Instituto de Saúde e Cidadania (ISAC) é alvo de incidente de segurança
A Agência Nacional de Proteção de Dados (ANPD) iniciou um processo de sanção contra o Instituto de Saúde e Cidadania (ISAC), organização social responsável pela administração de unidades públicas de saúde em diversos estados brasileiros. O inquérito foi aberto após um ataque de ransomware que sequestrou dados de 500 mil pacientes, expondo informações sensíveis de saúde e pessoais.
O incidente, que ocorreu em 2025 e foi comunicado pela entidade à agência, resultou na criptografia de dados críticos e na exigência de resgate pelos agentes maliciosos. A ANPD apura se foram cometidas infrações à Lei Geral de Proteção de Dados Pessoais (LGPD) relacionadas à ausência de medidas de segurança adequadas e à comunicação inadequada às pessoas afetadas.
Escala do vazamento e dados expostos
Ao todo, cerca de 500 mil cadastros foram expostos durante o ataque. Desse total, 78,7 mil fichas seriam de crianças e adolescentes e 47,9 mil de idosos, o que eleva a gravidade do incidente devido à sensibilidade dos dados envolvidos. As informações comprometidas incluem dados de identificação pessoal, como nome e data de nascimento, além de dados sensíveis de saúde.
Entre os dados expostos estão histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados. A exposição desses dados pode facilitar fraudes de identidade, golpes financeiros e discriminação, representando um risco significativo para os titulares afetados.
O ISAC informou em seu site que identificou um incidente de segurança da informação que "pode ter afetado" dados pessoais sob a responsabilidade da empresa. A organização afirmou estar tomando todas as medidas necessárias para investigar o ocorrido, mitigar impactos e evitar novas ocorrências, reforçando seu compromisso com a transparência e a proteção dos dados.
Infrações investigadas pela ANPD
A investigação da ANPD apura se foram cometidas infrações à LGPD relacionadas aos seguintes pontos:
- Ausência de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais.
- Comunicação inadequada às pessoas afetadas pelo incidente.
- Indisponibilidade de informações relativas ao encarregado pelo tratamento de dados pessoais.
- Descumprimento aos princípios da prevenção e da responsabilização e prestação de contas.
Durante os questionamentos sobre o impacto da brecha, a empresa alegou que não haveria risco ou dano relevante aos titulares, pois os invasores teriam acessado apenas informações administrativas de bancos de dados de contratos já encerrados. No entanto, a ANPD pontua que a entidade não apresentou comprovação para essa afirmação.
A Agência apurou também que o ISAC não comunicou individualmente os titulares afetados, como seria esperado de acordo com a LGPD em circunstâncias semelhantes, tendo se limitado a publicar um aviso em seu site institucional. Essa falha na comunicação impede que os titulares tomem medidas preventivas para proteger seus dados.
Implicações regulatórias e possíveis sanções
Com o início do processo, a organização social tem dez úteis para apresentar a sua defesa. As sanções, em caso de condenação, preveem desde advertência a multa de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração, e suspensão ou proibição do exercício de atividades de tratamento de dados pessoais.
A empresa também receberá orientações para regulamentar a situação, o que pode incluir a implementação de medidas de segurança mais robustas e a revisão de seus processos de governança de dados. O caso serve como um alerta para outras organizações de saúde sobre a importância de proteger dados sensíveis e cumprir as obrigações da LGPD.
O setor de saúde é um alvo frequente de ataques cibernéticos devido ao valor dos dados de saúde no mercado negro. A exposição de prontuários médicos pode ser utilizada para fraudes de seguros, venda de informações no dark web e até para chantagem contra pacientes.
Recomendações para o setor de saúde
Para evitar incidentes semelhantes, as organizações de saúde devem adotar as seguintes medidas:
- Classificação de Dados: Identificar e classificar todos os dados sensíveis armazenados, garantindo que sejam protegidos com níveis de segurança adequados.
- Controle de Acesso: Implementar controles de acesso rigorosos, incluindo autenticação multifator e princípio do menor privilégio.
- Monitoramento Contínuo: Utilizar ferramentas de monitoramento de segurança para detectar atividades suspeitas e respostas a incidentes rápidas.
- Plano de Resposta a Incidentes: Desenvolver e testar um plano de resposta a incidentes que inclua comunicação clara e rápida com os titulares afetados.
- Conformidade com a LGPD: Garantir que todos os processos de tratamento de dados estejam em conformidade com a legislação vigente, incluindo a nomeação de um encarregado (DPO).
Conclusão e impacto no mercado
O caso do ISAC destaca a necessidade de as organizações de saúde priorizarem a segurança da informação e a conformidade regulatória. A atuação da ANPD demonstra o compromisso do órgão em fazer cumprir a LGPD e proteger os direitos dos titulares de dados.
Para os profissionais de segurança da informação, o caso reforça a importância de não subestimar os riscos associados a ataques de ransomware e a necessidade de uma postura proativa na proteção de dados sensíveis. A conformidade com a LGPD não é apenas uma obrigação legal, mas uma estratégia de negócios que pode evitar danos reputacionais e financeiros significativos.
Perguntas frequentes
Qual é o prazo para defesa do ISAC?
A organização tem dez úteis para apresentar a sua defesa após o início do processo.
Quais são as possíveis sanções?
As sanções variam de advertência a multas de até 2% do faturamento, limitadas a R$ 50 milhões, e suspensão de atividades.
Como os titulares podem se proteger?
Os titulares devem monitorar suas contas bancárias e de saúde, e ficar atentos a solicitações suspeitas de informações pessoais.