
A Autoridade Nacional de Proteção de Dados (ANPD) instaurou um Processo Administrativo Sancionador (PAS) contra o Instituto Saúde e Cidadania (Isac) após um ataque de ransomware registrado em 2025 comprometer dados pessoais de aproximadamente 500 mil pacientes atendidos em unidades públicas de saúde administradas pela organização. A investigação busca apurar possíveis violações à Lei Geral de Proteção de Dados (LGPD) relacionadas à segurança da informação e à resposta ao incidente.
Segundo a ANPD, o Isac administra unidades de saúde em estados como Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins, e o vazamento envolveu tanto dados cadastrais quanto informações médicas consideradas sensíveis. Entre os registros afetados estavam aproximadamente 78 mil crianças e adolescentes e 48 mil idosos.
Agência aponta possíveis falhas na proteção dos dados
A investigação avalia se o instituto deixou de adotar medidas técnicas e administrativas adequadas para proteger as informações dos pacientes, conforme determina a LGPD.
Além disso, a ANPD apura se houve descumprimento dos princípios da prevenção, responsabilização e prestação de contas, bem como falhas na identificação e divulgação do encarregado pelo tratamento de dados pessoais (DPO).
Comunicação às vítimas também é alvo da investigação
Outro ponto analisado é a forma como o incidente foi comunicado aos titulares dos dados.
De acordo com a ANPD, o Isac limitou-se a publicar um aviso em seu site institucional, sem realizar comunicação individual aos pacientes afetados. A agência entende que as informações divulgadas não apresentavam detalhes importantes, como a natureza dos dados comprometidos, a data do incidente e as medidas adotadas para reduzir os riscos decorrentes do ataque.
Ataque envolveu ransomware
O incidente ocorreu após um ataque do tipo ransomware, modalidade em que criminosos criptografam sistemas e dados para exigir pagamento pelo restabelecimento do acesso.
Durante a investigação, o Isac afirmou que o ataque teria atingido apenas informações administrativas e bases relacionadas a contratos encerrados. No entanto, segundo a ANPD, a organização não apresentou evidências técnicas suficientes para comprovar essa versão.
Processo pode resultar em sanções
O Isac terá prazo para apresentar sua defesa antes da conclusão do processo administrativo.
Caso sejam confirmadas infrações à LGPD, a organização poderá receber penalidades previstas na legislação, que incluem advertências, multas, determinação de medidas corretivas e, em situações mais graves, restrições às atividades de tratamento de dados pessoais. A decisão será tomada após a conclusão da análise do processo pela ANPD.



