A Agência Nacional de Proteção de Dados instaurou um processo administrativo sancionador contra o Instituto Saúde e Cidadania, organização social que administra unidades de saúde em seis Estados, após um ataque hacker atingir dados de cerca de 500 mil pacientes. O caso envolve informações sensíveis, como nome, data de nascimento, histórico de exames, prontuários médicos e diagnósticos.
O episódio ocorreu no ano passado e é tratado como um ataque do tipo ransomware, modalidade em que criminosos bloqueiam ou sequestram dados e podem exigir pagamento para liberar o acesso. De acordo com o procedimento da ANPD, os invasores acessaram informações armazenadas em servidores remotos, incluindo cópias de segurança, e impediram temporariamente que o instituto utilizasse os dados.
O Isac presta serviços em Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins. Entre os registros afetados, 78.772 pertencem a crianças e adolescentes, e 47.921 são de idosos, grupos considerados mais vulneráveis em incidentes envolvendo dados pessoais.
A ANPD apura se houve falhas na proteção das informações e na resposta ao incidente. Um dos pontos levantados é a ausência de mecanismos básicos de rastreamento, como logs, que registram automaticamente as ações realizadas dentro dos sistemas e ajudam a identificar o que ocorreu em caso de invasão.
A investigação também aponta possíveis problemas na comunicação aos titulares dos dados e na comprovação de medidas corretivas após o ataque. Com a abertura do processo, o instituto tem prazo para apresentar defesa. Ao fim da apuração, poderá receber sanções que vão de advertência a multa, que pode chegar a 2% do faturamento ou a R$ 50 milhões, conforme o porte da instituição e a gravidade do caso.
O Isac nega que tenha havido vazamento de dados. A organização afirma que o incidente provocou indisponibilidade temporária dos sistemas, mas não comprometeu o atendimento aos pacientes nem o funcionamento das unidades sob sua gestão. O instituto também sustenta que recuperou os sistemas por meio de cópias de segurança, comunicou o caso à ANPD e reforçou controles de segurança depois do ataque.
Prefeituras e governos estaduais que mantêm contratos com a organização também foram procurados. Araguaína, no Tocantins, afirmou não ter sido notificada sobre vazamento de dados. Salvador informou que parte das unidades administradas pelo Isac utiliza ambientes tecnológicos próprios. Já Maceió declarou que não houve vazamento de dados de pacientes das UPAs do município e citou uma tentativa de ataque sem sucesso em 2025.
O caso reforça a preocupação com a cibersegurança no setor de saúde, que lida com dados altamente sensíveis e exige padrões rigorosos de proteção. Além do risco administrativo para empresas e organizações, incidentes desse tipo podem expor informações íntimas de pacientes e comprometer a confiança nos sistemas públicos e privados de atendimento.


