Quarta-feira, 8 de julho de 2026
Geral

Dados de 500 mil pacientes expostos: agência nacional investiga instituto que administra unidades de saúde em Araguaína

A Agência Nacional de Proteção de Dados instaurou um processo administrativo sancionador para apurar possíveis falhas do Instituto Saúde e Cidadania, o Isac, na proteção de dados pessoais de pacientes após um ataque cibernético registrado no ano passado. A organização social administra quatro unidades de saúde em Araguaína, entre elas o hospital municipal, a UPA, o ambulatório e o Pronto Atendimento Infantil.

O que foi comprometido

Segundo a ANPD, o incidente envolveu aproximadamente 500 mil registros de pacientes. Entre as informações potencialmente afetadas estão dados pessoais como nome e data de nascimento, além de prontuários médicos, exames e diagnósticos, classificados como dados sensíveis pela Lei Geral de Proteção de Dados. Do total, 78.772 registros pertencem a crianças e adolescentes e 47.921 a idosos.

Como o ataque aconteceu

O ataque foi do tipo ransomware, modalidade em que criminosos sequestram sistemas e dados para exigir pagamento pelo restabelecimento do acesso. Segundo a ANPD, os invasores comprometeram tanto os arquivos originais quanto os backups armazenados em servidores na nuvem, tornando os sistemas temporariamente indisponíveis.

Falhas apontadas pela ANPD

O processo foi aberto após análises preliminares apontarem indícios de fragilidades na estrutura de segurança do instituto. Conforme a autoridade, o Isac não teria adotado medidas técnicas adequadas para proteger os dados e teria apresentado falhas na comunicação com os titulares das informações após o incidente. A agência também aponta que o instituto não possuía registros automáticos de atividades, ferramenta básica que permite rastrear acessos e identificar ações nos sistemas em caso de incidentes.

Defesa e penalidades

Com a instauração do processo, o Isac terá prazo de dez dias para apresentar defesa. Caso sejam confirmadas irregularidades ao fim da apuração, as penalidades podem variar de advertência à multa de até 2% do faturamento da instituição, limitada a R$ 50 milhões, além da possibilidade de restrições ao tratamento de dados pessoais.

A versão do Isac

O Instituto Saúde e Cidadania afirmou que o ataque provocou apenas a indisponibilidade temporária dos sistemas e negou que tenha ocorrido vazamento de dados. Segundo a organização, análises técnicas realizadas após o incidente não identificaram evidências de extração ou divulgação indevida das informações. O instituto informou ainda que os sistemas foram restaurados por meio de cópias de segurança sem perda de dados, que comunicou espontaneamente o caso à ANPD e que reforçou seus mecanismos de segurança após o episódio.

Prefeitura de Araguaína diz não ter sido notificada

A Prefeitura de Araguaína informou que não foi notificada sobre eventual vazamento de dados envolvendo pacientes atendidos nas unidades geridas pelo Isac. O município afirmou que, caso seja comprovado qualquer comprometimento das informações, adotará as medidas administrativas e legais cabíveis para apurar responsabilidades e garantir a proteção dos dados dos usuários.

Com informações do Estadão.