ANPD abre processo contra organização social por vazamento de dados de 500 mil pacientes

A Agência Nacional de Proteção de Dados (ANPD) instaurou um Processo Administrativo Sancionador contra o Instituto Saúde e Cidadania (ISAC), organização social que administra unidades públicas de saúde em diversos estados, por supostas falhas na proteção de dados de cerca de 500 mil pacientes.

A investigação teve início após um ataque cibernético do tipo ransomware ocorrido em 2025, que expôs informações pessoais e dados sensíveis de saúde, como prontuários, exames, diagnósticos e prescrições médicas. Entre os afetados estão aproximadamente 78,7 mil crianças e adolescentes e 47,9 mil idosos.

De acordo com a agência, além das falhas de segurança, o ISAC não teria comunicado adequadamente os pacientes atingidos pelo incidente nem apresentado evidências que comprovem que o impacto do ataque foi limitado, como sustentou durante a apuração. A ANPD também identificou possíveis irregularidades no cumprimento de obrigações previstas pela Lei Geral de Proteção de Dados (LGPD).

O instituto terá dez dias úteis para apresentar defesa. Se forem confirmadas as infrações, às sanções previstas na LGPD podem variar de advertência até multa de 2% do faturamento, além de outras penalidades relacionadas ao tratamento de dados pessoais.