ANPD instaura processo contra organização social por falhas na proteção de dados de 500 mil pacientes
Por Daniel Araújo
A Agência Nacional de Proteção de Dados (ANPD) instaurou um Processo Administrativo Sancionador (PAS) contra o Instituto Saúde e Cidadania (Isac), organização social com sede em Brasília responsável pela gestão de unidades públicas de saúde em estados como Bahia, Goiás, Rio Grande do Sul, Alagoas, Piauí e Tocantins. A entidade é investigada por supostas falhas na proteção de dados pessoais sensíveis de cerca de 500 mil pacientes após um ataque cibernético registrado em 2025.
Segundo a ANPD, o processo apura possíveis infrações à Lei Geral de Proteção de Dados (LGPD), relacionadas à adoção insuficiente de medidas de segurança para proteção das informações, falhas na comunicação do incidente aos titulares dos dados, ausência de informações sobre o encarregado pelo tratamento de dados pessoais e descumprimento dos princípios da prevenção, responsabilização e prestação de contas.
O caso teve origem em um ataque do tipo ransomware, modalidade em que criminosos sequestram dados e os tornam inacessíveis. De acordo com informações prestadas pelo Isac à Agência, aproximadamente 500 mil registros foram afetados, incluindo cerca de 78.772 de crianças e adolescentes e 47.921 de idosos.
Os registros continham dados de identificação, como nome e data de nascimento, além de informações sensíveis de saúde, incluindo histórico de exames, prontuários, prescrições médicas, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados.
Durante a apuração, o Isac afirmou que não haveria risco ou dano relevante aos titulares dos dados, alegando que os invasores tiveram acesso apenas a informações administrativas e bancos de dados referentes a contratos encerrados. No entanto, segundo a ANPD, a organização não apresentou comprovação técnica para sustentar essa versão.
A Agência também apontou que os pacientes afetados não foram comunicados individualmente sobre o incidente. Em vez disso, o Isac publicou apenas um aviso em seu site institucional.
Para o superintendente de Fiscalização da ANPD, Fabrício Guimarães, a comunicação foi insuficiente por não informar a data do incidente, a natureza dos dados comprometidos, quem foi afetado e quais medidas foram adotadas antes e depois do ataque, informações exigidas pela LGPD e pela regulamentação da própria Agência sobre Comunicação de Incidentes de Segurança (CIS).
Ainda segundo o auto de infração, o Isac deixou de apresentar evidências técnicas que comprovassem as medidas corretivas adotadas, apesar dos reiterados questionamentos da ANPD. A Agência também verificou que a organização não disponibiliza, em seu portal, informações sobre o encarregado pelo tratamento de dados pessoais, como determina a LGPD.
O instituto terá prazo de dez dias úteis, contados da intimação, para apresentar defesa. Caso seja condenado, além das sanções, receberá orientações para regularizar a situação.
As penalidades previstas no artigo 52 da LGPD incluem advertência, multa de até 2% do faturamento da instituição, além da suspensão parcial ou total das atividades de tratamento de dados pessoais. A eventual punição será definida ao fim do processo, conforme o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD.
O processo de número 00261.003381/2026-55 está disponível para consulta pública no Sistema Eletrônico de Informações (SEI).
