A Autoridade Nacional de Proteção de Dados (ANPD) instaurou um processo administrativo para investigar um grave incidente de segurança envolvendo o Instituto Saúde e Cidadania (Isac), organização social responsável pela gestão de unidades públicas de saúde em diversos estados brasileiros. O caso ganhou repercussão nacional após a constatação de que aproximadamente 500 mil registros de pacientes foram comprometidos em um ataque cibernético ocorrido em 2025. A investigação busca apurar se houve descumprimento da Lei Geral de Proteção de Dados (LGPD) e falhas na proteção das informações pessoais e sensíveis dos usuários do sistema de saúde.
Segundo a ANPD, entre os dados afetados estariam informações de identificação, como nome e data de nascimento, além de dados médicos considerados sensíveis, incluindo prontuários, exames, prescrições, diagnósticos, internações e procedimentos realizados. A agência também investiga se a instituição deixou de comunicar adequadamente os pacientes atingidos e se adotou medidas de segurança suficientes para prevenir o ataque. Entre os registros comprometidos estariam informações de 78.772 crianças e adolescentes e 47.921 idosos, o que aumenta a gravidade do caso.
O incidente teve origem em um ataque do tipo ransomware, modalidade em que criminosos invadem sistemas, criptografam os arquivos e exigem pagamento para restabelecer o acesso aos dados. Em nota, o Isac afirmou que não há evidências técnicas de que tenha ocorrido extração ou divulgação indevida das informações dos pacientes e que o ataque provocou apenas a indisponibilidade temporária de sistemas administrativos. A organização informou ainda que recuperou os sistemas por meio de cópias de segurança e reforçou seus mecanismos de proteção, mas a ANPD continua analisando se as medidas adotadas atenderam às exigências previstas na legislação.
Especialistas alertam que episódios como esse reforçam a necessidade de investimentos contínuos em segurança da informação, principalmente em setores que armazenam dados altamente sensíveis, como o da saúde. Caso sejam confirmadas infrações à LGPD, o Instituto poderá sofrer sanções que vão desde advertências até multas e outras penalidades administrativas. O caso também reacende o debate sobre a proteção da privacidade dos cidadãos e a importância de fortalecer a infraestrutura digital dos serviços públicos para reduzir o risco de novos ataques cibernéticos.


