Vazamento de dados de saúde de 500 mil pacientes é investigado pelo governo


Por Pedro S. Teixeira

(Folhapress) – A ANPD (Autoridade Nacional de Proteção de Dados) instaurou, nesta quarta-feira (8), um processo administrativo contra uma operadora de saúde pelo vazamento de 500 mil registros de pacientes, incluindo crianças e idosos.

O alvo da ação é o Instituto Saúde e Cidadania (Isac), que atua na gestão de unidades públicas de saúde em Goiás, no Rio Grande do Sul, na Bahia, em Alagoas, no Piauí e em Tocantins.

O instituto foi alvo de um ataque cibernético em janeiro de 2025 e não pagou resgate para recuperar o acesso. Na ocasião, foram criptografados arquivos com informações de identificação, como nome e data de nascimento, além de dados pessoais sensíveis de saúde –histórico de exames, prontuários, prescrições, atendimentos amulatoriais, internações e procedimentos realizados.

O Isac confirma o ataque, mas nega o vazamento de dados. “O episódio consistiu em um ataque do tipo ransomware [sequestro de dados], que provocou a indisponibilidade temporária de sistemas administrativos mediante a criptografia de arquivos por agentes criminosos.”

O instituto afirma que comunicou o incidente à ANPD, registrou boletim de ocorrência e divulgou comunicado público em seus canais.

A ANPD afirma que o Isac não conseguiu comprovar que os invasores teriam acessado apenas informações administrativas e bancos de dados referentes a contratos já encerrados, como foi informado inicialmente à agência reguladora.

Segundo a ANPD, o Isac tampouco comunicou individualmente os titulares afetados. O regulamento da agência reguladora exige comunicação individualizada em linguagem simples, caso seja possível identificar as vítimas do vazamento.

 Vazamento de dados
Vazamento de dados de saúde de 500 mil pessoas

“Essa comunicação foi insuficiente, pois não informava a data do incidente, a natureza dos dados e das pessoas afetadas, nem as medidas adotadas antes e depois do ataque”, diz a ANPD em comunicado.

O Isac tem dez dias úteis para apresentar sua defesa. Se condenado, além da sanção, o instituto pode sofrer penas de advertência a multa de até 2% do faturamento, além da suspensão ou proibição do tratamento de dados pessoais. A sanção é definida pela própria ANPD.

 





ICL – Notícias

Uma declaração de amor às “Milenas”.

A estátua da personagem Milena, da Turma da Mônica, apareceu com a...

Big techs usam PL das Fake News como fantasma contra regulação do mercado digital

Por Laura Scofield (Folhapress) – As empresas de tecnologia intensificaram o lobby no...

Amazonas Repórter

Tudo