A Autoridade Nacional de Proteção de Dados (ANPD) iniciou, nesta quarta-feira (8), um processo administrativo contra o Instituto Saúde e Cidadania (Isac), devido ao vazamento de 500 mil registros de pacientes, que incluem crianças e idosos.
Contexto do Vazamento
O Isac, que gerencia unidades de saúde pública em diversos estados, como Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins, foi alvo de um ataque cibernético em janeiro de 2025. Durante a invasão, arquivos contendo informações sensíveis, como nome, data de nascimento e dados de saúde dos pacientes, foram criptografados.
Posição do Instituto
Embora o Isac tenha reconhecido o ataque, a instituição alega que não houve vazamento de dados. Segundo a operadora, tratou-se de um ataque do tipo ransomware, que resultou na indisponibilidade temporária de alguns sistemas administrativos.
Comunicação com a ANPD
O instituto informou à ANPD sobre o incidente, registrou um boletim de ocorrência e publicou um comunicado em suas plataformas. No entanto, a agência reguladora afirmou que o Isac não conseguiu comprovar que as informações acessadas pelos invasores eram apenas administrativas.
Falta de Comunicação aos Afetados
A ANPD também criticou a falta de comunicação individual aos titulares dos dados afetados. De acordo com a regulamentação da agência, é necessário informar as vítimas sobre a natureza dos dados vazados e as medidas adotadas para mitigar os danos.
Possíveis Consequências
O Isac tem um prazo de dez dias úteis para apresentar sua defesa. Caso seja penalizado, poderá enfrentar advertências, multas de até 2% do faturamento e até a suspensão do tratamento de dados pessoais, com a sanção a ser definida pela própria ANPD.
Implicações Futuras
Este caso levanta preocupações sobre a segurança dos dados de saúde e a responsabilidade das instituições em proteger informações sensíveis, especialmente em tempos de crescente digitalização dos serviços de saúde.




