ANPD processa Isac por vazamento de dados de pacientes

A Agência Nacional de Proteção de Dados (ANPD) instaurou um processo de sanção contra o Instituto Saúde e Cidadania (Isac) após um ataque cibernético que vazou dados pessoais de 500 mil pacientes em 2025.
CONTINUA DEPOIS DA PUBLICIDADE
O incidente, ocorrido em janeiro de 2025, expôs informações sensíveis de pacientes em seis estados brasileiros: Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins, onde o Isac gerencia unidades públicas de saúde.
Investigação e Sanções
O processo administrativo sancionador, instaurado pela ANPD, prevê um prazo de dez dias úteis, a contar da data, para que o instituto apresente sua defesa. Caso condenado, o Isac poderá ser orientado sobre como regularizar a situação, conforme o art. 52 da Lei Geral de Proteção de Dados Pessoais (LGPD.
As sanções previstas na LGPD variam desde advertência até multa de até 2% do faturamento, além da possibilidade de suspensão ou proibição do exercício de atividades de tratamento de dados pessoais. A definição da sanção final dependerá da análise do processo pelo Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD.
Foco da Investigação
A investigação da ANPD se concentrará na análise de possíveis infrações à LGPD, especialmente no que diz respeito à falta de medidas de segurança adequadas, à não comunicação aos pacientes afetados e ao descumprimento dos princípios de prevenção e prestação de contas.
Leia também
CONTINUA DEPOIS DA PUBLICIDADE
O órgão também examinará a alegação do Isac de que o ataque cibernético afetou apenas informações administrativas e dados de contratos encerrados, uma alegação que não foi comprovada.
Críticas à Comunicação do Isac
A ANPD criticou a comunicação do Isac sobre o incidente, considerando – a insuficiente e inadequada. A agência ressaltou que o instituto não comunicou individualmente e de forma adequada os pacientes afetados, nem forneceu informações sobre a data do incidente, a natureza dos dados expostos e as medidas adotadas.
A comunicação da organização também não incluiu a apresentação de um embasamento técnico que comprovasse suas alegações, mesmo após questionamentos da ANPD, o que comprometeu a verificação e eficiência das medidas corretivas.
Resposta do Isac
Em nota à CNN Brasil, o Isac afirmou que o incidente cibernético não resultou em vazamento de dados de pacientes. O instituto justificou que o ataque foi do tipo ransomware, que causou a indisponibilidade temporária de sistemas administrativos, mas que os sistemas foram recuperados a partir de cópias de segurança, sem perda de informações.
O Isac também alegou ter comunicado espontaneamente o ocorrido à ANPD, registrado ocorrência junto às autoridades competentes e divulgado comunicado público em seus canais oficiais, além de ter promovido o fortalecimento de seus controles de segurança da informação.
Próximos Passos
A investigação da ANPD ainda está em andamento e o processo administrativo sancionador permanece em fase de análise. Até o momento, nenhuma penalidade ou sanção foi aplicada ao Instituto.
O Isac reafirma seu compromisso com a proteção de dados pessoais, a transparência institucional e o cumprimento da legislação vigente.
Autor(a):
redacao
Responsável pela produção, revisão e publicação de matérias jornalísticas no portal, com foco em qualidade editorial, veracidade das informações e atualizações em tempo real.


