Nesta quarta-feira (8), a Agência Nacional de Proteção de Dados (ANPD) deu início a um procedimento administrativo sancionatório contra o Instituto de Saúde e Cidadania (ISAC). A medida foi tomada em decorrência de uma invasão virtual que bloqueou as informações de meio milhão de pacientes da instituição, que gerencia postos e hospitais públicos em estados como Alagoas, Bahia, Goiás, Piauí, Rio Grande do Sul e Tocantins.
O caso atual é um desdobramento do crime cibernético sofrido e reportado pela entidade em 2025. Na época, a organização foi vítima de um ransomware — modalidade de ataque na qual criminosos criptografam os arquivos e exigem uma quantia em dinheiro para liberar o acesso ou para não divulgar o conteúdo na internet.
O incidente comprometeu os registros de 500 mil pessoas, incluindo cerca de 78,7 mil perfis de menores de idade e 47,9 mil de idosos. De acordo com o órgão de fiscalização, a violação abrangeu dados cadastrais básicos (como nomes e datas de nascimento) e registros médicos altamente confidenciais, a exemplo de prontuários, exames, receitas, históricos de internação e diagnósticos.
Contraponto da instituição
Em declaração ao Canaltech, o ISAC assegurou que o episódio não gerou a exposição pública de nenhuma informação e que o atendimento à população não foi prejudicado.
“As perícias tecnológicas feitas no período do ocorrido não apontaram indícios de cópia, roubo ou publicação indevida de dados privados. Os servidores impactados foram restabelecidos por meio de backups da própria instituição, sem nenhum prejuízo ao acervo de dados”, garantiu a entidade.
A organização também informou ter divulgado uma nota oficial em sua página na internet e ressaltou que intensificou suas barreiras digitais para otimizar os sistemas de vigilância, defesa e contenção de riscos.

ISAC comunica incidente em seu site (Imagem: Captura de tela/Canaltech)
Os motivos da autuação
A apuração conduzida pela ANPD busca avaliar se o instituto desrespeitou as diretrizes da Lei Geral de Proteção de Dados (LGPD) em quatro pontos centrais:
- Falta de barreiras técnicas e administrativas eficientes para resguardar as informações;
- Falha no aviso direcionado aos cidadãos prejudicados;
- Ocultação ou falta de dados sobre o responsável pelo tratamento de dados da empresa;
- Descumprimento das normas de prevenção e de dever de prestar contas.
Ao ser questionado sobre a gravidade da vulnerabilidade, o instituto argumentou que o evento não oferecia perigo real aos pacientes, alegando que os criminosos teriam acessado apenas pastas administrativas ligadas a contratos já finalizados. Contudo, a autoridade de proteção de dados destacou que a entidade não exibiu provas que sustentassem essa justificativa.
A agência também criticou o fato de o ISAC não ter notificado individualmente cada uma das vítimas, optando apenas por colocar um comunicado geral em seu portal — conduta que diverge do recomendado pela legislação para cenários dessa magnitude.
Por sua vez, o Instituto de Saúde e Cidadania reforçou que notificou os órgãos policiais na época e que continua prestando o suporte necessário e respondendo a todas as demandas da fiscalização.
Próximos passos
A partir de agora, a entidade dispõe de um prazo de dez dias úteis para protocolar sua contestação formal.
Caso seja considerada culpada ao término do processo, as penalidades aplicadas podem variar de simples advertências a multas financeiras de até 2% de suas receitas, podendo chegar ao bloqueio parcial ou total de suas operações que envolvam o manejo de dados. O órgão regulador também emitirá diretrizes para que a instituição regularize suas pendências.





