ANPD investiga ataque cibernético que vazou dados de 500 mil pacientes

Por Sérgio Feitoza
08/07/2026
13 visualizações
Agência instaurou processo de sanção contra o Instituto Saúde e Cidadania (Isac), que trabalha na gestão de unidades públicas de saúde nos estados de Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins
ANPD investiga ataque cibernético que vazou dados de 500 mil pacientes
A ANPD (Agência Nacional de Proteção de Dados) instaurou um processo de sanção contra o Isac (Instituto Saúde e Cidadania), responsável pela gestão de unidades públicas de saúde em cerca de sete estados brasileiros, após um ataque cibernético vazar os dados pessoais de ao menos 500 mil pacientes em 2025.

O Isac trabalha nos estados de Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins, e virou alvo da investigação federal por falhas na proteção de dados pessoais sensíveis, na comunicação às vítimas e na adoção de medidas de segurança.

Segundo a ANPD, o ocorrido foi comunicado pelo próprio instituto. Na ocasião, um ataque cibernético de ransomware — onde os dados são sequestrados e se tornam inacessíveis — afetou aproximadamente 500 mil registros de pacientes. Destes, 78.772 seriam de crianças e adolescentes e 47.921 de idosos.

Dados pessoais de identificação como nome e data de nascimento foram vazados, bem como relatórios de saúde incluindo histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados.

O PAS (Processo Administrativo Sancionador), instaurado pela ANPD, prevê prazo de dez dias úteis, a contar da intimação, para a defesa do instituto apresentar representação. Caso condenado, além da sanção, o Isac será orientado sobre o que precisa fazer para regularizar a situação.

Conforme o art, 52 da LGPD (Lei Geral de Proteção de Dados Pessoais), as sanções vão desde advertência a multa de até 2% do faturamento e suspensão ou proibição do exercício de atividades de tratamento de dados pessoais.

A sanção a ser eventualmente aplicada será definida ao final da análise do processo, conforme o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD.

Investigação
A investigação irá apurar se foram cometidas infrações à LGPD (Lei Geral de Proteção de Dados Pessoais), sobretudo no que diz respeito à não adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais.

O órgão reforçou ainda que irá analisar à não comunicação às pessoas afetadas pelo incidente; à não disponibilização de informações relativas ao encarregado pelo tratamento de dados pessoais e ao descumprimento aos princípios da prevenção e da responsabilização e prestação de contas.

Conforme a ANPD, o Isac alegou, após o ataque, que não haveria risco ou dano significativo aos pacientes atingidos, justificando que os hackers teriam acessado apenas informações administrativas e dados de contratos já encerrados.

Entretanto, o instituto não teria apresentado comprovações dessa alegação. Uma investigação da ANPD ainda apurou que o Isac não chegou a comunicar individualmente e de forma adequada os afetados, como previsto na LGPD. Para a agência, a comunicação da organização foi insuficiente e inadequada.

Informações como a data do incidente, a natureza dos dados e das pessoas afetadas não foram comunicadas aos pacientes, nem as medidas adotadas antes e depois do ataque. Esses itens são exigidos pela LGPD e pela regulamentação específica da Agência sobre CIS (Comunicação de Incidentes de Segurança).

O auto de infração aponta que o Isac não apresentou embasamento técnico que comprovasse suas alegações, mesmo após reiterados questionamentos da ANPD. A ação teria comprometido a verificação e eficiência da adoção de medidas corretivas.

Outro lado
À CNN Brasil, o Isac afirmou que o incidente não afetou a assistência prestada aos pacientes nem o funcionamento das unidades de saúde sob gestão do Instituto. Leia na íntegra:

"O Instituto Saúde e Cidadania (ISAC) esclarece que o incidente cibernético ocorrido em janeiro de 2025 não resultou em vazamento de dados de pacientes. O episódio consistiu em um ataque do tipo ransomware, que provocou a indisponibilidade temporária de sistemas administrativos mediante a criptografia de arquivos por agentes criminosos. O incidente não afetou a assistência prestada aos pacientes nem o funcionamento das unidades de saúde sob gestão do Instituto.

O ISAC comunicou espontaneamente o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD), registrou ocorrência junto às autoridades competentes e divulgou comunicado público em seus canais oficiais. Desde então, vem prestando todos os esclarecimentos solicitados e colaborando integralmente com o processo de apuração.

As análises técnicas realizadas à época do incidente não identificaram evidências de extração, exfiltração ou divulgação indevida de dados pessoais. Os sistemas afetados foram recuperados a partir de cópias de segurança mantidas pela
instituição, sem perda de informações.

Por esse motivo, o Instituto não reconhece como correta a afirmação de que houve vazamento de dados de pacientes decorrente do referido incidente. Após o ocorrido, o ISAC promoveu o fortalecimento adicional de seus controles de segurança da informação, ampliando mecanismos de proteção, monitoramento e resposta a incidentes cibernéticos.

O procedimento administrativo instaurado pela ANPD permanece em fase de análise. Até o momento, não foi aplicada qualquer penalidade ou sanção ao Instituto. O ISAC reafirma seu compromisso com a proteção de dados pessoais, a transparência institucional e o cumprimento da legislação vigente."

A Secretaria de Estado da Saúde do Tocantins informou que manteve contrato com o Instituto Saúde e Cidadania, exclusivamente durante o período da pandemia da COVID-19.Atualmente, de acordo com o órgão não há qualquer contrato vigente ou parceria em execução com a Pasta.
Tags Relacionadas
Backup corporativo Proteção contra ransomware Recuperação de desastres Continuidade de negócios Infraestrutura de TI Gestão de TI Monitoramento de segurança Segurança em nuvem Firewall corporativo Backup em nuvem

Notícias Relacionadas

Interactiva é novamente indicada ao ranking da Infor Channel 2025/26
Interactiva é novamente indicada ao ranking da Infor Channel 2025/26

Após conquistar o 4º lugar entre as distribuidoras de TI do Nordeste, a Interactiva volta a integrar a lista de empresas elegíveis da Infor Channel 2025/26.

Oracle elimina 21 mil vagas e amplia investimentos bilionários em inteligência artificial
Oracle elimina 21 mil vagas e amplia investimentos bilionários em inteligência artificial

A medida acompanha uma tendência mais ampla no setor de tecnologia: empresas vêm destinando centenas de bilhões de dólares à construção de infraestrutura para IA

Ataque rouba senhas de 75 mil Firewalls Fortinet do mundo
Ataque rouba senhas de 75 mil Firewalls Fortinet do mundo

Pesquisadores de segurança estão alertando para uma campanha massiva de roubo de credenciais que teria comprometido informações associadas a aproximadamente 75 mil dispositivos Fortinet em 194 países. A operação, apelidada por alguns pesquisadores de “FortiBleed”, teria afetado mais de 21 mil domínios únicos e levantou preocupações sobre o uso contínuo de credenciais vazadas para invasões corporativas.