Política

ANPD investiga ataque cibernético que comprometeu dados em saúde

A ANPD (Agência Nacional de Proteção de Dados) instaurou um processo de sanção contra o Isac (Instituto Saúde e Cidadania), responsável pela gestão de unidades públicas de saúde em cerca de sete estados brasileiros, após um ataque cibernético de ransomware vazar os dados pessoais de ao menos 500 mil pacientes em 2025.

O Isac atua nos estados de Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins, e se tornou alvo da investigação federal por falhas na proteção de dados pessoais sensíveis, na comunicação às vítimas e na adoção de medidas de segurança.

Segundo a ANPD, a ocorrência foi comunicada pelo próprio instituto. O ataque cibernético afetou aproximadamente 500 mil registros de pacientes. Destes, 78.772 pertencem a crianças e adolescentes e 47.921 a idosos.

Dados pessoais de identificação como nome e data de nascimento foram vazados, bem como relatórios de saúde incluindo histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados.

O PAS (Processo Administrativo Sancionador), instaurado pela ANPD, prevê prazo de dez dias úteis, a contar da intimação, para que o instituto apresente sua defesa. Caso condenado, além da sanção, o Isac será orientado sobre o que precisa fazer para regularizar a situação.

Conforme o art. 52 da LGPD (Lei Geral de Proteção de Dados Pessoais), as sanções vão desde advertência até multa de até 2% do faturamento e suspensão ou proibição do exercício de atividades de tratamento de dados pessoais.

A possível sanção será definida após a análise do processo, de acordo com o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD.

Investigação e Proteção de Dados

A investigação irá apurar se foram cometidas infrações à LGPD, especialmente no que diz respeito à adoção de medidas de proteção e segurança adequadas para proteger os dados pessoais.

O órgão também irá analisar a falta de comunicação às pessoas afetadas pelo incidente, a não disponibilização de informações sobre o encarregado pelo tratamento de dados pessoais e o descumprimento de princípios como prevenção, responsabilização e prestação de contas.

De acordo com a ANPD, o Isac alegou, após o ataque, que não haveria risco ou dano significativo aos pacientes atingidos, justificando que os hackers teriam acessado apenas informações administrativas e dados de contratos encerrados. Contudo, não foram apresentadas comprovações para essa alegação.

A investigação da ANPD constatou que o Isac não comunicou individualmente e de forma eficaz os afetados, como exigido pela LGPD. A comunicação do instituto foi considerada insuficiente e inadequada.

Informações fundamentais como a data do incidente, a natureza dos dados e o impacto nas pessoas afetadas não foram informadas aos pacientes. Essas informações são exigidas pela legislação e pela regulamentação específica da ANPD sobre Comunicação de Incidentes de Segurança (CIS).

O auto de infração aponta que o Isac não apresentou embasamento técnico que comprovasse suas alegações, mesmo diante de questionamentos da ANPD. Essa falta de evidências comprometeu a verificação e a eficiência na adoção de medidas corretivas após o incidente.

Resposta do Isac

À CNN Brasil, o Isac declarou que o incidente não afetou a assistência prestada aos pacientes nem o funcionamento das unidades de saúde sob gestão do Instituto. Leia a declaração na íntegra:

“O Instituto Saúde e Cidadania (ISAC) esclarece que o incidente cibernético ocorrido em janeiro de 2025 não resultou em vazamento de dados de pacientes. O episódio consistiu em um ataque do tipo ransomware, que provocou a indisponibilidade temporária de sistemas administrativos mediante a criptografia de arquivos por agentes criminosos. O incidente não afetou a assistência prestada aos pacientes nem o funcionamento das unidades de saúde sob gestão do Instituto.”

“O ISAC comunicou espontaneamente o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD), registrou ocorrência junto às autoridades competentes e divulgou comunicado público em seus canais oficiais. Desde então, vem prestando todos os esclarecimentos solicitados e colaborando integralmente com o processo de apuração.”

“As análises técnicas realizadas à época do incidente não identificaram evidências de extração, exfiltração ou divulgação indevida de dados pessoais. Os sistemas afetados foram recuperados a partir de cópias de segurança mantidas pela instituição, sem perda de informações.”

“Por esse motivo, o Instituto não reconhece como correta a afirmação de que houve vazamento de dados de pacientes decorrente do referido incidente. Após o ocorrido, o ISAC promoveu o fortalecimento adicional de seus controles de segurança da informação, ampliando mecanismos de proteção, monitoramento e resposta a incidentes cibernéticos.”

“O procedimento administrativo instaurado pela ANPD permanece em fase de análise. Até o momento, não foi aplicada qualquer penalidade ou sanção ao Instituto. O ISAC reafirma seu compromisso com a proteção de dados pessoais, a transparência institucional e o cumprimento da legislação vigente.”

A CNN Brasil entrou em contato com os estados que possuem contratos com o instituto. O espaço segue aberto.

*Sob supervisão de Carolina Figueiredo