ANPD abre processo por vazamento de dados de pacientes
Lawletter

PROTEÇÃO DE DADOS

ANPD abre processo sancionador contra organização social após vazamento de dados de 500 mil pacientes

A ANPD instaurou processo sancionador contra o Instituto Saúde e Cidadania por falhas na proteção de dados de cerca de 500 mil pacientes após ataque de ransomware em 2025. Não há sanção definida ainda.

Por Redação LawLetter 10/07/2026 11:32
ANPD abre processo sancionador contra organização social após vazamento de dados de 500 mil pacientes
Créditos da imagem: ANPD

O que a ANPD investiga

A ANPD abriu processo administrativo sancionador contra o Instituto Saúde e Cidadania, organização social com sede em Brasília que atua na gestão de unidades públicas de saúde em estados como Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins. A apuração investiga falhas na proteção de dados pessoais sensíveis de cerca de 500 mil pacientes, além de falhas na comunicação às pessoas afetadas e na adoção de medidas de segurança. O caso decorre de um incidente ocorrido em 2025 e comunicado pela própria entidade à agência.

O ataque e os dados atingidos

O incidente foi um ataque cibernético de ransomware, no qual os dados são bloqueados e tornados inacessíveis. Segundo a instituição, cerca de 500 mil registros foram afetados, dos quais aproximadamente 78.772 seriam de crianças e adolescentes e 47.921 de idosos. Os registros continham dados de identificação, como nome e data de nascimento, e dados sensíveis de saúde, como histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações, diagnósticos e procedimentos.

As possíveis infrações à LGPD

A ANPD apura se, em razão do incidente, houve infrações à Lei Geral de Proteção de Dados relacionadas à não adoção de medidas de segurança técnicas e administrativas, à comunicação inadequada às pessoas afetadas, à falta de informação sobre o encarregado pelo tratamento de dados e ao descumprimento dos princípios da prevenção e da responsabilização e prestação de contas.

Questionado sobre o impacto do incidente, o Isac alegou que não haveria risco ou dano relevante aos titulares, sustentando que os invasores teriam acessado apenas informações administrativas e bancos de dados de contratos já encerrados, mas não apresentou comprovação. A agência apurou ainda que a entidade não comunicou individualmente os titulares afetados, tendo se limitado a publicar um aviso em seu site. Para a ANPD, essa comunicação foi insuficiente, porque não informava a data do incidente, a natureza dos dados e das pessoas atingidas nem as medidas adotadas antes e depois do ataque, itens exigidos pela LGPD e pela regulamentação sobre Comunicação de Incidentes de Segurança.

Conforme o auto de infração, a entidade não apresentou evidências técnicas para comprovar suas alegações mesmo após reiterados questionamentos, o que comprometeu a verificação das medidas corretivas. A ANPD também identificou que o Isac não disponibiliza em seu portal as informações sobre o encarregado pelo tratamento de dados.

Prazos e sanções possíveis

O processo prevê prazo de dez dias úteis, a contar da intimação, para a apresentação de defesa. As sanções previstas no artigo 52 da LGPD vão de advertência a multa de até 2% do faturamento, além de suspensão ou proibição das atividades de tratamento de dados. A penalidade eventualmente aplicada será definida ao final da análise, conforme o regulamento de dosimetria da agência. Em caso de condenação, a entidade também será orientada sobre como regularizar a situação.

Fonte: Agência Nacional de Proteção de Dados (ANPD).

Compartilhe esta matéria

Comentários (0)

Seja o primeiro a comentar!

Deixe seu comentário

Seu e-mail não será publicado.

Máx. 2000 caracteres 0 / 2000