Ataque hacker expôs informações de 500 mil pessoas de seis estados
Um ataque cibernético expôs dados de 500 mil pacientes de unidades de saúde em Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins. A organização social que administra essas unidades é investigada por falhas na proteção de dados sensíveis.

A ANPD, Agência Nacional de Proteção de Dados Pessoais, instaurou, nesta quarta-feira (8), um processo de sanção contra o Instituto Saúde e Cidadania, entidade que atua na gestão de hospitais, ambulatórios, UPAs e centros de saúde públicos nesses seis estados.
O incidente ocorreu em 2025 e foi comunicado pelo instituto à agência de proteção. O ataque vazou 78 mil dados de crianças e adolescentes e 47 mil de idosos. Os registros continham informações como nome, data de nascimento, histórico de exames, prontuários, prescrições, atendimentos, internações e diagnósticos.
A agência investiga se foram cometidas infrações à Lei Geral de Proteção de Dados Pessoais (LGPD), como a falta de adoção de medidas de segurança para proteger as informações e a não comunicação às pessoas afetadas pelo incidente.
Ao ser questionado sobre o impacto, o Instituto Saúde e Cidadania alegou que não haveria risco ou danos relevantes aos titulares, afirmando que os invasores teriam acessado apenas informações administrativas e bancos de dados referentes a contratos já encerrados. Mas a agência reguladora diz que a entidade não comprovou a sua defesa. A ANPD informou que a comunicação aos usuários foi insuficiente e que não foram tomadas as medidas exigidas pela legislação.
O Instituto terá dez dias úteis para apresentar sua defesa. Ao final do processo, a Agência Nacional de Proteção de Dados Pessoais pode condenar a organização a multa de até 2% do faturamento e proibição de atividades de tratamento de dados.
Instituto se manifesta
Em nota, o Instituto Saúde e Cidadania afirmou que o incidente cibernético não resultou em vazamento de dados de pacientes. Os sistemas da organização foram recuperados a partir de cópias de segurança. A entidade diz ainda que fortaleceu seus controles de segurança, ampliando mecanismos de proteção e resposta. A organização também reforçou o compromisso com a proteção de dados pessoais, com a transparência e com o cumprimento da legislação




