ANPD Investiga Instituto Saúde e Cidadania por Falhas em Segurança de Dados após Ataque Ransomware que Afetou 500 mil Registros de Pacientes

A Agência Nacional de Proteção de Dados (ANPD) deu início a um processo administrativo sancionador com o objetivo de investigar eventuais falhas na segurança da informação do Instituto Saúde e Cidadania (Isac), uma organização social que gerencia unidades de saúde em seis estados do Brasil, incluindo Alagoas. A medida foi provocada por um ataque cibernético do tipo ransomware, que comprometeu aproximadamente 500 mil registros de pacientes. O incidente em questão envolveu uma situação em que criminosos bloquearam o acesso aos sistemas, exigindo um resgate para liberá-los.

Conforme um relatório preliminar elaborado pela ANPD, foram identificadas diversas vulnerabilidades na proteção dos dados sensíveis mantidos pelo Isac. Isso inclui prontuários médicos, históricos de exames, diagnósticos e informações pessoais de usuários do sistema de saúde. O total de dados comprometidos inclui registros de 78.772 crianças e adolescentes, além de 47.921 idosos, o que torna a situação ainda mais preocupante.

A fiscalização apontou indícios de que o Isac não possuía mecanismos técnicos adequados para prevenir invasões cibernéticas. Além disso, o relatório sugere que a organização pode ter violado normas legais ao não notificar de forma adequada os titulares dos dados afetados após o ataque, o que poderia agravar a situação.

Com a notificação formal ao Isac, a entidade tem agora um prazo legal para se defender administrativamente. Se as infrações à Lei Geral de Proteção de Dados (LGPD) forem confirmadas ao final do processo, o instituto poderá enfrentar sanções que vão desde advertências até multas e restrições severas em relação ao tratamento de seus bancos de dados.

Por outro lado, a Prefeitura de Maceió se manifestou, afirmando que não houve vazamento de dados nas Unidades de Pronto Atendimento (UPAs) sob a gestão do Isac. A prefeitura informa que, no ano de 2025, somente uma tentativa de ataque cibernético foi registrada, a qual foi contida, mantendo as informações médicas em conformidade com as leis vigentes.

Em paralelo, o Instituto Saúde e Cidadania também negou que tenha havido vazamento de dados, confirmando apenas que o ataque causou uma indisponibilidade temporária dos sistemas. A instituição garantiu que, após a restauração dos sistemas através de cópias de segurança, não foram encontradas evidências de exfiltração ou divulgação inadequada dos dados dos pacientes nas auditorias técnicas realizadas subsequentemente.

Jornal Rede Repórter - Click e confira!


Botão Voltar ao topo