Instituto é investigado por falha na proteção de dados de usuários de unidades públicas de saúde na Bahia e outros cinco estados — Foto: Agência Nacional de Proteção de Dados

A Agência Nacional de Proteção de Dados (ANPD) instaurou um inquérito para apurar uma possível falha na proteção de dados sensíveis pelo Instituto Saúde e Cidadania (Isac). A entidade é responsável por gerir unidades públicas de saúde na Bahia, Goiás, Rio Grande do Sul, Alagoas, Piauí e Tocantins.

Conforme informações da ANPD, publicadas nesta quarta-feira (8), o instituto é uma organização social com sede administrativa em Brasília e sofreu um ataque cibernético de ransomware — que consiste em um software malicioso que invade sistemas e criptografa arquivos. Esse tipo de ataque leva ao sequestro de dados e os torna inacessíveis.

Ao menos 500 mil registros foram afetados e, entre eles, 78.772 seriam de crianças e adolescentes, enquanto outros 47.921 seriam de idosos. Além de informações pessoais como nome e data de nascimento, os registros tinham dados sensíveis de saúde, como:

  • histórico de exames;
  • prontuários;
  • prescrições;
  • atendimentos ambulatoriais;
  • internações;
  • diagnósticos;
  • procedimentos realizados.


A ANPD investiga a razão para o incidente de segurança e averigua se foram cometidas infrações à Lei Geral de Proteção de Dados Pessoais (LGPD) relacionadas à não adoção de medidas de segurança para proteger os dados pessoais dos usuários. A agência também analisa a não comunicação adequada dos usuários afetados por parte do instituto, bem como:

a não disponibilização de informações relativas ao responsável pelo tratamento de dados pessoais;

  • e o descumprimento dos princípios de prevenção, responsabilização e prestação de contas.

Ainda de acordo com a ANPD, o Isac informou que o incidente não apresentou risco ou dano relevante aos titulares, pontuando que os invasores teriam acessado apenas informações administrativas e dados de contratos já encerrados. Porém, a entidade não apresentou comprovação para o argumento.

A agência apurou ainda que os usuários não foram comunicados individualmente pela unidade, publicando apenas um aviso no site institucional.

Em nota enviada ao g1, o Isac detalhou que o ataque cibernético aconteceu em janeiro de 2025 e que comunicou a ANPD espontaneamente. O instituto detalhou que as análises técnicas da época não identificaram evidências de extração, exfiltração ou divulgação indevida de dados pessoais.

O Isac afirmou que não reconhece a afirmação de que houve vazamento de dados de pacientes decorrente do incidente. "Após o ocorrido, o ISAC promoveu o fortalecimento adicional de seus controles de segurança da informação, ampliando mecanismos de proteção, monitoramento e resposta a incidentes cibernéticos", pontua. (Confira a nota do instituto na íntegra no final da reportagem)

O órgão analisa que a comunicação foi insuficiente. O Processo Administrativo Sancionador (PAS) instaurado pela ANPD determina um prazo de 10 dias para que o órgão apresente uma defesa. Se condenado, além da sanção, o instituto será orientado a regularizar a situação.

As sanções previstas no processo podem ser: advertência ou multa de até 2% do faturamento e suspensão ou proibição do exercício de atividades de tratamento de dados pessoais.

Confira a nota do Instituto Saúde e Cidadania:

"Posicionamento Oficial – Instituto Saúde e Cidadania (ISAC)

Brasília-DF, 6 de julho de 2026

O Instituto Saúde e Cidadania (ISAC) esclarece que o incidente cibernético ocorrido em janeiro de 2025 não resultou em vazamento de dados de pacientes.

O episódio consistiu em um ataque do tipo ransomware, que provocou a indisponibilidade temporária de sistemas administrativos mediante a criptografia de arquivos por agentes criminosos. O incidente não afetou a assistência prestada aos pacientes nem o funcionamento das unidades de saúde sob gestão do Instituto.

O ISAC comunicou espontaneamente o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD), registrou ocorrência junto às autoridades competentes e divulgou comunicado público em seus canais oficiais. Desde então, vem prestando todos os esclarecimentos solicitados e colaborando integralmente com o processo de apuração.

As análises técnicas realizadas à época do incidente não identificaram evidências de extração, exfiltração ou divulgação indevida de dados pessoais. Os sistemas afetados foram recuperados a partir de cópias de segurança mantidas pela instituição, sem perda de informações.

Por esse motivo, o Instituto não reconhece como correta a afirmação de que houve vazamento de dados de pacientes decorrente do referido incidente.

Após o ocorrido, o ISAC promoveu o fortalecimento adicional de seus controles de segurança da informação, ampliando mecanismos de proteção, monitoramento e resposta a incidentes cibernéticos.

O procedimento administrativo instaurado pela ANPD permanece em fase de análise. Até o momento, não foi aplicada qualquer penalidade ou sanção ao Instituto.

O ISAC reafirma seu compromisso com a proteção de dados pessoais, a transparência institucional e o cumprimento da legislação vigente.

Assessoria de Imprensa

Instituto Saúde e Cidadania (ISAC)"

Fonte:G1