Um ataque cibernético expôs dados de 500 mil pacientes de unidades de saúde em Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins. A organização social que administra essas unidades é investigada por falhas na proteção de dados sensíveis.

A ANPD, Agência Nacional de Proteção de Dados Pessoais, instaurou, nesta quarta-feira (8), um processo de sanção contra o Instituto Saúde e Cidadania, entidade que atua na gestão de hospitais, ambulatórios, UPAs e centros de saúde públicos nesses seis estados.

O incidente ocorreu em 2025 e foi comunicado pelo instituto à agência de proteção. O ataque vazou 78 mil dados de crianças e adolescentes e 47 mil de idosos. Os registros continham informações como nome, data de nascimento, histórico de exames, prontuários, prescrições, atendimentos, internações e diagnósticos.

A agência investiga se foram cometidas infrações à Lei Geral de Proteção de Dados Pessoais (LGPD), como a falta de adoção de medidas de segurança para proteger as informações e a não comunicação às pessoas afetadas pelo incidente.

Ao ser questionado sobre o impacto, o Instituto Saúde e Cidadania alegou que não haveria risco ou danos relevantes aos titulares, afirmando que os invasores teriam acessado apenas informações administrativas e bancos de dados referentes a contratos já encerrados. Mas a agência reguladora diz que a entidade não comprovou a sua defesa. A ANPD informou que a comunicação aos usuários foi insuficiente e que não foram tomadas as medidas exigidas pela legislação.

O Instituto terá dez dias úteis para apresentar sua defesa. Ao final do processo, a Agência Nacional de Proteção de Dados Pessoais pode condenar a organização a multa de até 2% do faturamento e proibição de atividades de tratamento de dados.

Instituto se manifesta

Em nota, o Instituto Saúde e Cidadania afirmou que o incidente cibernético não resultou em vazamento de dados de pacientes. Os sistemas da organização foram recuperados a partir de cópias de segurança. A entidade diz ainda que fortaleceu seus controles de segurança, ampliando mecanismos de proteção e resposta. A organização também reforçou o compromisso com a proteção de dados pessoais, com a transparência e com o cumprimento da legislação.




Source link