ANPD investiga vazamento de dados de 500 mil pacientes

Instituto Saúde e Cidadania sofre ataque cibernético em 2025, afetando sua atuação em 6 Estados. Confira no Poder360.

08/07/2026 13:40

2 min

isac-instituto-saude-cidadania-848×477
isac-instituto-saude-cidadania-848×477

ANPD Inicia Processo Contra Isac por Falhas na Proteção de Dados

A Autoridade Nacional de Proteção de Dados (ANPD) instaurou um processo administrativo de sanção contra o Instituto Saúde e Cidadania (Isac) devido a falhas na proteção de dados pessoais de aproximadamente 500 mil pacientes. As investigações abrangem unidades públicas de saúde geridas pela organização em seis estados: Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins. As informações foram divulgadas na quarta-feira, 8 de julho de 2026.

A ação foi motivada por um incidente de segurança reportado pelo Isac em 2025, que envolveu um ataque de ransomware, resultando na inacessibilidade de registros digitais.

Dados Pessoais Comprometidos

O vazamento expôs informações pessoais e sensíveis de saúde de cerca de 500 mil indivíduos, incluindo 78.772 crianças e adolescentes e 47.921 idosos. Os dados comprometidos incluíam nomes, datas de nascimento, prontuários, históricos de exames, diagnósticos e procedimentos realizados.

O Isac é responsável pela gestão de unidades de saúde em Alagoas, Bahia, Goiás, Piauí, Rio Grande do Sul e Tocantins.

Infrações e Penalidades

A ANPD investiga possíveis infrações à Lei Geral de Proteção de Dados Pessoais (LGPD). Entre os pontos em análise estão:

Leia também

  • Falta de medidas técnicas de segurança;
  • Comunicação inadequada às vítimas;
  • Ausência de informações sobre o encarregado pelo tratamento de dados;
  • Descumprimento dos princípios de prevenção e responsabilização.

As sanções podem variar de advertências a multas de até 2% do faturamento. A ANPD também constatou que o Isac não notificou individualmente os titulares afetados, limitando-se a publicar um aviso em seu site. O processo administrativo estabelece um prazo de 10 dias úteis para a apresentação da defesa.

O Isac informou à ANPD que não houve risco relevante aos pacientes, alegando que os invasores acessaram apenas informações administrativas e dados de contratos encerrados. No entanto, a ANPD destacou que a entidade não apresentou evidências técnicas que comprovassem essa afirmação.

Segundo o superintendente de Fiscalização da ANPD, Fabrício Guimarães, a comunicação do Isac foi considerada insuficiente, pois não informava a data do incidente, a natureza dos dados e das pessoas afetadas, nem as medidas adotadas antes e depois do ataque, conforme exigido pela LGPD e pela regulamentação da Agência sobre Comunicação de Incidentes de Segurança.

Posição do Isac

O Poder360 entrou em contato com o Isac por e-mail para solicitar uma manifestação sobre o caso, mas não obteve resposta até a publicação desta reportagem. O texto será atualizado caso uma declaração seja recebida.

Fonte por: Poder 360

Autor(a):

Responsável pela produção, revisão e publicação de matérias jornalísticas no portal, com foco em qualidade editorial, veracidade das informações e atualizações em tempo real.

CONTINUA DEPOIS DA PUBLICIDADE

Ative nossas Notificações

Ative nossas Notificações

Fique por dentro das últimas notícias em tempo real!