Ataque cibernético expõe dados de 500 mil pacientes; ANPD investiga infrações à LGPD

ANPD Investiga Falhas na Proteção de Dados de Pacientes
A Agência Nacional de Proteção de Dados (ANPD) iniciou um Processo Administrativo Sancionador (PAS) para apurar falhas na proteção de dados pessoais de aproximadamente 500 mil pacientes do Instituto Saúde e Cidadania (Isac). O Isac é responsável pela gestão de unidades de saúde em diversos estados, incluindo Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins.
Incidente de Ransomware e Dados Comprometidos
O incidente ocorreu em 2025, quando um ataque de ransomware sequestrou dados, tornando-os inacessíveis. Dentre os registros afetados, 78.772 pertenciam a crianças e adolescentes, enquanto 47.921 eram de idosos.
A ANPD foi informada pelo Isac sobre o ataque, o que levou à abertura do processo de investigação. As informações comprometidas incluíam dados cadastrais, como nome e data de nascimento, além de dados sensíveis, como histórico de exames, prontuários, prescrições médicas e diagnósticos.
Justificativas do Instituto e Resposta da ANPD
Em resposta a questionamentos sobre o impacto do incidente, o Isac alegou que não haveria “risco ou dano relevante” aos titulares dos dados, afirmando que apenas informações administrativas e dados de contratos encerrados teriam sido acessados. Contudo, a ANPD contestou essa alegação, afirmando que não foi comprovada.
Além disso, a ANPD constatou que o Isac não notificou individualmente os titulares afetados, uma obrigação prevista na Lei Geral de Proteção de Dados Pessoais (LGPD) em certas situações.
Leia também
Apuração de Infrações à LGPD
A ANPD está investigando possíveis infrações à LGPD, que incluem a falta de medidas adequadas para proteger dados pessoais, a ausência de comunicação aos titulares afetados, a não disponibilização de informações sobre o encarregado pelo tratamento de dados e o descumprimento dos princípios de prevenção e responsabilização.
O Instituto Saúde e Cidadania declarou que identificou um incidente de segurança que “pode ter afetado dados pessoais” sob sua responsabilidade e que está tomando as medidas necessárias para investigar, mitigar os impactos e prevenir novos incidentes.
Fonte por: Convergencia Digital
Autor(a):
Redação
Portal de notícias e informações atualizadas do Brasil e do mundo. Acompanhe as principais notícias em tempo real


