Radar do Judiciário

ANPD abre processo contra Isac por vazamento de dados de 500 mil pacientes do SUS

Organização social que administra UPAs e hospitais em seis estados minimizou ataque de ransomware e não avisou individualmente os titulares, aponta autarquia federal.

ANPD abre processo contra Isac por vazamento de dados de 500 mil pacientes do SUS
📷 Divulgação
📋 Em resumo
  • ANPD instaurou Processo Administrativo Sancionador contra o Instituto Saúde e Cidadania (Isac) após ataque de ransomware que expôs dados sensíveis de cerca de 500 mil pacientes do SUS em seis estados
  • Entre os registros comprometidos estão 78.772 de crianças e adolescentes e 47.921 de idosos, incluindo prontuários, diagnósticos e prescrições médicas
  • Isac alegou que só dados administrativos foram acessados, mas não apresentou provas técnicas; comunicação às vítimas se limitou a um aviso genérico no site institucional
  • Instituto pode ser multado em até 2% do faturamento ou R$ 50 milhões, além de suspensão das atividades de tratamento de dados
  • Por que isso importa: o caso expõe a fragilidade cibernética da gestão privada de unidades públicas de saúde no Brasil, num momento em que ataques a hospitais e operadoras cresceram exponencialmente no país.
Compartilhar: WhatsApp X LinkedIn

A Agência Nacional de Proteção de Dados (ANPD) instaurou um Processo Administrativo Sancionador (PAS) contra o Instituto Saúde e Cidadania (Isac), organização social com sede administrativa em Brasília responsável pela gestão de unidades públicas de saúde em Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins. A ação decorre de um ataque de ransomware ocorrido em 2025 que expôs dados sensíveis de cerca de 500 mil pacientes do Sistema Único de Saúde (SUS), incluindo prontuários médicos, diagnósticos e prescrições.

O caso, divulgado nesta quarta-feira (8), reacende o debate sobre a segurança digital de organizações sociais que operam serviços públicos essenciais sob contratos de gestão com estados e municípios — um modelo cada vez mais comum na saúde pública brasileira, mas com fiscalização técnica muitas vezes limitada.

O que a investigação da ANPD apurou

A ANPD investiga se, em razão desse incidente de segurança, foram cometidas infrações à Lei Geral de Proteção de Dados Pessoais (LGPD) relacionadas à não adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais; à não comunicação, de maneira adequada, às pessoas afetadas pelo incidente; à não disponibilização de informações relativas ao encarregado pelo tratamento de dados pessoais e ao descumprimento aos princípios da prevenção e da responsabilização e prestação de contas. A autarquia também constatou que o Isac não disponibiliza, em seu portal, informações sobre o encarregado pelo tratamento de dados pessoais, conforme exige a LGPD.

📰 Leia também

Segundo o auto de infração, o Isac não apresentou evidências técnicas que comprovassem suas alegações mesmo após reiterados questionamentos da ANPD, o que comprometeu a verificação da efetiva adoção de medidas corretivas.

"Para a ANPD, essa comunicação foi insuficiente, pois não informava a data do incidente, a natureza dos dados e das pessoas afetadas, nem as medidas adotadas antes e depois do ataque — itens exigidos pela LGPD e pela regulamentação específica da Agência sobre Comunicação de Incidentes de Segurança", afirmou o superintendente de Fiscalização da ANPD, Fabrício Guimarães, conforme nota divulgada pela agência.

A versão do Isac e as contradições apontadas pela agência

Ao ser questionado pela ANPD sobre o real impacto do vazamento, o Isac alegou que não haveria risco ou dano relevante aos titulares, argumentando que os invasores teriam acessado apenas informações administrativas e bancos de dados referentes a contratos já encerrados. No entanto, a entidade não apresentou comprovação para essa afirmação.

📰
Gostou do que está lendo?Assine o Painel Político e acesse todo o conteúdo exclusivo — análises, bastidores e o jornalismo que vai fundo no poder.
Assinar por R$19/mêsJá sou assinante

A autarquia também apurou que o Isac não comunicou individualmente os titulares afetados, como seria esperado de acordo com a LGPD em circunstâncias semelhantes, tendo se limitado a publicar um aviso em seu site institucional, sem detalhar data do incidente, natureza dos dados expostos ou medidas de mitigação adotadas.

Em nota enviada à imprensa após a instauração do processo, o instituto adotou postura diferente da apresentada à ANPD durante a apuração. O Isac negou que tenha ocorrido vazamento de informações, informando que o ataque provocou apenas indisponibilidade temporária dos sistemas, recuperados por meio de cópias de segurança, e que análises técnicas não identificaram evidências de extração, exfiltração ou divulgação indevida de dados pessoais. Procurado por veículos de imprensa após a divulgação do PAS, o instituto não se manifestou sobre o processo de sanção até o momento da publicação das reportagens.

O tamanho do vazamento: crianças, idosos e diagnósticos expostos

O volume de dados potencialmente comprometidos amplia a gravidade do caso sob a ótica da LGPD, que classifica informações de saúde como dados pessoais sensíveis. O vazamento expôs dados pessoais e sensíveis de saúde de aproximadamente 500 mil pessoas, sendo 78.772 crianças e adolescentes, e 47.921 idosos.

Além dos dados cadastrais básicos, os registros continham dados pessoais de identificação (como nome e data de nascimento) e dados pessoais sensíveis de saúde (histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados). A exposição desse tipo de informação levanta risco de discriminação, fraudes em planos de saúde e uso indevido por terceiros — preocupação central da regulação de dados sensíveis em qualquer país.

Em Alagoas, um dos seis estados atendidos pelo Isac, a repercussão levou a Prefeitura de Maceió a se manifestar publicamente. O município informou que não houve vazamento de dados de pacientes das Unidades de Pronto Atendimento (UPAs) administradas pelo instituto, afirmando que, em 2025, ocorreu apenas uma tentativa de ataque cibernético, sem sucesso, e reforçando que a segurança das informações permanece protegida em conformidade com a LGPD. A divergência entre o relato municipal e as conclusões da ANPD ilustra a dificuldade de rastrear com precisão o alcance real de incidentes desse tipo quando a comunicação da entidade responsável é falha.

Saúde no centro da mira dos cibercriminosos no Brasil

O episódio do Isac não é isolado. O setor de saúde brasileiro tem se tornado alvo crescente de ataques cibernéticos nos últimos anos. Levantamento da Kaspersky mostra que o número de tentativas de ataques de ransomware ao setor de saúde no Brasil saltou de 6,5 mil em 2023 para 16 mil em 2024, representando um aumento de 146%, com o setor passando a ocupar o terceiro lugar no ranking dos mais atacados no país.

Casos anteriores reforçam o padrão de vulnerabilidade. Em 2024, o Instituto Nacional de Câncer (INCA) foi vítima de um ataque cibernético que suspendeu sessões de radioterapia, afetando centenas de pacientes. Também houve o ataque à operadora de saúde Unimed, que resultou no vazamento de dados sensíveis de milhões de beneficiários. Especialistas apontam que a pressão operacional do setor contribui para a fragilidade cibernética: a alta pressão operacional enfrentada pelo setor contribui para a redução da vigilância em segurança cibernética, já que profissionais de saúde, frequentemente sobrecarregados, podem negligenciar procedimentos básicos de segurança.

Quais penalidades o Isac pode enfrentar

Com a instauração do PAS, o Processo Administrativo Sancionador prevê prazo de dez dias úteis, a contar da intimação, para apresentação da defesa. Caso as irregularidades sejam confirmadas ao final da instrução, as sanções previstas no artigo 52 da LGPD vão desde advertência a multa de até 2% do faturamento e suspensão ou proibição do exercício de atividades de tratamento de dados pessoais. Em termos absolutos, reportagens sobre o caso mencionam que o instituto poderá sofrer sanções que vão de advertência à aplicação de multa de até R$ 50 milhões, além de outras penalidades previstas na LGPD.

A definição da penalidade, no entanto, não é automática. A sanção a ser eventualmente aplicada será definida ao final da análise do processo, conforme o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD — o que pode levar meses até uma decisão final, considerando o histórico de outros processos sancionadores da agência desde sua criação em 2018.

O caso Isac chega em um momento de amadurecimento institucional da ANPD, que tem intensificado a fiscalização de organizações que tratam dados sensíveis de saúde em larga escala — sejam elas públicas, privadas ou, como no caso em questão, organizações sociais que operam na fronteira entre os dois mundos. A pergunta que fica é se a régua regulatória aplicada a essas entidades híbridas, que gerem serviços públicos com governança privada, será suficiente para induzir investimentos reais em cibersegurança ou se casos como este continuarão a se repetir sob a defesa recorrente de que "não houve risco relevante" aos pacientes.

Versão em áudio disponível no topo do post.

💬 Comentários

Carregando comentários…

#painelpolitico #ANPD #LGPD #saudepublica #cibersegurança