A Autoridade Nacional de Proteção de Dados (ANPD) iniciou um processo administrativo contra o Instituto Saúde e Cidadania (Isac) devido a um vazamento de dados pessoais que afetou cerca de 500 mil pacientes. O incidente ocorreu em 2025, quando a instituição, que atua em seis estados brasileiros, foi alvo de um ataque de ransomware, tornando registros digitais inacessíveis.

Dados expostos e impacto

O vazamento revelou informações sensíveis de saúde, incluindo dados de 78.772 crianças e adolescentes e 47.921 idosos. Os registros comprometidos continham nomes, datas de nascimento, prontuários, históricos de exames e diagnósticos, expondo a privacidade de um grande número de pessoas.

A ação da ANPD

A ANPD está investigando se houve violações à Lei Geral de Proteção de Dados (LGPD) por parte do Isac. Entre as infrações que estão sendo apuradas estão a falta de medidas de segurança, inadequação na comunicação com as vítimas e descumprimento dos princípios da lei.

Possíveis penalidades

As sanções que podem ser aplicadas ao Isac variam de advertências a multas que podem chegar a 2% do faturamento da instituição. A ANPD também ressaltou que o Isac não notificou individualmente os pacientes afetados, limitando-se a uma publicação em seu site.

Defesa do Isac

Em sua defesa, o Isac alegou que não houve risco significativo para os pacientes, afirmando que os dados acessados pelos invasores eram principalmente administrativos e relacionados a contratos encerrados. Contudo, a ANPD destacou que a entidade não apresentou provas técnicas para sustentar essa alegação.

Comunicação insuficiente

O superintendente de Fiscalização da ANPD, Fabrício Guimarães, afirmou que a comunicação do Isac sobre o incidente foi insuficiente, pois não incluiu informações essenciais, como a data do ataque e as medidas adotadas após o ocorrido. Tais informações são exigidas pela LGPD e pela regulamentação da ANPD sobre Comunicação de Incidentes de Segurança.