Instituto é investigado por falha na proteção de dados de usuários de unidades públicas de saúde na Bahia e outros cinco estados
En resumen
- A Agência Nacional de Proteção de Dados (ANPD) instaurou inquérito contra o Instituto Saúde e Cidadania (Isac) por falha na proteção de dados sensíveis de 500 mil usuários de unidades de saúde públicas na Bahia e outros cinco estados.
- O instituto sofreu ataque cibernético de ransomware.
Resumen generado por IA
Por qué importa
O Instituto Saúde e Cidadania (Isac) é uma organização social que gerencia unidades públicas de saúde em seis estados brasileiros e sofreu um ataque cibernético de ransomware. A Agência Nacional de Proteção de Dados (ANPD) abriu um inquérito para apurar falhas na proteção de dados sensíveis de centenas de milhares de usuários.
Instituto é investigado por falha na proteção de dados de usuários de unidades públicas de saúde na Bahia e outros cinco estados — Foto: Agência Nacional de Proteção de Dados
A Agência Nacional de Proteção de Dados (ANPD) instaurou um inquérito para apurar uma possível falha na proteção de dados sensíveis pelo Instituto Saúde e Cidadania (Isac). A entidade é responsável por gerir unidades públicas de saúde na Bahia, Goiás, Rio Grande do Sul, Alagoas, Piauí e Tocantins.
Conforme informações da ANPD, publicadas nesta quarta-feira (8), o instituto é uma organização social com sede administrativa em Brasília e sofreu um ataque cibernético de ransomware - que consiste em um software malicioso que invade sistemas e criptografa arquivos. Esse tipo de ataque leva ao sequestro de dados e os torna inacessíveis.
Ao menos 500 mil registrados foram afetados e, entre eles, 78.772 seriam de crianças e adolescentes, enquanto outros 47.921 seriam de idosos. Além de informações pessoais como nome e data de nascimento, os registros tinham dados sensíveis de saúde como:
Histórico de exames;
prontuários;
prescrições;
atendimentos ambulatoriais;
internações;
diagnósticos;
e procedimentos realizados.
A ANPD investiga a razão para o incidente de segurança e averigua se foram cometidas infrações à Lei Geral de Proteção de Dados Pessoais (LGPD) relacionadas à não adoção de medidas de segurança para proteger os dados pessoais dos usuários. A agência também analisa a não comunicação adequada dos usuários afetados por parte do instituto, bem como:
a não disponibilização de informações relativas ao responsável pelo tratamento de dados pessoais;
e o descumprimento dos princípios de prevenção, responsabilização e prestação de contas.
Ainda de acordo com a ANPD, o Isac informou que o incidente não apresentou risco ou dano relevante aos titulares, pontuando que os invasores teriam acessado apenas informações administrativas e dados de contratos já encerrados. Porém, a entidade não apresentou comprovação para o argumento.
A agência apurou ainda que os usuários não foram comunicados individualmente pela unidade, publicando apenas um aviso no site intitucional.
O órgão analisa que a comunicação foi insuficiente. O Processo Administrativo Sancionador (PAS) instaurado pela ANPD determina um prazo de dez dias para que o órgão apresente uma defesa. Se condenado, além da sanção, o instituto será orientado a regularizar a situação.
As sanções previstas no processo podem ser: advertência ou multa de até 2% do faturamento e suspensão ou proibição do exercício de atividades de tratamento de dados pessoais.
LEIA TAMBÉM:
Veja mais notícias do estado no g1 Bahia.
Assista aos vídeos do g1 e TV Bahia 💻
Qué observar
Perspectiva de IA — posibilidades, no hechos
O Isac poderá ser multado em até 2% do seu faturamento ou ter suas atividades de tratamento de dados suspensas.
Probable · En meses
Preguntas abiertas
- Qual a extensão real do dano causado pelo ataque?
- O Isac já sofreu incidentes de segurança anteriormente?
- Quais medidas o Isac tomará para evitar futuras falhas?




