Modo debug ativado. Para desativar, remova o parâmetro nvgoDebug da URL.

Usamos cookies para personalizar e melhorar sua experiência em nosso site e aprimorar a oferta de anúncios para você. Visite nossa Política de Cookies para saber mais. Ao clicar em "aceitar" você concorda com o uso que fazemos dos cookies

Marca Bahia Notícias
Você está em:
/
Notícia
/
Geral

Notícia

ANPD instaura processo contra organização social por falhas na proteção de dados de 500 mil pacientes

Por Daniel Araújo

Foto: Rovena Rosa / Agência Brasil
Foto: Rovena Rosa / Agência Brasil

A Agência Nacional de Proteção de Dados (ANPD) instaurou um Processo Administrativo Sancionador (PAS) contra o Instituto Saúde e Cidadania (Isac), organização social com sede em Brasília responsável pela gestão de unidades públicas de saúde em estados como Bahia, Goiás, Rio Grande do Sul, Alagoas, Piauí e Tocantins. A entidade é investigada por supostas falhas na proteção de dados pessoais sensíveis de cerca de 500 mil pacientes após um ataque cibernético registrado em 2025.

 

Segundo a ANPD, o processo apura possíveis infrações à Lei Geral de Proteção de Dados (LGPD), relacionadas à adoção insuficiente de medidas de segurança para proteção das informações, falhas na comunicação do incidente aos titulares dos dados, ausência de informações sobre o encarregado pelo tratamento de dados pessoais e descumprimento dos princípios da prevenção, responsabilização e prestação de contas.

 

O caso teve origem em um ataque do tipo ransomware, modalidade em que criminosos sequestram dados e os tornam inacessíveis. De acordo com informações prestadas pelo Isac à Agência, aproximadamente 500 mil registros foram afetados, incluindo cerca de 78.772 de crianças e adolescentes e 47.921 de idosos.

 

Os registros continham dados de identificação, como nome e data de nascimento, além de informações sensíveis de saúde, incluindo histórico de exames, prontuários, prescrições médicas, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados.

 

Durante a apuração, o Isac afirmou que não haveria risco ou dano relevante aos titulares dos dados, alegando que os invasores tiveram acesso apenas a informações administrativas e bancos de dados referentes a contratos encerrados. No entanto, segundo a ANPD, a organização não apresentou comprovação técnica para sustentar essa versão.

 

A Agência também apontou que os pacientes afetados não foram comunicados individualmente sobre o incidente. Em vez disso, o Isac publicou apenas um aviso em seu site institucional.

 

Para o superintendente de Fiscalização da ANPD, Fabrício Guimarães, a comunicação foi insuficiente por não informar a data do incidente, a natureza dos dados comprometidos, quem foi afetado e quais medidas foram adotadas antes e depois do ataque, informações exigidas pela LGPD e pela regulamentação da própria Agência sobre Comunicação de Incidentes de Segurança (CIS).

 

Ainda segundo o auto de infração, o Isac deixou de apresentar evidências técnicas que comprovassem as medidas corretivas adotadas, apesar dos reiterados questionamentos da ANPD. A Agência também verificou que a organização não disponibiliza, em seu portal, informações sobre o encarregado pelo tratamento de dados pessoais, como determina a LGPD.

 

O instituto terá prazo de dez dias úteis, contados da intimação, para apresentar defesa. Caso seja condenado, além das sanções, receberá orientações para regularizar a situação.

 

As penalidades previstas no artigo 52 da LGPD incluem advertência, multa de até 2% do faturamento da instituição, além da suspensão parcial ou total das atividades de tratamento de dados pessoais. A eventual punição será definida ao fim do processo, conforme o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD.

 

O processo de número 00261.003381/2026-55 está disponível para consulta pública no Sistema Eletrônico de Informações (SEI).