A Agência Nacional de Proteção de Dados (ANPD) instaurou um Processo Administrativo Sancionador (PAS) para investigar falhas na proteção de dados pessoais sensíveis de cerca de 500 mil pacientes do Instituto Saúde e Cidadania (Isac). A organização é responsável pela gestão de unidades públicas de saúde em Estados como Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins.
O incidente ocorreu em 2025, após um ataque de ransomware, tipo de crime cibernético em que os dados são sequestrados e ficam inacessíveis. Dos cerca de 500 mil registros afetados, 78.772 seriam de crianças e adolescentes, enquanto 47.921 pertenciam a idosos.
A ANPD informou que foi comunicada pelo instituto sobre o incidente, o que deu origem ao processo de apuração. Entre as informações comprometidas estavam dados cadastrais, como nome e data de nascimento, além de dados pessoais sensíveis, incluindo histórico de exames, prontuários, prescrições médicas, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados.
Ao ser questionado sobre o impacto do incidente, o instituto alegou que não haveria “risco ou dano relevante” aos titulares dos dados. Como justificativa apresentada à ANPD, afirmou que os invasores teriam acessado apenas informações administrativas e bancos de dados referentes a contratos já encerrados. No entanto, segundo a agência, essa alegação não foi comprovada.
A ANPD também verificou que o instituto não comunicou individualmente os titulares afetados pelo incidente, medida prevista na Lei Geral de Proteção de Dados Pessoais (LGPD) em determinadas situações.
Agora, o órgão apura se houve infrações à LGPD relacionadas à ausência de medidas técnicas e administrativas adequadas para proteger os dados pessoais; à falta de comunicação adequada aos titulares afetados; à não disponibilização de informações sobre o encarregado pelo tratamento de dados pessoais; e ao descumprimento dos princípios da prevenção e da responsabilização e prestação de contas.
“Para a ANPD, essa comunicação foi insuficiente, pois não informava a data do incidente, a natureza dos dados e das pessoas afetadas, nem as medidas adotadas antes e depois do ataque — itens exigidos pela LGPD e pela regulamentação específica da Agência sobre Comunicação de Incidentes de Segurança (CIS)”, afirmou o superintendente de Fiscalização da ANPD, Fabrício Guimarães.
Em comunicado, o Instituto Saúde e Cidadania (Isac) informou que identificou um incidente de segurança da informação que “pode ter afetado dados pessoais” sob sua responsabilidade. A organização afirmou ainda que está adotando as medidas necessárias para investigar o ocorrido, mitigar os impactos e evitar novos incidentes.
Por fim, o instituto reforçou seu compromisso com a transparência e com a proteção dos dados pessoais dos usuários.
O prazo para apresentação da defesa no Processo Administrativo Sancionador é de 10 dias úteis. Caso seja condenado, o instituto poderá sofrer sanções que vão desde advertência e multa de até 2% do faturamento até a suspensão ou a proibição do exercício de atividades de tratamento de dados pessoais. As informações são do jornal O Globo.
