Vazamento expõe dados de 500 mil pacientes de unidades de saúde geridas pelo ISAC e leva ANPD a abrir processo de sanção
A Agência Nacional de Proteção de Dados (ANPD) instaurou um processo administrativo sancionador contra o Instituto Saúde e Cidadania (ISAC), organização social responsável pela gestão de unidades públicas de saúde em diversos estados, após um grave incidente de segurança que resultou no vazamento de informações de aproximadamente 500 mil pacientes. O ataque, classificado como ransomware, ocorreu no ano passado e comprometeu dados pessoais e informações médicas consideradas sensíveis pela Lei Geral de Proteção de Dados Pessoais (LGPD).
O ISAC atua na administração de serviços de saúde em ao menos sete estados brasileiros, entre eles Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins. A amplitude geográfica da atuação da entidade amplia a dimensão do incidente, já que o ataque afetou registros de diferentes unidades e perfis de pacientes atendidos pelo sistema público.
Segundo a ANPD, o próprio instituto comunicou o ocorrido, informando que um ataque de ransomware tornou indisponíveis cerca de 500 mil registros. Entre os titulares de dados potencialmente afetados, 78.772 seriam crianças e adolescentes, enquanto 47.921 teriam idade igual ou superior a 60 anos. A presença de grupos vulneráveis entre as vítimas – como menores de idade e idosos – é um elemento que tende a agravar a análise da autoridade, por envolver dados de pessoas que demandam proteção ainda mais rigorosa.
Os arquivos comprometidos não se limitavam a informações básicas de identificação. De acordo com a investigação preliminar, foram atingidos dados cadastrais (como nome e data de nascimento) e também dados pessoais sensíveis, tais como histórico de exames, prontuários médicos, laudos, diagnósticos, informações sobre internações, atendimentos ambulatoriais, procedimentos realizados e prescrições médicas. Esse tipo de dado, além de íntimo, pode gerar discriminação, estigmatização e outros danos relevantes quando exposto ou utilizado de forma indevida.
Um dos pontos mais críticos identificados pela ANPD diz respeito à forma como o ISAC comunicou o incidente. A LGPD determina que, em determinadas situações, os titulares de dados afetados devem ser informados de maneira clara, individualizada e tempestiva sobre o ocorrido, incluindo a natureza das informações comprometidas, os possíveis riscos decorrentes e as medidas adotadas para conter o dano. No entanto, a autoridade concluiu que o instituto não realizou comunicação direta com os pacientes cujos dados foram atingidos, limitando-se a notificações consideradas genéricas e insuficientes.
De acordo com a ANPD, a comunicação encaminhada pelo ISAC não indicava, de forma precisa, a data do incidente, o tipo de dado envolvido, o perfil exato das pessoas afetadas e as ações técnicas e administrativas implementadas antes e depois do ataque. Tais informações são exigidas tanto pela LGPD quanto pela regulamentação específica da própria agência sobre Comunicação de Incidentes de Segurança. Para o superintendente de Fiscalização da ANPD, Fabrício Guimarães, a ausência desses elementos comprometeu o direito de informação dos titulares e dificultou que os pacientes tomassem medidas de proteção adicionais, como monitorar o uso indevido de seus dados.
Com base nessas constatações iniciais, a ANPD decidiu abrir um Processo Administrativo Sancionador (PAS) contra o instituto. A partir da intimação, o ISAC passa a ter um prazo de dez dias úteis para apresentar sua defesa e eventuais elementos que possam justificar as falhas apontadas ou demonstrar a adoção de medidas corretivas. Ao final da análise, a autoridade poderá aplicar uma ou mais sanções previstas na LGPD, conforme os parâmetros estabelecidos no Regulamento de Dosimetria e Aplicação de Sanções Administrativas.
Entre as possíveis penalidades, o artigo 52 da LGPD prevê desde advertência, com indicação de medidas que devem ser adotadas para adequação, até multa de até 2% do faturamento da organização – limitada a um teto anual -, além de sanções mais severas, como a suspensão parcial do funcionamento do banco de dados ou mesmo a proibição total ou parcial do exercício de atividades de tratamento de dados pessoais. Em casos envolvendo serviços essenciais, como saúde, eventuais sanções costumam ser aplicadas com atenção redobrada para não interromper o atendimento à população, mas isso não exclui a responsabilização da entidade.
A investigação em curso busca apurar, de forma detalhada, se o ISAC descumpriu obrigações centrais da LGPD, especialmente no que se refere à adoção de medidas técnicas e administrativas adequadas para garantir a segurança das informações sob sua guarda. Isso inclui aspectos como políticas de segurança da informação, controles de acesso, criptografia, planos de resposta a incidentes e rotinas de backup. A análise também abrange a eventual ausência de informações claras sobre o encarregado pelo tratamento de dados pessoais (DPO) e o respeito – ou não – aos princípios da prevenção, da responsabilização e da prestação de contas.
Outro ponto sob escrutínio é a estratégia de comunicação adotada pelo instituto após o ataque. A ANPD pretende avaliar se houve omissões relevantes na orientação aos titulares de dados e se o ISAC forneceu canais eficientes para que pacientes pudessem buscar esclarecimentos, solicitar informações ou exercer seus direitos previstos na LGPD, como confirmação de tratamento, acesso, correção de dados ou até pedido de eliminação quando aplicável.
Em sua manifestação inicial à autoridade, o ISAC teria afirmado que não haveria risco ou dano significativo aos pacientes em decorrência do incidente. Esse tipo de alegação, contudo, tende a ser analisado com cautela. A exposição de prontuários médicos e diagnósticos, por exemplo, pode resultar em discriminação laboral, estigmatização social ou uso malicioso em golpes direcionados, sobretudo quando cruzada com outros bancos de dados vazados. A própria LGPD considera dados de saúde como informações sensíveis justamente em razão do potencial de dano envolvido.
O caso coloca em evidência a fragilidade de parte da infraestrutura digital de instituições de saúde no Brasil, especialmente daquelas que operam em regime de organização social, gerindo recursos públicos e atendendo milhões de cidadãos. Ataques de ransomware contra hospitais, clínicas, laboratórios e secretarias de saúde têm se tornado cada vez mais frequentes, explorando brechas em sistemas desatualizados, falta de segmentação de rede, senhas fracas e ausência de políticas robustas de backup e recuperação de desastres.
Para além das sanções administrativas, incidentes desse tipo podem ter impactos concretos na confiança da população nos serviços de saúde. Pacientes que se veem expostos podem hesitar em fornecer informações completas em atendimentos futuros, o que compromete a qualidade do cuidado médico. Em um contexto em que a medicina é cada vez mais baseada em dados, a credibilidade das instituições na proteção dessas informações torna-se um pilar fundamental do próprio sistema de saúde.
Do ponto de vista jurídico e regulatório, o processo contra o ISAC tende a servir de referência para outros casos envolvendo dados de saúde. A forma como a ANPD irá interpretar as obrigações de segurança, transparência e comunicação em um cenário de ransomware indica qual será o nível de rigor aplicado ao setor. Organizações que tratam dados sensíveis, em especial na área médica, tendem a ser cobradas por padrões mais elevados de governança e de gestão de riscos cibernéticos.
Para as instituições de saúde, públicas ou privadas, o episódio reforça a necessidade de investir de forma contínua em segurança da informação. Isso passa por ações como: mapeamento detalhado dos fluxos de dados; revisão de contratos com fornecedores de tecnologia; treinamento regular de equipes assistenciais e administrativas; implementação de políticas de senhas fortes e autenticação em múltiplos fatores; monitoramento de acessos; testes de intrusão; e planos de resposta a incidentes que incluam não apenas a parte técnica, mas também protocolos de comunicação com pacientes e autoridades.
Já para os pacientes, mesmo quando não há confirmação individual de que seus dados foram acessados, é recomendável redobrar a atenção. Isso inclui desconfiar de contatos que utilizem informações médicas ou pessoais em tentativas de golpe, monitorar extratos e cadastros em serviços diversos, evitar compartilhar dados sensíveis por canais inseguros e, quando possível, exercer seus direitos previstos na LGPD junto às instituições de saúde, solicitando informações sobre quais dados são mantidos, para quais finalidades e por quanto tempo.
O caso do ISAC também reacende o debate sobre o equilíbrio entre digitalização e segurança no setor público. Sistemas eletrônicos de prontuário e plataformas de agendamento, telemedicina e gestão hospitalar trazem ganhos expressivos de eficiência e qualidade assistencial, mas ampliam a superfície de ataque para criminosos. Sem uma estratégia clara de cibersegurança, a transformação digital pode se tornar um vetor de risco, em vez de um fator de modernização.
À medida que o processo sancionador avance, a expectativa é que a ANPD divulgue, ao final, um relatório com as conclusões sobre o incidente, as eventuais infrações identificadas e as medidas impostas ao ISAC. Além da sanção em si, recomendações de melhoria e exigências de adequação podem contribuir para elevar o padrão de proteção de dados dentro da organização e, por consequência, inspirar ajustes em outras entidades que atuam na área da saúde.
Independentemente do desfecho específico para o instituto, o episódio consolida a mensagem de que a LGPD não é uma legislação meramente formal, mas um marco regulatório com efeitos concretos sobre a gestão de dados no país. No ambiente da saúde, onde cada registro carrega informações extremamente sensíveis sobre a vida de milhões de pessoas, a cultura de proteção de dados deixa de ser uma opção e passa a ser uma obrigação inadiável.
