PROTEÇÃO DE DADOS
ANPD abre processo sancionador contra organização social após vazamento de dados de 500 mil pacientes
A ANPD instaurou processo sancionador contra o Instituto Saúde e Cidadania por falhas na proteção de dados de cerca de 500 mil pacientes após ataque de ransomware em 2025. Não há sanção definida ainda.
O que a ANPD investiga
A ANPD abriu processo administrativo sancionador contra o Instituto Saúde e Cidadania, organização social com sede em Brasília que atua na gestão de unidades públicas de saúde em estados como Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins. A apuração investiga falhas na proteção de dados pessoais sensíveis de cerca de 500 mil pacientes, além de falhas na comunicação às pessoas afetadas e na adoção de medidas de segurança. O caso decorre de um incidente ocorrido em 2025 e comunicado pela própria entidade à agência.
O ataque e os dados atingidos
O incidente foi um ataque cibernético de ransomware, no qual os dados são bloqueados e tornados inacessíveis. Segundo a instituição, cerca de 500 mil registros foram afetados, dos quais aproximadamente 78.772 seriam de crianças e adolescentes e 47.921 de idosos. Os registros continham dados de identificação, como nome e data de nascimento, e dados sensíveis de saúde, como histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações, diagnósticos e procedimentos.
As possíveis infrações à LGPD
A ANPD apura se, em razão do incidente, houve infrações à Lei Geral de Proteção de Dados relacionadas à não adoção de medidas de segurança técnicas e administrativas, à comunicação inadequada às pessoas afetadas, à falta de informação sobre o encarregado pelo tratamento de dados e ao descumprimento dos princípios da prevenção e da responsabilização e prestação de contas.
Questionado sobre o impacto do incidente, o Isac alegou que não haveria risco ou dano relevante aos titulares, sustentando que os invasores teriam acessado apenas informações administrativas e bancos de dados de contratos já encerrados, mas não apresentou comprovação. A agência apurou ainda que a entidade não comunicou individualmente os titulares afetados, tendo se limitado a publicar um aviso em seu site. Para a ANPD, essa comunicação foi insuficiente, porque não informava a data do incidente, a natureza dos dados e das pessoas atingidas nem as medidas adotadas antes e depois do ataque, itens exigidos pela LGPD e pela regulamentação sobre Comunicação de Incidentes de Segurança.
Conforme o auto de infração, a entidade não apresentou evidências técnicas para comprovar suas alegações mesmo após reiterados questionamentos, o que comprometeu a verificação das medidas corretivas. A ANPD também identificou que o Isac não disponibiliza em seu portal as informações sobre o encarregado pelo tratamento de dados.
Prazos e sanções possíveis
O processo prevê prazo de dez dias úteis, a contar da intimação, para a apresentação de defesa. As sanções previstas no artigo 52 da LGPD vão de advertência a multa de até 2% do faturamento, além de suspensão ou proibição das atividades de tratamento de dados. A penalidade eventualmente aplicada será definida ao final da análise, conforme o regulamento de dosimetria da agência. Em caso de condenação, a entidade também será orientada sobre como regularizar a situação.
Comentários (0)
Deixe seu comentário