Instituto que administra unidades de saúde em Araguaína é investigado por falhas na proteção de dados de pacientes
08 julho 2026 às 07h38

COMPARTILHAR
A Agência Nacional de Proteção de Dados (ANPD) instaurou um processo administrativo sancionador para apurar possíveis falhas do Instituto Saúde e Cidadania (Isac) na proteção de dados pessoais de pacientes após um ataque cibernético registrado no ano passado. A organização social administra unidades de saúde em diversos estados, entre eles o Tocantins, onde é responsável pela gestão de serviços em Araguaína.
Segundo a ANPD, o incidente envolveu aproximadamente 500 mil registros de pacientes. Entre as informações potencialmente afetadas estão dados pessoais, como nome e data de nascimento, além de prontuários médicos, exames, diagnósticos e outros dados classificados como sensíveis pela Lei Geral de Proteção de Dados (LGPD). Do total de registros, 78.772 pertencem a crianças e adolescentes e 47.921 a idosos.
O procedimento foi aberto após análises preliminares apontarem indícios de fragilidades na estrutura de segurança da informação do instituto. Conforme a autoridade, o Isac não teria adotado medidas técnicas adequadas para proteger os dados e também teria apresentado falhas na comunicação aos titulares das informações após o incidente.
De acordo com o processo, o ataque foi do tipo ransomware, modalidade em que criminosos sequestram sistemas e dados para exigir pagamento pelo restabelecimento do acesso. Os invasores teriam comprometido tanto os arquivos originais quanto os backups armazenados em servidores na nuvem, tornando os sistemas indisponíveis temporariamente.
A ANPD também aponta que o instituto não possuía mecanismos considerados básicos de monitoramento, como registros automáticos de atividades (logs), ferramenta que permite rastrear acessos e identificar ações realizadas dentro dos sistemas em casos de incidentes de segurança.
Com a instauração do processo administrativo, o Isac terá prazo de dez dias para apresentar defesa. Ao fim da apuração, caso sejam confirmadas irregularidades, as penalidades podem variar de advertência à aplicação de multas de até 2% do faturamento da instituição, limitadas a R$ 50 milhões, além da possibilidade de restrições ao tratamento de dados pessoais.
Em nota, o Instituto Saúde e Cidadania afirmou que o ataque cibernético provocou apenas a indisponibilidade temporária dos sistemas e negou que tenha ocorrido vazamento de dados de pacientes. Segundo a organização, análises técnicas realizadas após o incidente não identificaram evidências de extração, exfiltração ou divulgação indevida das informações.
O Isac informou ainda que os sistemas foram restaurados por meio de cópias de segurança, sem perda de informações, e que comunicou espontaneamente o caso à ANPD. A instituição também afirma ter reforçado seus mecanismos de segurança, ampliando o monitoramento e a capacidade de resposta a incidentes cibernéticos.
No Tocantins, o Isac administra quatro unidades de saúde em Araguaína, entre elas hospital, Unidade de Pronto Atendimento (UPA), ambulatório e pronto atendimento. Procurada, a Prefeitura de Araguaína informou que não foi notificada sobre eventual vazamento de dados envolvendo pacientes atendidos nas unidades geridas pelo instituto.
O município afirmou que, caso seja comprovado qualquer comprometimento das informações, adotará as medidas administrativas e legais cabíveis para apurar responsabilidades e garantir a proteção dos dados dos usuários, reafirmando o compromisso com o cumprimento da Lei Geral de Proteção de Dados.
*Com informações do Estadão
