A Agência Nacional de Proteção de Dados (ANPD) instaurou um processo administrativo sancionador para apurar possíveis falhas na segurança da informação do Instituto Saúde e Cidadania (Isac).
A organização social é responsável pela gestão de unidades de saúde em seis estados brasileiros, incluindo Alagoas.
O procedimento investiga um ataque cibernético do tipo ransomware que afetou cerca de 500 mil registros de pacientes. As informações foram divulgadas pelo jornal O Estado de S. Paulo.
De acordo com o relatório preliminar da autarquia federal, foram detectadas vulnerabilidades na proteção de dados sensíveis armazenados pela instituição, tais como prontuários médicos, históricos de exames, diagnósticos e informações pessoais de usuários do sistema de saúde.
Entre o volume de dados sob risco, constam registros de 78.772 crianças e adolescentes, além de 47.921 idosos.
Indícios de falhas pós-incidente e possíveis sanções
A fiscalização da ANPD apontou que há indícios de que a organização social não dispunha de mecanismos técnicos adequados para mitigar riscos de invasão, tampouco adotou os procedimentos previstos em lei após a consumação do incidente, como a notificação tempestiva aos titulares dos dados afetados.
O Isac foi formalmente notificado e possui prazo legal para apresentar sua defesa administrativa.
Caso as infrações à Lei Geral de Proteção de Dados (LGPD) sejam confirmadas ao final do processo, a entidade poderá sofrer sanções que variam desde advertências formais até a aplicação de multas pecuniárias e restrições parciais ou totais ao tratamento de bancos de dados.
Município descarta vazamento
Em nota oficial, a Prefeitura de Maceió esclareceu que não foi registrado vazamento de dados de pacientes nas Unidades de Pronto Atendimento (UPAs) da capital que são administradas pelo Isac.
O Executivo municipal informou que, no ano de 2025, houve apenas uma tentativa de ataque cibernético aos sistemas, a qual foi contida pelas barreiras de segurança.
A gestão assegurou que as informações médicas locais permanecem protegidas e em conformidade com as exigências da legislação vigente.
O Instituto Saúde e Cidadania também se manifestou negando a ocorrência de exfiltração ou vazamento de informações.
A organização confirmou a ocorrência do ataque digital, mas argumentou que a ação criminosa provocou estritamente uma indisponibilidade temporária dos sistemas operacionais.
Segundo a entidade, o ambiente digital foi restabelecido por meio de cópias de segurança (backups) e auditorias técnicas posteriores não encontraram evidências de extração ou divulgação indevida de dados pessoais dos pacientes.
