ANPD instaura processo contra organização social por falhas na proteção de dados de 500 mil pacientes

Publicado:

compartilhe esse conteúdo

Resumo curto: a ANPD abriu um Processo Administrativo Sancionador contra o Instituto Saúde e Cidadania (Isac) por supostas falhas na proteção de dados de cerca de 500 mil pacientes após ataque de ransomware em 2025, envolvendo LGPD, comunicação de incidentes e a ausência de informações sobre o encarregado pelo tratamento de dados.

O incidente atingiu aproximadamente 500 mil registros, incluindo 78.772 crianças e adolescentes e 47.921 idosos. Entre os dados estavam informações de identificação (nome, data de nascimento) e dados de saúde sensíveis, como histórico de exames, prontuários, prescrições, atendimentos, internações, diagnósticos e procedimentos.

A Isac afirma que não houve risco relevante, alegando que invasores teriam acessado apenas informações administrativas e contratos encerrados. A ANPD, porém, sustenta que não foram apresentadas evidências técnicas que comprovassem essa versão.

A ANPD também aponta falhas na comunicação do incidente: os pacientes não foram avisados individualmente, e sim apenas com um aviso no site institucional. A necessidade de uma comunicação de incidentes de segurança (CIS) não foi atendida de forma adequada.

O superintendente de Fiscalização, Fabrício Guimarães, avaliou que a comunicação foi insuficiente por não informar a data do incidente, a natureza dos dados expostos, quem foi afetado e quais medidas foram tomadas antes e depois do ataque. A agência também mencionou a ausência de evidências técnicas das medidas corretivas e a falta de informações sobre o encarregado pelo tratamento de dados no portal da instituição.

O Isac terá dez dias úteis, contados a partir da intimação, para apresentar defesa. Em caso de condenação, as penalidades vão desde advertência até multa de até 2% do faturamento, além da possibilidade de suspensão parcial ou total do tratamento de dados. O desfecho será definido ao fim do processo, conforme o Regulamento de Dosimetria e Aplicação de Sanções da ANPD.

O processo traz o número 00261.003381/2026-55 e fica disponível para consulta pública no Sistema Eletrônico de Informações (SEI).

E você, qual a sua opinião sobre a forma como órgãos e organizações tratam incidentes de segurança e proteção de dados sensíveis? Compartilhe seus pensamentos nos comentários.

Compartilhe esse artigo:

ÚLTIMAS NOTÍCIAS

ARTIGOS RELACIONADOS

“Chama o mister”: Jorge Jesus fecha acordo e será o novo treinador de Portugal após saída de Roberto Martínez

Portugal abre um novo capítulo técnico: Jorge Jesus assinou com a Federação Portuguesa de Futebol para comandar a seleção nos ciclos da Liga...

Com a camisa 8, Vitória anuncia a contratação do argentino Tomás Pochettino

O Vitória oficializou nesta quarta-feira a contratação do meia argentino Tomás Pochettino. O jogador chega com contrato até o fim de 2026, com...

Alvo do Feira, Vozinha negocia com Inter Miami, clube de Lionel Messi

Uma das histórias mais improváveis da Copa do Mundo de 2026 pode ganhar um capítulo nos Estados Unidos. Vozinha, o goleiro de Cabo...