First reported by Extra Online
Ataque cibernético vaza dados de 500 mil pacientes e empresa é alvo de investigação federal
Vazamento de dados de saúde de 500 mil pessoas vira alvo do governo
3h agopt
From the article
A ANPD (Autoridade Nacional de Proteção de Dados) instaurou, nesta quarta-feira (8), um processo administrativo contra uma operadora de saúde pelo vazamento de 500 mil registros de pacientes, incluindo crianças e idosos.O alvo da ação é o Instituto Saúde e Cidadania (Isac), que atua na gestão de unidades públicas de saúde em Goiás, no Rio Grande do Sul, na Bahia, em Alagoas, no Piauí e em Tocantins.O instituto foi alvo de um ataque cibernético em janeiro de 2025 e não pagou resgate para recuperar o acesso. Na ocasião, foram criptografados arquivos com informações de identificação, como nome e data de nascimento, além de dados pessoais sensíveis de saúde -histórico de exames, prontuários, prescrições, atendimentos amulatoriais, internações e procedimentos realizados.O Isac confirma o ataque, mas nega o vazamento de dados. "O episódio consistiu em um ataque do tipo ransomware [sequestro de dados], que provocou a indisponibilidade temporária de sistemas administrativos mediante a criptografia de arquivos por agentes criminosos."O instituto afirma que comunicou o incidente à ANPD, registrou boletim de ocorrência e divulgou comunicado público em seus canais.A ANPD afirma que o Isac não conseguiu comprovar que os invasores teriam acessado apenas informações administrativas e bancos de dados referentes a contratos já encerrados, como foi informado inicialmente à agência reguladora.Segundo a ANPD, o Isac tampouco comunicou individualmente os titulares afetados. O regulamento da agência reguladora exige comunicação individualizada em linguagem simples, caso seja possível identificar as vítimas do vazamento."Essa comunicação foi insuficiente, pois não informava a data do incidente, a natureza dos dados e das pessoas afetadas, nem as medidas adotadas antes e depois do ataque", diz a ANPD em comunicado.O Isac tem dez dias úteis para apresentar sua defesa. Se condenado, além da sanção, o instituto pode sofrer penas de advertência a multa de até 2% do faturamento, além da suspensão ou proibição do tratamento de dados pessoais. A sanção é definida pela própria ANPD.
Continue reading on Tribuna OnlineYou might also wanna read

Ataque cibernético vaza dados de 500 mil pacientes e empresa é alvo de investigação federal
Extra Online·7h ago

Saúde mental vira obrigação de gestão: o que muda nas empresas com a nova fase da NR-1
Extra Online·7h ago

Segurança e saúde empatam como maiores problemas da gestão Tarcísio, segundo Datafolha
Extra Online·3d ago

Mais de 1 em cada 5 adultos toma decisões sobre saúde com base no que vê nas redes sociais, alerta novo estudo americano
Extra Online·4d ago
Após deixar o comando da pasta da Saúde, Claudia Mello vai presidir o Iaserj
Extra Online·4d ago

SSP oferece recompensa de R$ 50 mil por informações sobre suspeito de atentado contra tenente da Rota
Extra Online·3d ago

Comments
Sign in to join the conversation.
No comments yet. Be the first.