Ataque hacker expõe dados de 500 mil pacientes e leva ANPD a investigar falhas na proteção
Processo aberto pela autoridade de proteção de dados amplia a apuração sobre um ataque cibernético registrado em 2025 e coloca em evidência os desafios para proteger informações médicas sensíveis
A Autoridade Nacional de Proteção de Dados (ANPD) abriu um processo administrativo sancionador para apurar possíveis falhas na proteção de informações de aproximadamente 500 mil pacientes atingidos por um ataque cibernético do tipo ransomware. O incidente ocorreu em 2025 e envolveu o Instituto Saúde e Cidadania (Isac), organização social que administra unidades públicas de saúde em estados como Goiás, Bahia, Rio Grande do Sul, Alagoas, Piauí e Tocantins.
Segundo a ANPD, a investigação busca verificar se houve descumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD), incluindo a adoção insuficiente de medidas de segurança, falhas na comunicação aos titulares afetados e ausência de informações obrigatórias sobre o encarregado pelo tratamento de dados pessoais. O Isac informou à autoridade que sofreu o ataque, mas contesta a existência de vazamento de dados de pacientes.
Entre os registros potencialmente afetados estão dados de identificação, históricos de exames, prontuários, prescrições médicas, internações, diagnósticos e procedimentos realizados. Conforme a ANPD, a base inclui informações de cerca de 78.772 crianças e adolescentes e 47.921 idosos.
Dados de saúde exigem proteção reforçada
Para o especialista em cibersegurança e CEO da Every Cybersecurity, Eduardo Nery, o episódio evidencia o alto grau de sensibilidade das informações armazenadas por instituições de saúde.
“Quando falamos de dados de saúde, não estamos tratando apenas de nome, telefone ou CPF. Estamos falando de informações capazes de revelar diagnósticos, tratamentos, condições clínicas e aspectos profundamente privados da vida de uma pessoa. É um tipo de dado que, uma vez exposto, não pode simplesmente ser trocado como uma senha”, afirma.
Além disso, o especialista destaca que a preocupação aumenta quando os registros pertencem a públicos mais vulneráveis. “Uma base com informações de crianças, adolescentes e idosos exige atenção máxima. São públicos que podem estar mais expostos a diferentes formas de fraude, engenharia social e exploração indevida de informações pessoais. A análise de risco não pode considerar apenas quantos registros foram atingidos. É preciso avaliar quem são essas pessoas e o que terceiros podem fazer com essas informações”, explica.
O ataque investigado foi do tipo ransomware. Nessa modalidade, criminosos invadem sistemas, bloqueiam o acesso aos arquivos e, em muitos casos, exigem pagamento para devolver o controle das informações. Em instituições de saúde, esse tipo de ação pode comprometer a privacidade dos pacientes e afetar a continuidade de serviços essenciais.
Leia também:
Resposta rápida reduz impactos
Além da origem do ataque, a ANPD também analisa como o Instituto Saúde e Cidadania respondeu ao incidente. Segundo a autoridade, a organização não apresentou comprovação técnica suficiente para sustentar a alegação de que os invasores acessaram apenas documentos administrativos e contratos encerrados. O órgão também informou que os pacientes não receberam comunicação individual sobre o incidente. O instituto publicou apenas um aviso em seu site.
Para Eduardo Nery, as organizações precisam investir tanto na prevenção quanto na capacidade de reação. “Não existe ambiente cem por cento imune. A pergunta que uma organização precisa fazer não é apenas ‘como impedir um ataque?’. Ela também precisa saber quanto tempo levará para detectar, conter, comunicar e recuperar a operação caso o incidente aconteça. Essa mudança de postura aumenta a capacidade de resposta”, afirma.
Segundo o especialista, hospitais, clínicas e demais instituições que armazenam grandes volumes de informações pessoais precisam adotar medidas permanentes de segurança. Entre elas estão autenticação forte, controle rigoroso de acessos, segmentação de ambientes, monitoramento contínuo, revisão de credenciais privilegiadas, planos de resposta a incidentes e backups testados regularmente.
Governança entra no foco da investigação
Nery afirma que a segurança digital precisa acompanhar a rotina das organizações. “Segurança não pode ser uma fotografia tirada no dia de uma auditoria. Precisa ser um processo vivo. Credenciais mudam, pessoas entram e saem, fornecedores acessam sistemas, novas vulnerabilidades surgem e os atacantes adaptam suas técnicas. Se a proteção não acompanha esse movimento, o risco cresce silenciosamente”, diz.
Na avaliação do especialista, a abertura do processo pela ANPD também indica uma mudança na fiscalização. Além de investigar o ataque, a autoridade analisa a estrutura de governança e a capacidade de resposta da instituição.
“A ocorrência de um ataque, por si só, não conta toda a história. É preciso entender quais controles existiam, como o risco era gerenciado, quanto tempo a organização levou para detectar o incidente, quais medidas foram adotadas e como os titulares potencialmente afetados foram protegidos. É aí que governança, cibersegurança e LGPD se encontram”, afirma.
O processo administrativo continua em andamento. Agora, o Isac poderá apresentar sua defesa. Se a ANPD confirmar infrações à Lei Geral de Proteção de Dados (LGPD), a organização poderá receber as sanções previstas na legislação.
Siga o Canal do O Hoje e receba as principais notícias do dia direto no seu WhatsApp! Canal do O Hoje.