Brasil

ANPD investiga Instituto Saúde e Cidadania por falhas em ataque hacker que afetou dados de 500 mil pacientes

Por Luiz Gomes • 8 de julho de 2026

A Agência Nacional de Proteção de Dados (ANPD) instaurou um processo administrativo sancionador contra o Instituto Saúde e Cidadania (Isac) para apurar supostas falhas na proteção de dados de cerca de 500 mil pacientes, após um ataque hacker do tipo ransomware registrado no ano passado. A organização social administra unidades de saúde em Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins.

Entre as informações sensíveis afetadas estão dados pessoais, como nome e data de nascimento, além de prontuários médicos, históricos de exames e diagnósticos. Do total de registros, 78.772 pertencem a crianças e adolescentes e 47.921 a idosos.

ANPD aponta falhas em mecanismos de segurança e comunicação

Os criminosos acessaram os dados, incluindo os backups que estavam em servidores remotos (nuvem), sequestraram os originais e indisponibilizaram o acesso às informações por parte do Isac.

O superintendente de Fiscalização da ANPD, Fabrício Guimarães, afirmou que dados de saúde exigem o modelo mais rigoroso possível de segurança da informação. “Numa escala de risco para nós, dados de saúde são provavelmente uma das escalas mais altas, talvez no mesmo modelo que a gente imagina para o setor financeiro”.

Segundo Guimarães, o instituto não sabia dimensionar a quantidade de informações vazadas nem precisar quais dados tinham sido acessados. “Numa lógica do princípio da prevenção, eu tenho que estimar o pior e me preparar para o pior”, explicou. Ele também afirmou que uma funcionalidade básica — o log, mecanismo que registra automaticamente tudo o que ocorre no sistema — não estava presente.

A ANPD também aponta “indícios de minimização da gravidade do incidente; falhas sérias na proteção de dados pessoais e sensíveis; comunicação insuficiente aos titulares; e ausência de evidências quanto à adoção de medidas corretivas”.

Isac nega vazamento e diz que sistemas foram recuperados

Em nota, o Isac negou que tenha ocorrido vazamento de dados. O instituto afirmou que o ataque causou apenas indisponibilidade temporária dos sistemas e que as análises técnicas realizadas à época do incidente “não identificaram evidências de extração, exfiltração ou divulgação indevida de dados pessoais”. Os sistemas foram recuperados a partir de cópias de segurança, e a assistência prestada aos pacientes não foi afetada.

A organização afirma que comunicou espontaneamente a ANPD sobre o caso, divulgou comunicado público em seu site e ampliou os controles de segurança após o ataque.

Prefeituras e estados se manifestam

Os entes públicos com contratos com o Isac. Em Araguaína (TO), a prefeitura afirmou que não foi notificada sobre vazamento de dados. Em Salvador, a Secretaria Municipal de Saúde disse que os ambientes tecnológicos das unidades administradas pelo Isac são distintos da base de dados citada no processo. Em Maceió, a prefeitura afirmou que não houve vazamento de dados de pacientes das UPAs e que, em 2025, ocorreu apenas uma tentativa de ataque sem sucesso. O Estado do Piauí não respondeu à reportagem.

Isac terá dez dias para apresentar defesa

Com a abertura do processo administrativo, o Isac terá dez dias para apresentar sua defesa. Ao final dos trâmites, poderá sofrer sanções que variam de advertência até proibição de desenvolver atividades de tratamento de dados, além de multas que podem representar 2% do faturamento da empresa ou até R$ 50 milhões, dependendo do porte da instituição.

Redes sociais
Luiz Gomes
Sobre o autor

Luiz Gomes

Luiz Gomes é redator de notícias e produtor de conteúdo digital, Atua a mais de 20 anos como professor de Geografia com foco em Geopolítica.

Deixe uma resposta