da análise do processo, conforme o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD.

Investigação

A investigação irá apurarse foram cometidas infrações à LGPD (Lei Geral de Proteção de Dados Pessoais), sobretudo no que diz respeito à não adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais.

O órgão reforçou ainda que irá analisar à não comunicação às pessoas afetadas pelo incidente; à não disponibilização de informações relativas ao encarregado pelo tratamento de dados pessoais e ao descumprimento aos princípios da prevenção e da responsabilização e prestação de contas.

Conforme a ANPD, o Isac alegou, após o ataque, que não haveria risco ou dano significativo aos pacientes atingidos, justificando que os hackers teriam acessado apenas informações administrativas e dados de contratos já encerrados.

Entretanto, o instituto não teria apresentado comprovações dessa alegação. Uma investigação da ANPD ainda apurou que o Isac não chegou a comunicar individualmente e de forma adequada os afetados, como previsto na LGPD. Para a agência, a comunicação da organização foi insuficiente e inadequada.

Informações como a data do incidente, a natureza dos dados e das pessoas afetadas não foram comunicadas aos pacientes, nem as medidas adotadas antes e depois do ataque. Esses itens são exigidos pela LGPD e pela regulamentação específica da Agência sobre CIS (Comunicação de Incidentes de Segurança).

O auto de infração aponta que o Isac não apresentou embasamento técnico que comprovasse suas alegações, mesmo após reiterados questionamentos da ANPD. A ação teria comprometido a verificação e eficiência da adoção de medidas corretivas.

O que diz o ISAC

À CNN Brasil, o Isac afirmou que o incidente não afetou a assistência prestada aos pacientes nem o funcionamento das unidades de saúde sob gestão do Instituto. Leia na íntegra:

“O Instituto Saúde e Cidadania (ISAC) esclarece que o incidente cibernético ocorrido em janeiro de 2025 não resultou em vazamento de dados de pacientes. O episódio consistiu em um ataque do tipo ransomware, que provocou a indisponibilidade temporária de sistemas administrativos mediante a criptografia de arquivos por agentes criminosos. O incidente não afetou a assistência prestada aos pacientes nem o funcionamento das unidades de saúde sob gestão do Instituto.

O ISAC comunicou espontaneamente o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD), registrou ocorrência junto às autoridades competentes e divulgou comunicado público em seus canais oficiais. Desde então, vem prestando todos os esclarecimentos solicitados e colaborando integralmente com o processo de apuração.

As análises técnicas realizadas à época do incidente não identificaram evidências de extração, exfiltração ou divulgação indevida de dados pessoais. Os sistemas afetados foram recuperados a partir de cópias de segurança mantidas pela
instituição, sem perda de informações.

Por esse motivo, o Instituto não reconhece como correta a afirmação de que houve vazamento de dados de pacientes decorrente do referido incidente. Após o ocorrido, o ISAC promoveu o fortalecimento adicional de seus controles de segurança da informação, ampliando mecanismos de proteção, monitoramento e resposta a incidentes cibernéticos.

O procedimento administrativo instaurado pela ANPD permanece em fase de análise. Até o momento, não foi aplicada qualquer penalidade ou sanção ao Instituto. O ISAC reafirma seu compromisso com a proteção de dados pessoais, a transparência institucional e o cumprimento da legislação vigente.”

Em nota, a Secretaria de Estado da Saúde do Tocantins informou que manteve contrato com o Instituto Saúde e Cidadania exclusivamente durante o período da pandemia da COVID-19. Atualmente, de acordo com o órgão, não há qualquer contrato vigente ou parceria em execução.

Fonte: CNN Brasil & O Globo

Clique e fale com representante oficial Netwrix Endpoint Protector

Veja também:

About mindsecblog 3656 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Deixe sua opinião!