Um ataque cibernético ocorrido no ano passado expôs dados de 500 mil pacientes da rede pública de saúde, incluindo informações sensíveis como histórico médico e dados pessoais. A Agência Nacional de Proteção de Dados (ANPD) decidiu instaurar um processo sancionador para apurar o caso.
Dados Vazados
Entre os pacientes afetados, há aproximadamente 78.772 crianças e adolescentes e 47.921 idosos. Os dados que vazaram incluem nomes, datas de nascimento, além de informações sobre exames, prontuários, prescrições e diagnósticos.
Responsabilidade do Isac
A ação é direcionada ao Instituto Saúde e Cidadania (Isac), que gerencia serviços de saúde pública em estados como Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins. O Isac confirmou o vazamento e afirmou estar adotando medidas para investigar o ocorrido e minimizar os impactos.
Tipo de Ataque
O ataque foi classificado como 'ransomware', onde dados são sequestrados, tornando-se inacessíveis. Apesar das alegações do Isac de que os dados acessados seriam apenas administrativos e de contratos encerrados, a ANPD ressalta que a entidade não apresentou evidências que sustentem essa afirmação.
Comunicação aos Afetados
A ANPD criticou a forma como o Isac comunicou o incidente, que se limitou a um aviso em seu site institucional, sem notificar individualmente os titulares dos dados afetados. A agência considera essa abordagem insuficiente.
Próximos Passos
O processo sancionador aberto pela ANPD estabelece um prazo de dez dias úteis para que o Isac apresente sua defesa. A situação levanta preocupações sobre a segurança dos dados de saúde e a responsabilidade das organizações que os gerenciam.




