A Agência Nacional de Proteção de Dados (ANPD) instaurou um Processo Administrativo Sancionador (PAS) para investigar falhas na proteção de dados pessoais sensíveis de cerca de 500 mil pacientes do Instituto Saúde e Cidadania (Isac). A organização é responsável pela gestão de unidades públicas de saúde em estados como Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins.
O incidente ocorreu em 2025, após um ataque de ransomware, tipo de crime cibernético em que os dados são sequestrados e ficam inacessíveis. Dos cerca de 500 mil registros afetados, 78.772 seriam de crianças e adolescentes, enquanto 47.921 pertenciam a idosos.
A ANPD informou que foi comunicada pelo instituto sobre o incidente, o que deu origem ao processo de apuração. Entre as informações comprometidas estavam dados cadastrais, como nome e data de nascimento, além de dados pessoais sensíveis, incluindo histórico de exames, prontuários, prescrições médicas, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados.
Ao ser questionado sobre o impacto do incidente, o instituto alegou que não haveria “risco ou dano relevante” aos titulares dos dados. Como justificativa apresentada à ANPD, afirmou que os invasores teriam acessado apenas informações administrativas e bancos de dados referentes a contratos já encerrados. No entanto, segundo a agência, essa alegação não foi comprovada.
A ANPD também verificou que o instituto não comunicou individualmente os titulares afetados pelo incidente, medida prevista na Lei Geral de Proteção de Dados Pessoais (LGPD) em determinadas situações.
Agora, o órgão apura se houve infrações à LGPD relacionadas à ausência de medidas técnicas e administrativas adequadas para proteger os dados pessoais; à falta de comunicação adequada aos titulares afetados; à não disponibilização de informações sobre o encarregado pelo tratamento de dados pessoais; e ao descumprimento dos princípios da prevenção e da responsabilização e prestação de contas.
Em comunicado, o Instituto Saúde e Cidadania (Isac) informou que identificou um incidente de segurança da informação que “pode ter afetado dados pessoais” sob sua responsabilidade. A organização afirmou ainda que está adotando as medidas necessárias para investigar o ocorrido, mitigar os impactos e evitar novos incidentes.