Um ataque cibernético ao Instituto Saúde e Cidadania (Isac) comprometeu dados de pacientes em Maceió, levando a uma investigação da Agência Nacional de Proteção de Dados (ANPD) por possíveis falhas de segurança e comunicação inadequada do incidente.
Cerca de 500 mil registros podem ter sido afetados, incluindo informações sensíveis de crianças, adolescentes e idosos, com a ANPD apontando infrações à Lei Geral de Proteção de Dados (LGPD) por parte do Isac.
O Isac afirmou que não houve vazamento de dados e que os sistemas foram recuperados sem perda de informações, além de ter implementado medidas adicionais de segurança; a investigação da ANPD continua sem penalidades até o momento.
Dados de pacientes atendidos Unidades de Pronto Atendimento (UPAs) de Maceió estão entre os registros afetados por um ataque cibernético sofrido pelo Instituto Saúde e Cidadania (Isac). A instituição, responsável pela gestão de unidades públicas de saúde em Alagoas e outros 6 estados, passou a ser investigada pela Agência Nacional de Proteção de Dados (ANPD) por suspeitas de falhas na segurança e na comunicação do incidente.
LEIA TAMBÉM
Somente na capital alagoana, o Isac administra as UPAs Benedito Bentes, Trapiche da Barra e Santa Lúcia. As três unidades estão entre os serviços de saúde gerenciados pela organização que podem ter registros de dados vazados.
Segundo as investigações, o caso ocorreu em 2025 e envolveu um ataque de ransomware, modalidade em que dados são sequestrados e ficam inacessíveis. O Instituto informou que aproximadamente 500 mil registros podem ter sido afetados em todo o país — aproximadamente 78.772 seriam de crianças e adolescentes e 47.921 de idosos.
Os dados vazados incluem informações de identificação e dados de saúde, como prontuários, exames, prescrições, diagnósticos e procedimentos realizados.
ANPD aponta falhas na segurança de dados
De acordo com ANPD, o Instituto Saúde e Cidadania (Isac) é investigado por possíveis infrações à Lei Geral de Proteção de Dados Pessoais (LGPD). Entre as falhas apontadas estão a falta de medidas de segurança adequadas para proteger os dados pessoais, a comunicação considerada insuficiente às pessoas afetadas pelo incidente, a ausência de informações sobre o responsável pelo tratamento dos dados e o descumprimento dos princípios de prevenção, responsabilização e prestação de contas previstos na legislação.
Ao ser questionado sobre o real impacto do incidente, o Isac alegou que não haveria risco ou dano relevante aos titulares, argumentando que os invasores teriam acessado apenas informações administrativas e bancos de dados referentes a contratos já encerrados. No entanto, a entidade não apresentou comprovação para essa afirmação.
A Agência ainda apurou que o Isac não teria comunicado individualmente os titulares afetados, como seria esperado de acordo com a LGPD em circunstâncias semelhantes, tendo se limitado a publicar um aviso em seu site institucional.
Em nota (veja abaixo), o Instituto Saúde e Cidadania (ISAC) disse que comunicou de forma espontanea o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD), registrou ocorrência junto às autoridades competentes e divulgou comunicado público em seus canais oficiais.
Posicionamento Oficial – Instituto Saúde e Cidadania (ISAC) - Brasília-DF, 6 de julho de 2026
O Instituto Saúde e Cidadania (ISAC) esclarece que o incidente cibernético ocorrido em janeiro de 2025 não resultou em vazamento de dados de pacientes. O episódio consistiu em um ataque do tipo ransomware, que provocou a indisponibilidade temporária de sistemas administrativos mediante a criptografia de arquivos por agentes criminosos.
O incidente não afetou a assistência prestada aos pacientes nem o funcionamento das unidades de saúde sob gestão do Instituto. O ISAC comunicou espontaneamente o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD) , registrou ocorrência junto às autoridades competentes e divulgou comunicado público em seus canais oficiais.
Desde então, vem prestando todos os esclarecimentos solicitados e colaborando integralmente com o processo de apuração. As análises técnicas realizadas à época do incidente não identificaram evidências de extração, exfiltração ou divulgação indevida de dados pessoais.
Os sistemas afetados foram recuperados a partir de cópias de segurança mantidas pela instituição, sem perda de informações. Por esse motivo, o Instituto não reconhece como correta a afirmação de que houve vazamento de dados de pacientes decorrente do referido incidente.
Após o ocorrido, o ISAC promoveu o fortalecimento adicional de seus controles de segurança da informação, ampliando mecanismos de proteção, monitoramento e resposta a incidentes cibernéticos. O procedimento administrativo instaurado pela ANPD permanece em fase de análise. Até o momento, não foi aplicada qualquer penalidade ou sanção ao Instituto.
O ISAC reafirma seu compromisso com a proteção de dados pessoais, a transparência institucional e o cumprimento da legislação vigente.
Assessoria de Imprensa Instituto Saúde e Cidadania (ISAC).
LEIA MAIS
+Lidas