A Agência Nacional de Proteção de Dados instaurou um processo administrativo sancionador para apurar possíveis falhas do Instituto Saúde e Cidadania, o Isac, na proteção de dados pessoais de pacientes após um ataque cibernético registrado no ano passado. A organização social administra quatro unidades de saúde em Araguaína, entre elas o hospital municipal, a UPA, o ambulatório e o Pronto Atendimento Infantil.
O que foi comprometido
Segundo a ANPD, o incidente envolveu aproximadamente 500 mil registros de pacientes. Entre as informações potencialmente afetadas estão dados pessoais como nome e data de nascimento, além de prontuários médicos, exames e diagnósticos, classificados como dados sensíveis pela Lei Geral de Proteção de Dados. Do total, 78.772 registros pertencem a crianças e adolescentes e 47.921 a idosos.
Como o ataque aconteceu
O ataque foi do tipo ransomware, modalidade em que criminosos sequestram sistemas e dados para exigir pagamento pelo restabelecimento do acesso. Segundo a ANPD, os invasores comprometeram tanto os arquivos originais quanto os backups armazenados em servidores na nuvem, tornando os sistemas temporariamente indisponíveis.
Falhas apontadas pela ANPD
O processo foi aberto após análises preliminares apontarem indícios de fragilidades na estrutura de segurança do instituto. Conforme a autoridade, o Isac não teria adotado medidas técnicas adequadas para proteger os dados e teria apresentado falhas na comunicação com os titulares das informações após o incidente. A agência também aponta que o instituto não possuía registros automáticos de atividades, ferramenta básica que permite rastrear acessos e identificar ações nos sistemas em caso de incidentes.
Defesa e penalidades
Com a instauração do processo, o Isac terá prazo de dez dias para apresentar defesa. Caso sejam confirmadas irregularidades ao fim da apuração, as penalidades podem variar de advertência à multa de até 2% do faturamento da instituição, limitada a R$ 50 milhões, além da possibilidade de restrições ao tratamento de dados pessoais.
A versão do Isac
O Instituto Saúde e Cidadania afirmou que o ataque provocou apenas a indisponibilidade temporária dos sistemas e negou que tenha ocorrido vazamento de dados. Segundo a organização, análises técnicas realizadas após o incidente não identificaram evidências de extração ou divulgação indevida das informações. O instituto informou ainda que os sistemas foram restaurados por meio de cópias de segurança sem perda de dados, que comunicou espontaneamente o caso à ANPD e que reforçou seus mecanismos de segurança após o episódio.
Prefeitura de Araguaína diz não ter sido notificada
A Prefeitura de Araguaína informou que não foi notificada sobre eventual vazamento de dados envolvendo pacientes atendidos nas unidades geridas pelo Isac. O município afirmou que, caso seja comprovado qualquer comprometimento das informações, adotará as medidas administrativas e legais cabíveis para apurar responsabilidades e garantir a proteção dos dados dos usuários.
Com informações do Estadão.

