Resumo curto: a ANPD abriu um Processo Administrativo Sancionador contra o Instituto Saúde e Cidadania (Isac) por supostas falhas na proteção de dados de cerca de 500 mil pacientes após ataque de ransomware em 2025, envolvendo LGPD, comunicação de incidentes e a ausência de informações sobre o encarregado pelo tratamento de dados.
O incidente atingiu aproximadamente 500 mil registros, incluindo 78.772 crianças e adolescentes e 47.921 idosos. Entre os dados estavam informações de identificação (nome, data de nascimento) e dados de saúde sensíveis, como histórico de exames, prontuários, prescrições, atendimentos, internações, diagnósticos e procedimentos.
A Isac afirma que não houve risco relevante, alegando que invasores teriam acessado apenas informações administrativas e contratos encerrados. A ANPD, porém, sustenta que não foram apresentadas evidências técnicas que comprovassem essa versão.
A ANPD também aponta falhas na comunicação do incidente: os pacientes não foram avisados individualmente, e sim apenas com um aviso no site institucional. A necessidade de uma comunicação de incidentes de segurança (CIS) não foi atendida de forma adequada.
O superintendente de Fiscalização, Fabrício Guimarães, avaliou que a comunicação foi insuficiente por não informar a data do incidente, a natureza dos dados expostos, quem foi afetado e quais medidas foram tomadas antes e depois do ataque. A agência também mencionou a ausência de evidências técnicas das medidas corretivas e a falta de informações sobre o encarregado pelo tratamento de dados no portal da instituição.
O Isac terá dez dias úteis, contados a partir da intimação, para apresentar defesa. Em caso de condenação, as penalidades vão desde advertência até multa de até 2% do faturamento, além da possibilidade de suspensão parcial ou total do tratamento de dados. O desfecho será definido ao fim do processo, conforme o Regulamento de Dosimetria e Aplicação de Sanções da ANPD.
O processo traz o número 00261.003381/2026-55 e fica disponível para consulta pública no Sistema Eletrônico de Informações (SEI).
E você, qual a sua opinião sobre a forma como órgãos e organizações tratam incidentes de segurança e proteção de dados sensíveis? Compartilhe seus pensamentos nos comentários.

