DALL E3 Microsoft Designer security cyber brasil

ANPD investiga Isac por vazamento de dados de 500 mil pacientes

A Agência Nacional de Proteção de Dados (ANPD) instaurou processo de sanção contra o Instituto Saúde e Cidadania (Isac), organização social que atua na gestão de unidades públicas de saúde em vários estados brasileiros, por falhas na proteção de dados pessoais sensíveis de 500 mil pacientes. A ação decorre de um incidente de segurança ocorrido em 2025 e comunicado pelo Isac à Agência, envolvendo um ataque cibernético de ransomware que afetou aproximadamente 500 mil registros, dos quais 78.772 seriam de crianças e adolescentes e 47.921 de idosos.

Os registros continham dados pessoais de identificação (como nome e data de nascimento) e dados pessoais sensíveis de saúde, incluindo histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados. A ANPD investiga infrações à Lei Geral de Proteção de Dados Pessoais (LGPD) relacionadas à não adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados; à não comunicação adequada às pessoas afetadas; à não disponibilização de informações relativas ao encarregado pelo tratamento de dados; e ao descumprimento aos princípios da prevenção e da responsabilização.

Ao ser questionado sobre o real impacto do incidente, o Isac alegou que não haveria risco ou dano relevante aos titulares, argumentando que os invasores teriam acessado apenas informações administrativas e bancos de dados referentes a contratos já encerrados, mas não apresentou comprovação para essa afirmação. A Agência apurou também que o Isac não comunicou individualmente os titulares afetados, tendo se limitado a publicar um aviso em seu site institucional, sem informar a data do incidente, a natureza dos dados e das pessoas afetadas, nem as medidas adotadas — itens exigidos pela LGPD e pela regulamentação específica da Agência sobre Comunicação de Incidentes de Segurança (CIS).

Segundo o auto de infração, o Isac não apresentou evidências técnicas que comprovassem suas alegações mesmo após reiterados questionamentos da ANPD. A Agência identificou ainda que o Isac não disponibiliza, em seu portal, informações sobre o encarregado pelo tratamento de dados pessoais, conforme exige a LGPD.

Prazos e sanções

O Processo Administrativo Sancionador (PAS) prevê prazo de dez dias úteis, a contar da intimação, para apresentação da defesa. Se condenado, além da sanção, o Isac será orientado sobre o que precisa fazer para regularizar a situação. As sanções previstas no artigo 52 da LGPD vão desde advertência a multa de até 2% do faturamento e suspensão ou proibição do exercício de atividades de tratamento de dados pessoais. A sanção a ser eventualmente aplicada será definida ao final da análise do processo, conforme o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD.