O governo brasileiro, por meio da Autoridade Nacional de Proteção de Dados (ANPD), iniciou uma investigação sobre o vazamento de dados de saúde de aproximadamente 500 mil pacientes. O alvo da ação é o Instituto Saúde e Cidadania (Isac), que atua na gestão de unidades públicas de saúde em vários estados do país, incluindo Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins.

O Ataque Cibernático

O Isac foi vítima de um ataque cibernético do tipo ransomware em janeiro de 2025. Durante o ataque, os invasores criptografaram arquivos contendo informações de identificação, como nomes e datas de nascimento, além de dados pessoais sensíveis de saúde, incluindo histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações e procedimentos realizados. No entanto, o instituto afirma que não pagou resgate para recuperar o acesso aos dados.

O Isac confirma o ataque cibernático, mas nega o vazamento de dados. De acordo com o instituto, o incidente consistiu em um ataque de ransomware que provocou a indisponibilidade temporária de sistemas administrativos mediante a criptografia de arquivos por agentes criminosos. O instituto afirma ter comunicado o incidente à ANPD, registrado boletim de ocorrência e divulgado comunicado público em seus canais.

Investigação da ANPD

A ANPD afirma que o Isac não conseguiu comprovar que os invasores teriam acessado apenas informações administrativas e bancos de dados referentes a contratos já encerrados, como foi informado inicialmente à agência reguladora. Além disso, a ANPD destaca que o Isac não comunicou individualmente os titulares afetados, o que é exigido pelo regulamento da agência reguladora em casos de vazamento de dados.

A ANPD considerou a comunicação do Isac como insuficiente, pois não informava a data do incidente, a natureza dos dados e das pessoas afetadas, nem as medidas adotadas antes e depois do ataque. O instituto tem dez dias úteis para apresentar sua defesa. Se condenado, além da sanção, o Isac pode sofrer penas de advertência a multa de até 2% do faturamento, além da suspensão ou proibição do tratamento de dados pessoais.

Consequências e Prevenção

O caso destaca a importância da segurança cibernética e da proteção de dados pessoais, especialmente em setores sensíveis como a saúde. A ANPD reforça a necessidade de que as organizações adotem medidas robustas de segurança para prevenir ataques cibernáticos e garantir a confidencialidade, integridade e disponibilidade dos dados.

Com informações de ICL Notícias. Fonte original.