
A Agência Nacional de Proteção de Dados (ANPD) instaurou um Processo Administrativo Sancionador contra o Instituto Saúde e Cidadania (ISAC), organização social que administra unidades públicas de saúde em diversos estados, por supostas falhas na proteção de dados de cerca de 500 mil pacientes.
A investigação teve início após um ataque cibernético do tipo ransomware ocorrido em 2025, que expôs informações pessoais e dados sensíveis de saúde, como prontuários, exames, diagnósticos e prescrições médicas. Entre os afetados estão aproximadamente 78,7 mil crianças e adolescentes e 47,9 mil idosos.
De acordo com a agência, além das falhas de segurança, o ISAC não teria comunicado adequadamente os pacientes atingidos pelo incidente nem apresentado evidências que comprovem que o impacto do ataque foi limitado, como sustentou durante a apuração. A ANPD também identificou possíveis irregularidades no cumprimento de obrigações previstas pela Lei Geral de Proteção de Dados (LGPD).
O instituto terá dez dias úteis para apresentar defesa. Se forem confirmadas as infrações, às sanções previstas na LGPD podem variar de advertência até multa de 2% do faturamento, além de outras penalidades relacionadas ao tratamento de dados pessoais.






