Última hora
Publicidade
PMPA - 5736
Serviço

Bahia está entre os estados afetados por ataque hacker que expôs dados de 500 mil pacientes do SUS

Autoridade federal de proteção de dados abre processo sancionatório contra organização social por falhas de segurança e omissão na comunicação às vítimas após ransomware em 2025.

Redação ChicoSabeTudo
08 de julho, 2026 · 19:07 3 min de leitura
Ilustração de cadeado digital sobre prontuário médico representando vazamento de dados de saúde
Ilustração de cadeado digital sobre prontuário médico representando vazamento de dados de saúde

A Agência Nacional de Proteção de Dados (ANPD) instaurou um processo administrativo sancionador contra o Instituto Saúde e Cidadania (Isac), organização social que administra unidades públicas de saúde em seis estados brasileiros, entre eles a Bahia. A medida foi anunciada nesta quarta-feira (8) e decorre de um ataque cibernético ocorrido em janeiro de 2025.

Publicidade

A entidade, com sede em Brasília, gerencia unidades de saúde em Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins, e é investigada por falhas na proteção de dados pessoais sensíveis de 500 mil pacientes, além de problemas na comunicação às vítimas e na adoção de medidas de segurança.

O caso envolveu um ataque de ransomware — modalidade em que os dados são sequestrados e tornados inacessíveis. O instituto informou que o incidente teria afetado cerca de 500 mil registros, dos quais aproximadamente 78.772 seriam de crianças e adolescentes e 47.921 de idosos.

Os arquivos comprometidos continham dados pessoais de identificação, como nome e data de nascimento, além de informações sensíveis de saúde: histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados.

Publicidade

A ANPD investiga se foram cometidas infrações à Lei Geral de Proteção de Dados Pessoais (LGPD), relacionadas à não adoção de medidas técnicas e administrativas de segurança, à ausência de comunicação adequada às pessoas afetadas, à falta de informações sobre o encarregado pelo tratamento de dados e ao descumprimento dos princípios de prevenção e responsabilização.

A agência apurou também que o Isac não comunicou individualmente os titulares afetados, tendo se limitado a publicar um aviso em seu site institucional. Para a ANPD, essa comunicação foi insuficiente, pois não informava a data do incidente, a natureza dos dados e das pessoas afetadas, nem as medidas adotadas antes e depois do ataque — itens exigidos pela LGPD.

Ao ser questionado sobre o real impacto do incidente, o Isac alegou que os invasores teriam acessado apenas informações administrativas e bancos de dados de contratos já encerrados. No entanto, a entidade não apresentou evidências técnicas para comprovar essa afirmação mesmo após reiterados questionamentos da ANPD.

Publicidade

O instituto não pagou resgate para recuperar o acesso aos sistemas. O processo administrativo sancionador prevê prazo de dez dias úteis para que o Isac apresente sua defesa. Caso condenado, além da sanção, o instituto será orientado sobre as medidas de regularização. As penalidades previstas na LGPD vão de advertência a multa de até 2% do faturamento e podem incluir suspensão ou proibição do exercício de atividades de tratamento de dados pessoais.

Em nota divulgada nesta quarta-feira, o Isac negou o vazamento de dados de pacientes. A organização afirmou que o ataque provocou apenas a indisponibilidade temporária de sistemas administrativos, por meio da criptografia de arquivos por agentes criminosos, sem afetar a assistência prestada aos pacientes nem o funcionamento das unidades de saúde.

O Isac informou ainda que, após o ocorrido, promoveu o fortalecimento de seus controles de segurança da informação. O procedimento administrativo instaurado pela ANPD permanece em fase de análise e, até o momento, não foi aplicada qualquer penalidade ou sanção ao Instituto.

Publicidade

Leia também