Polícia
Publicado em 08/07/2026, às 15h59 Foto: Divulgação/ISAC Amanda Ambrozio
A Autoridade Nacional de Proteção de Dados (ANPD) instaurou, nesta quarta-feira (8), um processo administrativo contra o Instituto Saúde e Cidadania (Isac).
A medida decorreu de um suposto vazamento de 500 mil registros de pacientes, incluindo dados sensíveis de crianças e idosos.
De acordo com a Folha de S. Paulo, o instituto atua na gestão de unidades públicas de saúde em estados como Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins.
A investigação teve início após a entidade sofrer um ataque cibernético do tipo ransomware, no qual arquivos operacionais foram criptografados por criminosos.
Na ocasião do incidente, as informações afetadas incluíam dados de identificação civil, além de prontuários médicos, históricos de exames, prescrições e registros de internações.
Embora o Isac confirme a ocorrência do ataque cibernético e a indisponibilidade temporária de seus sistemas, a instituição nega que tenha ocorrido o vazamento efetivo dessas informações para terceiros.
O instituto alega ter registrado um boletim de ocorrência, comunicado o fato à autoridade reguladora e divulgado notas informativas em seus canais oficiais.
A justificativa apresentada pela operadora de saúde é contestada pela agência reguladora.
De acordo com a fiscalização da ANPD, o Isac não conseguiu comprovar tecnicamente que os invasores acessaram apenas arquivos administrativos antigos e bancos de dados de contratos encerrados.
Outro ponto crítico citado pelo órgão regulador foi a ausência de uma comunicação individualizada para cada uma das vítimas afetadas, uma exigência prevista na legislação brasileira de proteção de dados vigente.
A agência considerou os comunicados gerais emitidos pela operadora de saúde insuficientes para os padrões legais.
A autarquia ressaltou que as notas publicadas não especificavam a data exata do incidente, a natureza dos dados vazados e as medidas de segurança adotadas.
O Isac dispõe agora de dez dias úteis para apresentar sua defesa formal.
Caso seja condenada ao fim do processo administrativo, a instituição pode sofrer penalidades que variam desde advertências públicas até multas financeiras equivalentes a 2% do seu faturamento, além da proibição temporária do tratamento de dados pessoais.
Estado de São Paulo registra 45 roubos ou furtos de alianças por hora
Banco do Brasil e Correios fecham contrato bilionário; entenda o caso