
A Agência Nacional de Proteção de Dados (ANPD) abriu um processo administrativo sancionador contra o Instituto Saúde e Cidadania (ISAC), responsável pela gestão de unidades públicas de saúde em Alagoas e outros seis estados, após um ataque cibernético registrado em 2025 que pode ter comprometido dados pessoais de cerca de 500 mil pacientes.
A investigação federal apura possíveis falhas na proteção de informações sensíveis, na comunicação aos pacientes afetados e no cumprimento das exigências previstas na Lei Geral de Proteção de Dados (LGPD). Entre os registros potencialmente envolvidos estariam dados de identificação, prontuários médicos, exames, prescrições, internações, diagnósticos e histórico de atendimentos.
Segundo a ANPD, aproximadamente 78.772 crianças e adolescentes e outros 47.921 idosos estariam entre os titulares dos dados afetados pelo incidente.
De acordo com a agência, o ataque foi do tipo ransomware, modalidade em que criminosos sequestram sistemas e arquivos por meio da criptografia dos dados, tornando-os temporariamente inacessíveis.
Além de investigar as medidas de segurança adotadas pelo instituto, a ANPD aponta que o ISAC pode ter descumprido obrigações previstas na LGPD ao deixar de comunicar de forma adequada os pacientes atingidos.
Conforme o auto de infração, o instituto não informou individualmente os titulares dos dados nem apresentou detalhes considerados obrigatórios, como a data do incidente, a natureza das informações potencialmente comprometidas, o perfil das pessoas afetadas e as providências adotadas para reduzir os impactos do ataque.
A autoridade também afirma que o instituto não apresentou comprovação técnica suficiente para sustentar a alegação de que não havia risco significativo aos pacientes, apesar de sucessivos questionamentos durante a investigação.
O processo ainda analisará possíveis infrações relacionadas à ausência de medidas técnicas e administrativas adequadas para proteger dados pessoais, ao descumprimento dos princípios da prevenção, da responsabilização e da prestação de contas, além da falta de informações sobre o encarregado pelo tratamento de dados pessoais.
Sanções previstas
O Processo Administrativo Sancionador concede prazo de dez dias úteis para que o ISAC apresente defesa.
Ao final da análise, a ANPD poderá aplicar penalidades previstas no artigo 52 da LGPD, que incluem advertência, multa de até 2% do faturamento da instituição, além da suspensão parcial ou até da proibição do tratamento de dados pessoais, dependendo da gravidade das infrações eventualmente comprovadas.
A dosimetria da punição será definida somente após a conclusão da investigação.
ISAC contesta versão da ANPD
Em nota, o Instituto Saúde e Cidadania afirmou que não reconhece que tenha ocorrido vazamento de dados de pacientes.
Segundo o ISAC, o incidente registrado em janeiro de 2025 consistiu em um ataque de ransomware que provocou apenas a indisponibilidade temporária de sistemas administrativos, sem comprometer a assistência prestada nas unidades de saúde.
O instituto informou ainda que comunicou espontaneamente o episódio à ANPD, registrou boletim junto às autoridades competentes e colaborou com todas as etapas da investigação.
Ainda conforme a entidade, análises técnicas realizadas após o ataque não identificaram evidências de extração, exfiltração ou divulgação indevida de dados pessoais. Os sistemas, segundo o instituto, foram restaurados por meio de cópias de segurança, sem perda de informações.
O ISAC destacou também que reforçou seus mecanismos de segurança digital após o incidente e ressaltou que, até o momento, nenhuma penalidade foi aplicada, já que o procedimento administrativo ainda está em fase de apuração.
O Instituto Saúde e Cidadania mantém atuação na gestão de unidades públicas de saúde em Alagoas, além de Goiás, Rio Grande do Sul, Bahia, Piauí e Tocantins.
Até a publicação desta reportagem, a Secretaria de Estado da Saúde de Alagoas (Sesau) não havia se manifestado sobre os impactos da investigação envolvendo o instituto nem informado se acompanha o caso. O espaço permanece aberto para posicionamento oficial.

E-mail: portaltodosegundo@hotmail.com
Telefone: 3420-1621