Um ataque cibernético ocorrido no ano passado expôs dados de 500 mil pacientes da rede pública de saúde, incluindo informações sensíveis como histórico médico e dados pessoais. A Agência Nacional de Proteção de Dados (ANPD) decidiu instaurar um processo sancionador para apurar o caso.

Dados Vazados

Entre os pacientes afetados, há aproximadamente 78.772 crianças e adolescentes e 47.921 idosos. Os dados que vazaram incluem nomes, datas de nascimento, além de informações sobre exames, prontuários, prescrições e diagnósticos.

Responsabilidade do Isac

A ação é direcionada ao Instituto Saúde e Cidadania (Isac), que gerencia serviços de saúde pública em estados como Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins. O Isac confirmou o vazamento e afirmou estar adotando medidas para investigar o ocorrido e minimizar os impactos.

Tipo de Ataque

O ataque foi classificado como 'ransomware', onde dados são sequestrados, tornando-se inacessíveis. Apesar das alegações do Isac de que os dados acessados seriam apenas administrativos e de contratos encerrados, a ANPD ressalta que a entidade não apresentou evidências que sustentem essa afirmação.

Comunicação aos Afetados

A ANPD criticou a forma como o Isac comunicou o incidente, que se limitou a um aviso em seu site institucional, sem notificar individualmente os titulares dos dados afetados. A agência considera essa abordagem insuficiente.

Próximos Passos

O processo sancionador aberto pela ANPD estabelece um prazo de dez dias úteis para que o Isac apresente sua defesa. A situação levanta preocupações sobre a segurança dos dados de saúde e a responsabilidade das organizações que os gerenciam.