Pacientes de 3 UPAs de Maceió têm dados vazados em ataque cibernético que afetou 500 mil pessoas em 6 estados

Publicado em 08/07/2026, às 13h28
- Foto: Reprodução/Agência Brasil

TNH1 com informações da ANPD

Ler resumo da notícia

Dados de pacientes atendidos Unidades de Pronto Atendimento (UPAs) de Maceió estão entre os registros afetados por um ataque cibernético sofrido pelo Instituto Saúde e Cidadania (Isac). A instituição, responsável pela gestão de unidades públicas de saúde em Alagoas e outros  6 estados, passou a ser investigada pela Agência Nacional de Proteção de Dados (ANPD) por suspeitas de falhas na segurança e na comunicação do incidente.

LEIA TAMBÉM

Somente na capital alagoana, o Isac administra as UPAs Benedito Bentes, Trapiche da Barra e Santa Lúcia. As três unidades estão entre os serviços de saúde gerenciados pela organização que podem ter registros de dados vazados. 

Segundo as investigações, o caso ocorreu em 2025 e envolveu um ataque de ransomware, modalidade em que dados são sequestrados e ficam inacessíveis. O Instituto informou que aproximadamente 500 mil registros podem ter sido afetados em todo o país — aproximadamente 78.772 seriam de crianças e adolescentes e 47.921 de idosos. 

Os dados vazados incluem informações de identificação e dados de saúde, como prontuários, exames, prescrições, diagnósticos e procedimentos realizados. 


ANPD aponta falhas na segurança de dados 

De acordo com ANPD, o Instituto Saúde e Cidadania (Isac) é investigado por possíveis infrações à Lei Geral de Proteção de Dados Pessoais (LGPD). Entre as falhas apontadas estão a falta de medidas de segurança adequadas para proteger os dados pessoais, a comunicação considerada insuficiente às pessoas afetadas pelo incidente, a ausência de informações sobre o responsável pelo tratamento dos dados e o descumprimento dos princípios de prevenção, responsabilização e prestação de contas previstos na legislação.

Ao ser questionado sobre o real impacto do incidente, o Isac alegou que não haveria risco ou dano relevante aos titulares, argumentando que os invasores teriam acessado apenas informações administrativas e bancos de dados referentes a contratos já encerrados. No entanto, a entidade não apresentou comprovação para essa afirmação. 

A Agência ainda apurou que o Isac não teria comunicado individualmente os titulares afetados, como seria esperado de acordo com a LGPD em circunstâncias semelhantes, tendo se limitado a publicar um aviso em seu site institucional. 

Em nota (veja abaixo), o Instituto Saúde e Cidadania (ISAC) disse que comunicou de forma espontanea o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD), registrou ocorrência junto às autoridades competentes e divulgou comunicado público em seus canais oficiais.

Posicionamento Oficial – Instituto Saúde e Cidadania (ISAC) - Brasília-DF, 6 de julho de 2026

O Instituto Saúde e Cidadania (ISAC) esclarece que o incidente cibernético ocorrido em janeiro de 2025 não resultou em vazamento de dados de pacientes. O episódio consistiu em um ataque do tipo ransomware, que provocou a indisponibilidade temporária de sistemas administrativos mediante a criptografia de arquivos por agentes criminosos.

O incidente não afetou a assistência prestada aos pacientes nem o funcionamento das unidades de saúde sob gestão do Instituto. O ISAC comunicou espontaneamente o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD) , registrou ocorrência junto às autoridades competentes e divulgou comunicado público em seus canais oficiais.

Desde então, vem prestando todos os esclarecimentos solicitados e colaborando integralmente com o processo de apuração. As análises técnicas realizadas à época do incidente não identificaram evidências de extração, exfiltração ou divulgação indevida de dados pessoais.

Os sistemas afetados foram recuperados a partir de cópias de segurança mantidas pela instituição, sem perda de informações. Por esse motivo, o Instituto não reconhece como correta a afirmação de que houve vazamento de dados de pacientes decorrente do referido incidente.

Após o ocorrido, o ISAC promoveu o fortalecimento adicional de seus controles de segurança da informação, ampliando mecanismos de proteção, monitoramento e resposta a incidentes cibernéticos. O procedimento administrativo instaurado pela ANPD permanece em fase de análise. Até o momento, não foi aplicada qualquer penalidade ou sanção ao Instituto.

O ISAC reafirma seu compromisso com a proteção de dados pessoais, a transparência institucional e o cumprimento da legislação vigente.

Assessoria de Imprensa Instituto Saúde e Cidadania (ISAC).

Gostou? Compartilhe

LEIA MAIS

Fiscalização ambiental resulta em autuação e 11 notificações a estabelecimentos Congresso Internacional Cendovascular abre inscrições para evento sobre tratamento de feridas em Alagoas Estudantes da rede pública de Maceió retornaram às aulas nesta terça (7) Sob risco de perder matrículas, alunos da Uncisal protestam no Centro de Maceió