A Agência Nacional de Proteção de Dados (ANPD) instaurou um processo de sanção contra o Instituto Saúde e Cidadania (Isac), uma organização social que administra unidades de saúde em vários estados, pelo acesso indevido a informações de cerca de 500 mil pacientes durante um ataque hacker ocorrido no ano passado. A ANPD investiga falhas na proteção de dados sensíveis, como nomes, datas de nascimento, históricos de exames, prontuários médicos e diagnósticos. O Isac atua nos estados de Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins. Entre os registros afetados, 78.772 pertencem a crianças e adolescentes e 47.921 a idosos.
Investigação aponta falhas graves na segurança
Segundo a ANPD, as apurações prévias demonstram que o Isac não tinha salvaguardas adequadas para manter os dados seguros e não adotou procedimentos corretos após o vazamento, como informar adequadamente os usuários sobre o incidente. O superintendente de Fiscalização da ANPD, Fabrício Guimarães, afirmou ao Estadão: “Quem está lidando com dados de saúde tem que adotar o modelo mais rigoroso possível de segurança da informação. Numa escala de risco para nós, dados de saúde são provavelmente uma das escalas mais altas, talvez no mesmo modelo que a gente imagina para o setor financeiro.”
Guimarães explicou que, ao comunicar a agência sobre o vazamento, o instituto não sabia dimensionar a quantidade de informações vazadas nem precisar quais dados foram acessados, demonstrando fragilidade na arquitetura de segurança. “Numa lógica do princípio da prevenção, eu tenho que estimar o pior e me preparar para o pior”, acrescentou. Uma funcionalidade básica, o log, que registra automaticamente tudo o que ocorre no sistema, não estava presente nos sistemas da empresa.
Detalhes do ataque ransomware
O processo administrativo revela que o ataque foi do tipo ransomware, com sequestro de dados pessoais. Nesse tipo de ataque, os hackers ficam de posse dos dados até que o alvo pague um resgate. Conforme documento do processo, os criminosos acessaram os dados, inclusive backups em servidores remotos, sequestraram os originais e indisponibilizaram o acesso ao Isac. A ANPD destaca “indícios de minimização da gravidade do incidente; falhas sérias na proteção de dados pessoais e sensíveis; comunicação insuficiente aos titulares, diante de incidente que afeta significativamente seus interesses e direitos fundamentais e, adicionalmente, envolve dados de crianças, adolescentes e idosos; e ausência de evidências quanto à adoção de medidas corretivas”.
Posição do Isac e possíveis sanções
O Isac nega que tenha havido vazamento de dados. Em nota, afirmou que o ataque cibernético resultou em indisponibilidade temporária dos sistemas e que análises “não identificaram evidências de extração, exfiltração ou divulgação indevida de dados pessoais”. O instituto disse que comunicou espontaneamente a ANPD e divulgou comunicado público em seu site, além de ampliar controles de segurança após o ataque. Com a abertura do processo, o Isac tem dez dias para apresentar defesa. Ao final, pode sofrer sanções que variam de advertência a proibição de tratar dados, além de multa de 2% do faturamento ou até R$ 50 milhões.
Reação dos entes públicos
Em Araguaína (TO), a prefeitura afirmou que não foi notificada sobre vazamento e adotará medidas cabíveis se constatado. Em Salvador, a Secretaria Municipal de Saúde disse que as unidades utilizam plataformas próprias e não há evidência de comprometimento. Maceió afirmou que não houve vazamento. O Piauí não respondeu. Rio Grande do Sul e Goiás têm unidades próprias do Isac.



