A Agência Nacional de Proteção de Dados (ANPD) instaurou um processo administrativo sancionador para apurar possíveis falhas do Instituto Saúde e Cidadania (Isac) na proteção de dados pessoais de pacientes após um ataque cibernético registrado no ano passado. A organização social administra unidades de saúde em diversos estados, entre eles o Tocantins, onde é responsável pela gestão de serviços em Araguaína.

Segundo a ANPD, o incidente envolveu aproximadamente 500 mil registros de pacientes. Entre as informações potencialmente afetadas estão dados pessoais, como nome e data de nascimento, além de prontuários médicos, exames, diagnósticos e outros dados classificados como sensíveis pela Lei Geral de Proteção de Dados (LGPD). Do total de registros, 78.772 pertencem a crianças e adolescentes e 47.921 a idosos.

O procedimento foi aberto após análises preliminares apontarem indícios de fragilidades na estrutura de segurança da informação do instituto. Conforme a autoridade, o Isac não teria adotado medidas técnicas adequadas para proteger os dados e também teria apresentado falhas na comunicação aos titulares das informações após o incidente.

De acordo com o processo, o ataque foi do tipo ransomware, modalidade em que criminosos sequestram sistemas e dados para exigir pagamento pelo restabelecimento do acesso. Os invasores teriam comprometido tanto os arquivos originais quanto os backups armazenados em servidores na nuvem, tornando os sistemas indisponíveis temporariamente.

A ANPD também aponta que o instituto não possuía mecanismos considerados básicos de monitoramento, como registros automáticos de atividades (logs), ferramenta que permite rastrear acessos e identificar ações realizadas dentro dos sistemas em casos de incidentes de segurança.

Com a instauração do processo administrativo, o Isac terá prazo de dez dias para apresentar defesa. Ao fim da apuração, caso sejam confirmadas irregularidades, as penalidades podem variar de advertência à aplicação de multas de até 2% do faturamento da instituição, limitadas a R$ 50 milhões, além da possibilidade de restrições ao tratamento de dados pessoais.

Em nota, o Instituto Saúde e Cidadania afirmou que o ataque cibernético provocou apenas a indisponibilidade temporária dos sistemas e negou que tenha ocorrido vazamento de dados de pacientes. Segundo a organização, análises técnicas realizadas após o incidente não identificaram evidências de extração, exfiltração ou divulgação indevida das informações.

O Isac informou ainda que os sistemas foram restaurados por meio de cópias de segurança, sem perda de informações, e que comunicou espontaneamente o caso à ANPD. A instituição também afirma ter reforçado seus mecanismos de segurança, ampliando o monitoramento e a capacidade de resposta a incidentes cibernéticos.

No Tocantins, o Isac administra quatro unidades de saúde em Araguaína, entre elas hospital, Unidade de Pronto Atendimento (UPA), ambulatório e pronto atendimento. Procurada, a Prefeitura de Araguaína informou que não foi notificada sobre eventual vazamento de dados envolvendo pacientes atendidos nas unidades geridas pelo instituto.

O município afirmou que, caso seja comprovado qualquer comprometimento das informações, adotará as medidas administrativas e legais cabíveis para apurar responsabilidades e garantir a proteção dos dados dos usuários, reafirmando o compromisso com o cumprimento da Lei Geral de Proteção de Dados.

*Com informações do Estadão