🌊 Negócios em Emersão  ·  Vamos Emergir?  ·  Cadastre-se e ganhe 50 REC de bônus

Ataque que sequestrou dados de 500 mil pacientes no Brasil entra na mira da ANPD

Redação Recifes
0 visualizações
Ataque que sequestrou dados de 500 mil pacientes no Brasil entra na mira da ANPD

A Agência Nacional de Proteção de Dados (ANPD) iniciou um processo de sanção contra o Instituto de Saúde e Cidadania (ISAC) nesta quarta-feira (8). O inquérito foi aberto após um ataque que "sequestrou" dados de 500 mil pacientes da organização social responsável pela administração de unidades públicas de saúde em Alagoas, Bahia, Goiás, Piauí, Rio Grande do Sul e Tocantins. A ação dá sequência ao incidente ocorrido em 2025 e comunicado pela entidade à agência. Na ocasião, a empresa foi alvo de um ransomware, ataque em que os dados são criptografados por hackers. Na sequência, os agentes maliciosos cobram um resgate às vítimas para acessá-los novamente e, em alguns casos, para evitar o vazamento. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- Ao todo, cerca de 500 mil cadastros foram expostos. Desse total, 78,7 mil fichas seriam de crianças e adolescentes e 47,9 mil de idosos. Segundo a agência, o caso atingiu tanto informações de identificação, como nome e data de nascimento, como dados sensíveis de saúde. Entre eles, histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados. Em seu site, o ISAC informou que identificou um incidente de segurança da informação que “pode ter afetado” dados pessoais sob a responsabilidade da empresa.

“Estamos tomando todas as medidas necessárias para investigar o ocorrido, mitigar impactos e evitar novas ocorrências. Reforçamos nosso compromisso com a transparência e a proteção dos dados pessoais de todos os nossos usuários e parceiros”, conclui o comunicado.

ISAC comunica incidente em seu site (Imagem: Captura de tela/Canaltech) Por que o processo foi instaurado? A investigação apura se foram cometidas infrações à Lei Geral de Proteção de Dados Pessoais (LGPD) relacionadas aos seguintes pontos: Ausência medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais; Comunicação inadequada às pessoas afetadas pelo incidente; Indisponibilidade de informações relativas ao encarregado pelo tratamento de dados pessoais; Descumprimento aos princípios da prevenção e da responsabilização e prestação de contas.

Durante os questionamentos sobre o impacto da brecha, a empresa alegou que não haveria risco ou dano relevante aos titulares, pois os invasores teriam acessados apenas informações administrativas de bancos de dados de contratos já encerrados. A ANPD, por outro lado, pontua que a entidade não apresentou comprovação para a afirmação.

“A Agência apurou também que o ISAC não comunicou individualmente os titulares afetados, como seria esperado de acordo com a LGPD em circunstâncias semelhantes, tendo se limitado a publicar um aviso em seu site institucional”, aponta a nota à imprensa.

O que acontece depois? Com o início do processo, a organização social tem dez úteis para apresentar a sua defesa. As sanções, em caso de condenação, preveem desde advertência a multa de até 2% do faturamento e suspensão ou proibição do exercício de atividades de tratamento de dados pessoais. A empresa também receberá orientações para regulamentar a situação. Procurado pelo Canaltech, o ISAC não se manifestou sobre o processo de sanção até o momento de publicação. A matéria poderá ser atualizada. Leia a matéria no Canaltech.

Artigo originalmente publicado em canaltech.com.br
Compartilhar:

Comentários

Seja o primeiro a comentar!