ANPD instaura processo contra organização social por falhas na proteção de dados de 500 mil pacientes

A Agência Nacional de Proteção de Dados (ANPD) instaurou um Processo Administrativo Sancionador (PAS) contra o Instituto Saúde e Cidadania (Isac), organização social com sede em Brasília responsável pela gestão de unidades públicas de saúde em estados como Bahia, Goiás, Rio Grande do Sul, Alagoas, Piauí e Tocantins. A entidade é investigada por supostas falhas na proteção de dados pessoais sensíveis de cerca de 500 mil pacientes após um ataque cibernético registrado em 2025.

Segundo a ANPD, o processo apura possíveis infrações à Lei Geral de Proteção de Dados (LGPD), relacionadas à adoção insuficiente de medidas de segurança para proteção das informações, falhas na comunicação do incidente aos titulares dos dados, ausência de informações sobre o encarregado pelo tratamento de dados pessoais e descumprimento dos princípios da prevenção, responsabilização e prestação de contas.

O caso teve origem em um ataque do tipo ransomware, modalidade em que criminosos sequestram dados e os tornam inacessíveis. De acordo com informações prestadas pelo Isac à Agência, aproximadamente 500 mil registros foram afetados, incluindo cerca de 78.772 de crianças e adolescentes e 47.921 de idosos.

Os registros continham dados de identificação, como nome e data de nascimento, além de informações sensíveis de saúde, incluindo histórico de exames, prontuários, prescrições médicas, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados.

Durante a apuração, o Isac afirmou que não haveria risco ou dano relevante aos titulares dos dados, alegando que os invasores tiveram acesso apenas a informações administrativas e bancos de dados referentes a contratos encerrados. No entanto, segundo a ANPD, a organização não apresentou comprovação técnica para sustentar essa versão.

A Agência também apontou que os pacientes afetados não foram comunicados individualmente sobre o incidente. Em vez disso, o Isac publicou apenas um aviso em seu site institucional.

Para o superintendente de Fiscalização da ANPD, Fabrício Guimarães, a comunicação foi insuficiente por não informar a data do incidente, a natureza dos dados comprometidos, quem foi afetado e quais medidas foram adotadas antes e depois do ataque, informações exigidas pela LGPD e pela regulamentação da própria Agência sobre Comunicação de Incidentes de Segurança (CIS).

Ainda segundo o auto de infração, o Isac deixou de apresentar evidências técnicas que comprovassem as medidas corretivas adotadas, apesar dos reiterados questionamentos da ANPD. A Agência também verificou que a organização não disponibiliza, em seu portal, informações sobre o encarregado pelo tratamento de dados pessoais, como determina a LGPD.

O instituto terá prazo de dez dias úteis, contados da intimação, para apresentar defesa. Caso seja condenado, além das sanções, receberá orientações para regularizar a situação.

As penalidades previstas no artigo 52 da LGPD incluem advertência, multa de até 2% do faturamento da instituição, além da suspensão parcial ou total das atividades de tratamento de dados pessoais. A eventual punição será definida ao fim do processo, conforme o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD.

O processo de número 00261.003381/2026-55 está disponível para consulta pública no Sistema Eletrônico de Informações (SEI).

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Design sem nome (55) (1)

Notícias relevantes

Bahia goleia Montevideo City Torque com presença da torcida em amistoso na Fonte...
Mulher é presa por gerenciar ponto de tráfico em Oliveira dos Brejinhos; arma e ...
Operação prende duas mulheres foragidas de São Paulo por tráfico de drogas no mu...
Segunda Turma do STF mantém prisão do pai de Daniel Vorcaro com voto divergente ...
Carregando mais...