A Agência Nacional de Proteção de Dados (ANPD) instaurou um Processo Administrativo Sancionador (PAS) para apurar falhas na proteção de dados de cerca de 500 mil pacientes do Instituto Saúde e Cidadania (Isac). O incidente, ocorrido em 2025, foi causado por um ataque de ransomware e expôs informações sensíveis de usuários em estados como Goiás e Rio Grande do Sul.
O vazamento afetou dados cadastrais, como nome e data de nascimento, além de informações sensíveis, incluindo prontuários, diagnósticos e prescrições médicas. Segundo a ANPD, dos registros comprometidos, 78.772 pertenciam a crianças e adolescentes, e 47.921 eram de idosos. O Isac alegou à agência que os invasores acessaram apenas dados administrativos de contratos encerrados, mas essa justificativa não foi comprovada.
A ANPD apura diversas infrações à Lei Geral de Proteção de Dados Pessoais (LGPD). O órgão verificou a ausência de medidas técnicas adequadas e a falta de comunicação individual aos titulares afetados. Fabrício Guimarães, superintendente de Fiscalização da ANPD, declarou que a comunicação do instituto foi insuficiente por não informar a data do incidente, a natureza dos dados e as medidas adotadas.
O instituto tem 10 dias úteis para apresentar defesa no PAS. Caso seja condenado, o Isac pode sofrer sanções que incluem multa de até 2% do faturamento ou a proibição do exercício de atividades de tratamento de dados pessoais.

