A Agência Nacional de Proteção de Dados (ANPD) instaurou um processo administrativo sancionador contra o Instituto Saúde e Cidadania (Isac), organização social que administra unidades públicas de saúde em seis estados brasileiros, entre eles a Bahia. A medida foi anunciada nesta quarta-feira (8) e decorre de um ataque cibernético ocorrido em janeiro de 2025.
A entidade, com sede em Brasília, gerencia unidades de saúde em Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins, e é investigada por falhas na proteção de dados pessoais sensíveis de 500 mil pacientes, além de problemas na comunicação às vítimas e na adoção de medidas de segurança.
O caso envolveu um ataque de ransomware — modalidade em que os dados são sequestrados e tornados inacessíveis. O instituto informou que o incidente teria afetado cerca de 500 mil registros, dos quais aproximadamente 78.772 seriam de crianças e adolescentes e 47.921 de idosos.
Os arquivos comprometidos continham dados pessoais de identificação, como nome e data de nascimento, além de informações sensíveis de saúde: histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados.
A ANPD investiga se foram cometidas infrações à Lei Geral de Proteção de Dados Pessoais (LGPD), relacionadas à não adoção de medidas técnicas e administrativas de segurança, à ausência de comunicação adequada às pessoas afetadas, à falta de informações sobre o encarregado pelo tratamento de dados e ao descumprimento dos princípios de prevenção e responsabilização.
A agência apurou também que o Isac não comunicou individualmente os titulares afetados, tendo se limitado a publicar um aviso em seu site institucional. Para a ANPD, essa comunicação foi insuficiente, pois não informava a data do incidente, a natureza dos dados e das pessoas afetadas, nem as medidas adotadas antes e depois do ataque — itens exigidos pela LGPD.
Ao ser questionado sobre o real impacto do incidente, o Isac alegou que os invasores teriam acessado apenas informações administrativas e bancos de dados de contratos já encerrados. No entanto, a entidade não apresentou evidências técnicas para comprovar essa afirmação mesmo após reiterados questionamentos da ANPD.
O instituto não pagou resgate para recuperar o acesso aos sistemas. O processo administrativo sancionador prevê prazo de dez dias úteis para que o Isac apresente sua defesa. Caso condenado, além da sanção, o instituto será orientado sobre as medidas de regularização. As penalidades previstas na LGPD vão de advertência a multa de até 2% do faturamento e podem incluir suspensão ou proibição do exercício de atividades de tratamento de dados pessoais.
Em nota divulgada nesta quarta-feira, o Isac negou o vazamento de dados de pacientes. A organização afirmou que o ataque provocou apenas a indisponibilidade temporária de sistemas administrativos, por meio da criptografia de arquivos por agentes criminosos, sem afetar a assistência prestada aos pacientes nem o funcionamento das unidades de saúde.
O Isac informou ainda que, após o ocorrido, promoveu o fortalecimento de seus controles de segurança da informação. O procedimento administrativo instaurado pela ANPD permanece em fase de análise e, até o momento, não foi aplicada qualquer penalidade ou sanção ao Instituto.







