A Autoridade Nacional de Proteção de Dados (ANPD) iniciou um processo administrativo contra o Instituto Saúde e Cidadania (Isac) devido a um vazamento de dados pessoais que afetou cerca de 500 mil pacientes. O incidente ocorreu em 2025, quando a instituição, que atua em seis estados brasileiros, foi alvo de um ataque de ransomware, tornando registros digitais inacessíveis.
Dados expostos e impacto
O vazamento revelou informações sensíveis de saúde, incluindo dados de 78.772 crianças e adolescentes e 47.921 idosos. Os registros comprometidos continham nomes, datas de nascimento, prontuários, históricos de exames e diagnósticos, expondo a privacidade de um grande número de pessoas.
A ação da ANPD
A ANPD está investigando se houve violações à Lei Geral de Proteção de Dados (LGPD) por parte do Isac. Entre as infrações que estão sendo apuradas estão a falta de medidas de segurança, inadequação na comunicação com as vítimas e descumprimento dos princípios da lei.
Possíveis penalidades
As sanções que podem ser aplicadas ao Isac variam de advertências a multas que podem chegar a 2% do faturamento da instituição. A ANPD também ressaltou que o Isac não notificou individualmente os pacientes afetados, limitando-se a uma publicação em seu site.
Defesa do Isac
Em sua defesa, o Isac alegou que não houve risco significativo para os pacientes, afirmando que os dados acessados pelos invasores eram principalmente administrativos e relacionados a contratos encerrados. Contudo, a ANPD destacou que a entidade não apresentou provas técnicas para sustentar essa alegação.
Comunicação insuficiente
O superintendente de Fiscalização da ANPD, Fabrício Guimarães, afirmou que a comunicação do Isac sobre o incidente foi insuficiente, pois não incluiu informações essenciais, como a data do ataque e as medidas adotadas após o ocorrido. Tais informações são exigidas pela LGPD e pela regulamentação da ANPD sobre Comunicação de Incidentes de Segurança.




