ANPD abre processo contra Instituto Saúde e Cidadania por vazamento de dados
A ANPD instaurou processo contra o ISAC por falhas na proteção de dados de cerca de 500 mil pacientes após ataque de ransomware em 2025. A investigação apura medidas de segurança insuficientes e comunicação inadequada aos titulares dos dados.
Jean Oliveira, Especialista em Cibersegurança / CyberProtec
7/10/2026
A Agência Nacional de Proteção de Dados (ANPD) instaurou, em 8 de julho de 2026, um processo de sanção contra o Instituto Saúde e Cidadania (ISAC), organização social que administra unidades públicas de saúde em Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins. O processo decorre de um ataque de ransomware ocorrido em janeiro de 2025, relacionado a um incidente investigado pela ANPD por possível comprometimento de dados de cerca de 500 mil pacientes. Entre os registros envolvidos, aproximadamente 78.772 seriam de crianças e adolescentes e 47.921 de idosos.
Segundo a ANPD, os registros abrangem informações pessoais, como nome e data de nascimento, além de dados sensíveis de saúde, incluindo histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados. A autoridade investiga possíveis infrações à Lei Geral de Proteção de Dados (LGPD), envolvendo medidas de segurança, comunicação aos titulares dos dados e cumprimento dos princípios de prevenção e responsabilização. O ISAC informou que os invasores teriam acessado apenas informações administrativas e dados de contratos já encerrados, afirmando que não há comprovação de vazamento de dados de pacientes.
A ANPD afirma que a entidade não apresentou elementos suficientes para comprovar essa versão e aponta que a comunicação foi insuficiente, limitando-se à publicação de um aviso em seu site, sem detalhar a data do incidente, a natureza dos dados potencialmente afetados ou as medidas adotadas. O ISAC tem dez dias úteis para apresentar defesa. Se condenado, poderá receber multa de até 2% do faturamento anual, além de outras sanções previstas na LGPD.
▌CYBERPROTEC INTELIGÊNCIA
O caso envolvendo o ISAC reforça que a gestão de incidentes não termina quando um ataque é contido. Organizações que tratam dados sensíveis de saúde precisam demonstrar conformidade com a LGPD, manter controles técnicos adequados e comunicar incidentes de forma transparente. O processo da ANPD evidencia que governança, monitoramento contínuo, resposta a incidentes e capacidade de comprovar as medidas adotadas são fatores essenciais para reduzir riscos operacionais, regulatórios e reputacionais. A CyberProtec auxilia empresas na implementação dessas camadas de proteção para fortalecer a segurança e a conformidade de seus ambientes digitais.

CYBERPROTEC LTDA
CNPJ 64.381.517/0001-50
Telefone
info@cyberprotec.site
+55 41 99516-2343
Copyright © 2026 CyberProtec LTDA. Todos os direitos reservados.
Redes sociais
Rua Visconde do Rio Branco 1488, Conj. 909, 9º andar, Centro,
Curitiba - Paraná, 80420-210
