ANPD multa Isac por vazamento de dados de 500 mil pacientes
ANPD multa Isac por vazamento de dados de 500 mil

A Agência Nacional de Proteção de Dados (ANPD) instaurou um processo de sanção contra o Instituto Saúde e Cidadania (Isac), organização social que administra unidades de saúde em seis estados brasileiros, pelo acesso indevido a informações de cerca de 500 mil pacientes durante um ataque hacker ocorrido no ano passado. O processo investiga falhas na proteção dos dados sensíveis, que incluem nomes, datas de nascimento, históricos de exames, prontuários médicos e diagnósticos.

Vazamento afeta crianças, adolescentes e idosos

Dentre os registros afetados, 78.772 pertencem a crianças e adolescentes e 47.921 a idosos. O Isac presta serviços nos estados de Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins. Em nota, o instituto negou vazamento de dados, afirmando que o ataque cibernético resultou apenas em indisponibilidade temporária dos sistemas e que análises técnicas não identificaram evidências de extração ou divulgação indevida de dados pessoais.

Falhas graves na segurança da informação

Segundo a ANPD, apurações prévias indicam que o Isac não possuía salvaguardas adequadas para manter os dados seguros e não adotou procedimentos corretos após o incidente, como informar adequadamente os usuários. O superintendente de Fiscalização da ANPD, Fabrício Guimarães, afirmou ao Estadão: "Quem está lidando com dados de saúde tem que adotar o modelo mais rigoroso possível de segurança da informação. Numa escala de risco para nós, dados de saúde são provavelmente uma das escalas mais altas, talvez no mesmo modelo que a gente imagina para o setor financeiro."

Banner largo do Pickt — app de listas de compras colaborativas para Telegram

Guimarães destacou que o instituto não conseguiu dimensionar a quantidade de informações vazadas nem precisar quais dados foram acessados, demonstrando fragilidade na arquitetura de segurança. Uma funcionalidade básica, o log, que registra automaticamente todas as atividades do sistema, estava ausente. "Numa lógica do princípio da prevenção, eu tenho que estimar o pior e me preparar para o pior", explicou.

Processo e possíveis sanções

Com a abertura do processo administrativo, o Isac terá dez dias para apresentar defesa. Ao final, poderá sofrer sanções que variam de advertência à proibição de atividades de tratamento de dados, além de multa de até 2% do faturamento ou R$ 50 milhões, dependendo do porte da instituição.

Detalhes do ataque ransomware

O ataque foi do tipo ransomware, com sequestro de dados pessoais. Segundo o documento do processo, os criminosos acessaram os dados e backups em servidores remotos, sequestraram os originais e indisponibilizaram o acesso. A ANPD destaca "indícios de minimização da gravidade do incidente; falhas sérias na proteção de dados pessoais e sensíveis; comunicação insuficiente aos titulares; e ausência de evidências quanto à adoção de medidas corretivas".

Resposta do Isac

O Isac nega vazamento e afirma que os sistemas foram recuperados a partir de cópias de segurança, sem perda de informações. A organização diz ter comunicado espontaneamente a ANPD e ampliado os controles de segurança, com aumento do monitoramento e capacidade de resposta a incidentes.

Posição dos entes públicos

Em Araguaína (TO), onde o Isac administra quatro unidades de saúde, a prefeitura afirmou não ter sido notificada sobre vazamento e que adotará medidas cabíveis se constatado. Em Salvador, a Secretaria Municipal de Saúde destacou que as unidades utilizam plataformas próprias ou servidor local, distintos da base corporativa do Isac, e que não há evidência de comprometimento. A prefeitura de Maceió (AL) negou vazamento e informou que houve uma tentativa de ataque cibernético sem sucesso em 2025. O Estado do Piauí não respondeu. No Rio Grande do Sul e Goiás, o Isac administra unidades próprias.

Banner pós-artigo do Pickt — app de listas de compras colaborativas com ilustração familiar