
A Agência Nacional de Proteção de Dados (ANPD) iniciou um processo de sanção contra o Instituto de Saúde e Cidadania (ISAC) nesta quarta-feira (8).
O inquérito foi aberto após um ataque que "sequestrou" dados de 500 mil pacientes da organização social responsável pela administração de unidades públicas de saúde em Alagoas, Bahia, Goiás, Piauí, Rio Grande do Sul e Tocantins.
A ação dá sequência ao incidente ocorrido em 2025 e comunicado pela entidade à agência. Na ocasião, a empresa foi alvo de um ransomware, ataque em que os dados são criptografados por hackers. Depois, os agentes maliciosos cobram um resgate às vítimas para acessá-los novamente e, em alguns casos, para evitar o vazamento.
-
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
-
Ao todo, cerca de 500 mil cadastros foram expostos. Desse total, 78,7 mil fichas seriam de crianças e adolescentes e 47,9 mil de idosos.
Segundo a agência, o ataque atingiu tanto informações de identificação, como nome e data de nascimento, como dados sensíveis de saúde. Entre eles, histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados.
Ao Canaltech, o ISAC afirmou que o incidente não resultou em vazamento de dados e não afetou a assistência aos pacientes das unidades de saúde.
"As análises técnicas realizadas à época do incidente não identificaram evidências de extração, exfiltração ou divulgação indevida de dados pessoais. Os sistemas afetados foram recuperados a partir de cópias de segurança mantidas pela instituição, sem perda de informações", explica a entidade.
A empresa também publicou um comunicado sobre o episódio em seu site oficial e destacou que fortaleceu seus controles de segurança para ampliar os mecanismos de proteção, monitoramento e resposta a incidentes.
Por que o processo foi instaurado?
A investigação apura se foram cometidas infrações à Lei Geral de Proteção de Dados Pessoais (LGPD) relacionadas aos seguintes pontos:
- Ausência medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais;
- Comunicação inadequada às pessoas afetadas pelo incidente;
- Indisponibilidade de informações relativas ao encarregado pelo tratamento de dados pessoais;
- Descumprimento aos princípios da prevenção e da responsabilização e prestação de contas.
Durante os questionamentos sobre o impacto da brecha, a empresa alegou que não haveria risco ou dano relevante aos titulares, pois os invasores teriam acessados apenas informações administrativas de bancos de dados de contratos já encerrados.
A ANPD, por outro lado, pontua que a entidade não apresentou comprovação para a afirmação.
“A Agência apurou também que o ISAC não comunicou individualmente os titulares afetados, como seria esperado de acordo com a LGPD em circunstâncias semelhantes, tendo se limitado a publicar um aviso em seu site institucional”, aponta a nota à imprensa.
À reportagem, o Instituto de Saúde e Cidadania afirmou que "registrou ocorrência junto às autoridades competentes" e que "vem prestando todos os esclarecimentos solicitados e colaborando integralmente com o processo de apuração" desde então.
O que acontece depois?
Com o início do processo, a organização social tem dez úteis para apresentar a sua defesa.
As sanções, em caso de condenação, preveem desde advertência a multa de até 2% do faturamento e suspensão ou proibição do exercício de atividades de tratamento de dados pessoais.
A empresa também receberá orientações para regulamentar a situação.
Leia a matéria no Canaltech.