31 de julho de 2025
SEGURANÇA DIGITAL

Pacientes de três UPAs de Maceió podem ter dados expostos após ataque cibernético; ANPD investiga instituto

Organização que administra unidades de saúde na capital é investigada por supostas falhas na proteção e comunicação de incidente que pode ter atingido cerca de 500 mil registros.

Por Redação
Publicado em
Pacientes de três UPAs de Maceió podem ter dados expostos após ataque cibernético - Foto: Reprodução

Pacientes atendidos nas Unidades de Pronto Atendimento (UPAs) Benedito Bentes, Trapiche da Barra e Santa Lúcia, em Maceió, podem estar entre os afetados por um ataque cibernético sofrido pelo Instituto Saúde e Cidadania (ISAC). A organização social, responsável pela gestão de unidades públicas de saúde em Alagoas e outros estados, é investigada pela Agência Nacional de Proteção de Dados (ANPD) por possíveis falhas relacionadas à segurança das informações e à comunicação do incidente.

Segundo a investigação, o ataque ocorreu em 2025 e foi do tipo ransomware, modalidade em que sistemas são invadidos e arquivos ficam indisponíveis após serem criptografados. O ISAC informou que aproximadamente 500 mil registros podem ter sido afetados em seis estados, incluindo cerca de 78,7 mil crianças e adolescentes e 47,9 mil idosos.

De acordo com a ANPD, os dados potencialmente comprometidos incluem informações cadastrais e dados sensíveis de saúde, como prontuários, exames, prescrições médicas, diagnósticos e procedimentos realizados.

A agência apura possíveis infrações à Lei Geral de Proteção de Dados (LGPD). Entre as irregularidades investigadas estão a suposta ausência de medidas de segurança adequadas, falhas na comunicação aos titulares dos dados, falta de informações sobre o responsável pelo tratamento das informações e possível descumprimento dos princípios de prevenção, responsabilização e prestação de contas previstos na legislação.

Durante a apuração, o ISAC afirmou que não haveria risco relevante aos titulares porque os invasores teriam acessado apenas informações administrativas e bancos de dados relacionados a contratos encerrados. No entanto, segundo a ANPD, a instituição não apresentou comprovação técnica que sustentasse essa versão.

A agência também apontou que o instituto não realizou comunicação individual às pessoas potencialmente afetadas, limitando-se à publicação de um comunicado em seu site institucional.

ISAC nega vazamento de dados

Em nota, o Instituto Saúde e Cidadania afirmou que o incidente não resultou em vazamento de dados de pacientes. Segundo a organização, o ataque provocou apenas a indisponibilidade temporária de sistemas administrativos, sem comprometer o atendimento nas unidades de saúde.

O instituto informou ainda que comunicou espontaneamente o caso à ANPD, registrou boletim de ocorrência e colaborou com as investigações. De acordo com o ISAC, análises técnicas não identificaram evidências de extração, exfiltração ou divulgação indevida de dados pessoais.

A entidade acrescentou que os sistemas foram restaurados por meio de cópias de segurança e que reforçou os mecanismos de proteção e monitoramento após o incidente. O procedimento administrativo instaurado pela ANPD segue em andamento e, até o momento, não houve aplicação de penalidades ao instituto.