Polícia

ANPD investiga vazamento de dados de saúde de cidadãos após ataque hacker

Foto: Divulgação/ISAC
A Autoridade Nacional de Proteção de Dados (ANPD) abriu procedimento para avaliar o impacto da exposição de relatórios clínicos e prescrições  |   BNews SP - Divulgação Foto: Divulgação/ISAC
Amanda Ambrozio

por Amanda Ambrozio

Publicado em 08/07/2026, às 15h59



A Autoridade Nacional de Proteção de Dados (ANPD) instaurou, nesta quarta-feira (8), um processo administrativo contra o Instituto Saúde e Cidadania (Isac).

A medida decorreu de um suposto vazamento de 500 mil registros de pacientes, incluindo dados sensíveis de crianças e idosos.

De acordo com a Folha de S. Paulo, o instituto atua na gestão de unidades públicas de saúde em estados como Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins.

A investigação teve início após a entidade sofrer um ataque cibernético do tipo ransomware, no qual arquivos operacionais foram criptografados por criminosos.

Foto: Magnific
Foto: Magnific

Divergências sobre a segurança do banco de dados

Na ocasião do incidente, as informações afetadas incluíam dados de identificação civil, além de prontuários médicos, históricos de exames, prescrições e registros de internações.

Embora o Isac confirme a ocorrência do ataque cibernético e a indisponibilidade temporária de seus sistemas, a instituição nega que tenha ocorrido o vazamento efetivo dessas informações para terceiros.

O instituto alega ter registrado um boletim de ocorrência, comunicado o fato à autoridade reguladora e divulgado notas informativas em seus canais oficiais.

A justificativa apresentada pela operadora de saúde é contestada pela agência reguladora.

De acordo com a fiscalização da ANPD, o Isac não conseguiu comprovar tecnicamente que os invasores acessaram apenas arquivos administrativos antigos e bancos de dados de contratos encerrados.

Ausência de avisos individuais e sanções previstas

Outro ponto crítico citado pelo órgão regulador foi a ausência de uma comunicação individualizada para cada uma das vítimas afetadas, uma exigência prevista na legislação brasileira de proteção de dados vigente.

A agência considerou os comunicados gerais emitidos pela operadora de saúde insuficientes para os padrões legais.

A autarquia ressaltou que as notas publicadas não especificavam a data exata do incidente, a natureza dos dados vazados e as medidas de segurança adotadas.

O Isac dispõe agora de dez dias úteis para apresentar sua defesa formal.

Caso seja condenada ao fim do processo administrativo, a instituição pode sofrer penalidades que variam desde advertências públicas até multas financeiras equivalentes a 2% do seu faturamento, além da proibição temporária do tratamento de dados pessoais.

Classificação Indicativa: Livre

Facebook Twitter WhatsApp