top of page

ANPD abre processo contra Isac após ataque hacker expor dados de 500 mil pacientes


A Agência Nacional de Proteção de Dados instaurou um Processo Administrativo Sancionador contra o Instituto Saúde e Cidadania, organização social responsável pela gestão de unidades públicas de saúde em diferentes estados brasileiros, após um incidente de ransomware que teria afetado dados pessoais e dados sensíveis de cerca de 500 mil pacientes.


O Isac, que tem sede administrativa em Brasília e atua em estados como Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins, passou a ser investigado pela ANPD por possíveis falhas na proteção das informações, na comunicação aos titulares afetados e na adoção de medidas técnicas e administrativas exigidas pela Lei Geral de Proteção de Dados Pessoais.


O caso teve origem em um incidente de segurança ocorrido em 2025 e comunicado pelo próprio instituto à Agência. Segundo as informações apresentadas no processo, o ataque envolveu ransomware, tipo de ameaça em que invasores comprometem sistemas, criptografam ou tornam dados inacessíveis e, em muitos casos, exigem pagamento para restauração ou para evitar a divulgação das informações.


De acordo com o Isac, aproximadamente 500 mil registros teriam sido afetados. Desse total, cerca de 78.772 seriam referentes a crianças e adolescentes, enquanto outros 47.921 envolveriam idosos. Os registros incluíam dados de identificação, como nome e data de nascimento, além de informações sensíveis de saúde, entre elas histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados.


A natureza dos dados torna o caso especialmente relevante do ponto de vista regulatório. Pela LGPD, informações relacionadas à saúde são classificadas como dados pessoais sensíveis, o que exige maior rigor no tratamento, armazenamento, proteção e comunicação em caso de incidente. Quando expostos, esses dados podem gerar riscos à privacidade, à segurança dos pacientes e até à possibilidade de fraudes, discriminação ou uso indevido das informações.


A ANPD apura se o Isac descumpriu obrigações previstas na LGPD, incluindo a adoção de medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais. A investigação também analisa se houve falha na comunicação às pessoas afetadas, ausência de informações sobre o encarregado pelo tratamento de dados pessoais e descumprimento dos princípios da prevenção, da responsabilização e da prestação de contas.


Ao ser questionado sobre o impacto real do incidente, o Isac afirmou que não haveria risco ou dano relevante aos titulares. A organização alegou que os invasores teriam acessado apenas informações administrativas e bancos de dados relacionados a contratos já encerrados. No entanto, segundo a ANPD, a entidade não apresentou comprovação técnica suficiente para sustentar essa versão.


A Agência também identificou que o instituto não teria comunicado individualmente os titulares afetados, como seria esperado em situações semelhantes envolvendo dados sensíveis e grande volume de pessoas impactadas. Em vez disso, o Isac teria se limitado a publicar um aviso em seu site institucional.


Para a ANPD, a comunicação feita pelo instituto foi insuficiente. O aviso não informava a data do incidente, a natureza dos dados afetados, o perfil das pessoas envolvidas nem as medidas adotadas antes e depois do ataque. Esses elementos são exigidos pela LGPD e pela regulamentação específica da Agência sobre Comunicação de Incidentes de Segurança.


O auto de infração também aponta que o Isac não apresentou evidências técnicas mesmo após reiterados questionamentos da ANPD. Para a Agência, a ausência de documentação comprometeu a verificação sobre a efetiva adoção de medidas corretivas e dificultou a análise da resposta ao incidente.


Outro ponto levantado no processo é a ausência, no portal institucional do Isac, de informações sobre o encarregado pelo tratamento de dados pessoais. A LGPD exige que o controlador indique um encarregado, também conhecido como DPO, e disponibilize informações de contato para que titulares possam exercer seus direitos e obter esclarecimentos sobre o tratamento de seus dados.


O Processo Administrativo Sancionador prevê prazo de dez dias úteis, contados a partir da intimação, para que o Isac apresente defesa. Caso seja condenado, o instituto poderá receber sanções administrativas e orientações sobre as medidas necessárias para regularizar sua situação.


As sanções previstas no artigo 52 da LGPD incluem advertência, multa de até 2% do faturamento, publicização da infração, bloqueio ou eliminação dos dados pessoais relacionados à irregularidade, além de suspensão ou proibição do exercício de atividades de tratamento de dados pessoais. A eventual penalidade será definida ao final da análise, conforme o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD.


O caso reforça a pressão regulatória sobre organizações que tratam grandes volumes de dados sensíveis, especialmente no setor de saúde. Hospitais, clínicas, operadoras, organizações sociais e prestadores de serviços públicos lidam com informações altamente críticas e precisam demonstrar capacidade de prevenção, resposta a incidentes, comunicação transparente e governança adequada em proteção de dados.

 
 
Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

(11) 93937-9007

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page