A Agência Nacional de Proteção de Dados (ANPD) instaurou um processo de sanção contra o Instituto Saúde e Cidadania (Isac), organização social que gerencia unidades públicas de saúde em estados como Goiás, Bahia e Tocantins. O Isac é investigado por falhas na proteção de dados pessoais sensíveis de 500 mil pacientes, além de omissão na comunicação às vítimas e na adoção de medidas de Segurança após um ataque cibernético sofrido em 2025.
O incidente envolveu um ataque de ransomware, em que os dados foram sequestrados. A instituição informou que a invasão afetou cerca de 500 mil registros, incluindo aproximadamente 78.772 cadastros de crianças e adolescentes e 47.921 de idosos. Os arquivos continham informações de identificação e dados sensíveis de saúde, como históricos de exames, prontuários, prescrições médicas, diagnósticos e internações.
A ANPD investiga o descumprimento de obrigações da Lei Geral de Proteção de Dados Pessoais (LGPD). As possíveis infrações envolvem a falta de medidas técnicas para proteger os dados, a ausência de avisos adequados aos afetados, a não disponibilização de informações sobre o encarregado de dados da entidade e a violação aos princípios de prevenção e prestação de contas.
Ao ser questionado, o Isac alegou que não haveria risco relevante aos titulares, argumentando que os invasores acessaram apenas informações administrativas de contratos encerrados. No entanto, a entidade não apresentou comprovação técnica para a afirmação. A agência apurou que o instituto não comunicou individualmente os pacientes afetados, limitando-se a publicar uma nota em seu site oficial.
“Para a ANPD, essa comunicação foi insuficiente, pois não informava a data do incidente, a natureza dos dados e das pessoas afetadas, nem as medidas adotadas antes e depois do ataque, itens exigidos pela LGPD e pela regulamentação específica da Agência sobre Comunicação de Incidentes de Segurança (CIS)”, avalia o superintendente de Fiscalização da ANPD, Fabrício Guimarães.
O Processo Administrativo Sancionador (PAS) prevê o prazo de dez dias úteis para a apresentação da defesa do Isac. Se condenada, a organização enfrentará penalidades previstas no artigo 52 da LGPD, que vão desde advertência e multas de até 2% do faturamento até a suspensão ou proibição total das atividades de tratamento de dados pessoais, conforme o Regulamento de Dosimetria da ANPD.