Publicado em 08/07/2026
BRASÍLIA – A Agência Nacional de Proteção de Dados (ANPD) instaurou um processo de sanção contra uma organização social (OS) que atua na administração de unidades de saúde em vários Estados do País pelo acesso indevido a informações de cerca de 500 mil pacientes em um sequestro de dados durante um ataque hacker no ano passado. A ANPD investiga falhas do Instituto Saúde e Cidadania (Isac) na proteção dos dados dos pacientes.
Entre as informações sensíveis estão: dados pessoais dos pacientes, como nome e data de nascimento, mas também históricos de exames, prontuários médicos, diagnósticos, entre outros.
A organização social é responsável por prestar serviço nos Estados de Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins. Dentre os registros afetados, 78.772 pertencem a crianças e adolescentes e 47.921 a idosos.
Em nota, o Isac afirmou que não houve vazamento de dados e que o ataque cibernético resultou em indisponibilidade temporária dos sistemas. Segundo a empresa, análises “não identificaram evidências de extração, exfiltração ou divulgação indevida de dados pessoais.” (leia mais abaixo)
Conforme a ANPD, as apurações prévias demonstram que o Isac não tinha salvaguardas para manter os dados seguros e não adotou procedimentos adequados após o vazamento de informações, como informar adequadamente os usuários sobre o incidente.
“Quem está lidando com dados de saúde tem que adotar o modelo mais rigoroso possível de segurança da informação. Numa escala de risco para nós, dados de saúde são provavelmente uma das escalas mais altas, talvez no mesmo modelo que a gente imagina para o setor financeiro“, afirma ao Estadão o superintendente de Fiscalização da ANPD, Fabrício Guimarães.
ESTADÃO

