ANPD abre processo contra Isac após ataque hacker expor dados de 500 mil pacientes
- Cyber Security Brazil
- há 2 minutos
- 3 min de leitura

A Agência Nacional de Proteção de Dados instaurou um Processo Administrativo Sancionador contra o Instituto Saúde e Cidadania, organização social responsável pela gestão de unidades públicas de saúde em diferentes estados brasileiros, após um incidente de ransomware que teria afetado dados pessoais e dados sensíveis de cerca de 500 mil pacientes.
O Isac, que tem sede administrativa em Brasília e atua em estados como Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins, passou a ser investigado pela ANPD por possíveis falhas na proteção das informações, na comunicação aos titulares afetados e na adoção de medidas técnicas e administrativas exigidas pela Lei Geral de Proteção de Dados Pessoais.
O caso teve origem em um incidente de segurança ocorrido em 2025 e comunicado pelo próprio instituto à Agência. Segundo as informações apresentadas no processo, o ataque envolveu ransomware, tipo de ameaça em que invasores comprometem sistemas, criptografam ou tornam dados inacessíveis e, em muitos casos, exigem pagamento para restauração ou para evitar a divulgação das informações.
De acordo com o Isac, aproximadamente 500 mil registros teriam sido afetados. Desse total, cerca de 78.772 seriam referentes a crianças e adolescentes, enquanto outros 47.921 envolveriam idosos. Os registros incluíam dados de identificação, como nome e data de nascimento, além de informações sensíveis de saúde, entre elas histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados.
A natureza dos dados torna o caso especialmente relevante do ponto de vista regulatório. Pela LGPD, informações relacionadas à saúde são classificadas como dados pessoais sensíveis, o que exige maior rigor no tratamento, armazenamento, proteção e comunicação em caso de incidente. Quando expostos, esses dados podem gerar riscos à privacidade, à segurança dos pacientes e até à possibilidade de fraudes, discriminação ou uso indevido das informações.
A ANPD apura se o Isac descumpriu obrigações previstas na LGPD, incluindo a adoção de medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais. A investigação também analisa se houve falha na comunicação às pessoas afetadas, ausência de informações sobre o encarregado pelo tratamento de dados pessoais e descumprimento dos princípios da prevenção, da responsabilização e da prestação de contas.
Ao ser questionado sobre o impacto real do incidente, o Isac afirmou que não haveria risco ou dano relevante aos titulares. A organização alegou que os invasores teriam acessado apenas informações administrativas e bancos de dados relacionados a contratos já encerrados. No entanto, segundo a ANPD, a entidade não apresentou comprovação técnica suficiente para sustentar essa versão.
A Agência também identificou que o instituto não teria comunicado individualmente os titulares afetados, como seria esperado em situações semelhantes envolvendo dados sensíveis e grande volume de pessoas impactadas. Em vez disso, o Isac teria se limitado a publicar um aviso em seu site institucional.
Para a ANPD, a comunicação feita pelo instituto foi insuficiente. O aviso não informava a data do incidente, a natureza dos dados afetados, o perfil das pessoas envolvidas nem as medidas adotadas antes e depois do ataque. Esses elementos são exigidos pela LGPD e pela regulamentação específica da Agência sobre Comunicação de Incidentes de Segurança.
O auto de infração também aponta que o Isac não apresentou evidências técnicas mesmo após reiterados questionamentos da ANPD. Para a Agência, a ausência de documentação comprometeu a verificação sobre a efetiva adoção de medidas corretivas e dificultou a análise da resposta ao incidente.
Outro ponto levantado no processo é a ausência, no portal institucional do Isac, de informações sobre o encarregado pelo tratamento de dados pessoais. A LGPD exige que o controlador indique um encarregado, também conhecido como DPO, e disponibilize informações de contato para que titulares possam exercer seus direitos e obter esclarecimentos sobre o tratamento de seus dados.
O Processo Administrativo Sancionador prevê prazo de dez dias úteis, contados a partir da intimação, para que o Isac apresente defesa. Caso seja condenado, o instituto poderá receber sanções administrativas e orientações sobre as medidas necessárias para regularizar sua situação.
As sanções previstas no artigo 52 da LGPD incluem advertência, multa de até 2% do faturamento, publicização da infração, bloqueio ou eliminação dos dados pessoais relacionados à irregularidade, além de suspensão ou proibição do exercício de atividades de tratamento de dados pessoais. A eventual penalidade será definida ao final da análise, conforme o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD.
O caso reforça a pressão regulatória sobre organizações que tratam grandes volumes de dados sensíveis, especialmente no setor de saúde. Hospitais, clínicas, operadoras, organizações sociais e prestadores de serviços públicos lidam com informações altamente críticas e precisam demonstrar capacidade de prevenção, resposta a incidentes, comunicação transparente e governança adequada em proteção de dados.