A ANPD (Autoridade Nacional de Proteção de Dados) instaurou, nesta quarta-feira (8), um processo administrativo contra uma operadora de saúde pelo vazamento de 500 mil registros de pacientes, incluindo crianças e idosos.

O alvo da ação é o Instituto Saúde e Cidadania (Isac), que atua na gestão de unidades públicas de saúde em Goiás, no Rio Grande do Sul, na Bahia, em Alagoas, no Piauí e em Tocantins.

O instituto foi alvo de um ataque cibernético em janeiro de 2025 e não pagou resgate para recuperar o acesso. Na ocasião, foram criptografados arquivos com informações de identificação, como nome e data de nascimento, além de dados pessoais sensíveis de saúde –histórico de exames, prontuários, prescrições, atendimentos amulatoriais, internações e procedimentos realizados.

O Isac confirma o ataque, mas nega o vazamento de dados. "O episódio consistiu em um ataque do tipo ransomware [sequestro de dados], que provocou a indisponibilidade temporária de sistemas administrativos mediante a criptografia de arquivos por agentes criminosos."

O instituto afirma que comunicou o incidente à ANPD, registrou boletim de ocorrência e divulgou comunicado público em seus canais.