Segurança

Ataque cibernético pode ter afetado dados de pacientes de UPAs de Maceió

Instituto que administra unidades de saúde é investigado pela ANPD por supostas falhas na proteção de dados

Por Gabrielly Farias 08/07/2026 15h03
Ataque cibernético pode ter afetado dados de pacientes de UPAs de Maceió
ANPD investiga possível comprometimento de dados após ataque cibernético contra instituto que administra UPAs de Maceió - Foto: Freepik

Dados de pacientes atendidos em Unidades de Pronto Atendimento (UPAs) de Maceió podem estar entre os registros atingidos por um ataque cibernético sofrido pelo Instituto Saúde e Cidadania (ISAC), organização responsável pela gestão de unidades públicas de saúde em Alagoas e outros seis estados.

Na capital alagoana, o instituto administra as UPAs Benedito Bentes, Trapiche da Barra e Santa Lúcia. A entidade é alvo de um processo administrativo da Autoridade Nacional de Proteção de Dados (ANPD), que apura possíveis falhas na segurança das informações e na comunicação do incidente.

Segundo a investigação, o ataque ocorreu em janeiro de 2025 e foi do tipo ransomware, modalidade em que criminosos bloqueiam o acesso a sistemas por meio da criptografia de arquivos.

A ANPD informou que cerca de 500 mil registros podem ter sido afetados em todo o país, incluindo dados de aproximadamente 78 mil crianças e adolescentes e quase 48 mil idosos. Entre as informações potencialmente comprometidas estão dados cadastrais e registros de saúde, como prontuários, exames, prescrições médicas, diagnósticos e procedimentos realizados.

De acordo com a agência, o ISAC é investigado por possíveis infrações à Lei Geral de Proteção de Dados (LGPD). Entre os pontos apurados estão a suposta adoção insuficiente de medidas de segurança, a forma como o incidente foi comunicado aos titulares dos dados e o cumprimento das obrigações previstas na legislação.

ISAC nega vazamento de dados


Em nota, o Instituto Saúde e Cidadania afirmou que o ataque cibernético não resultou em vazamento de dados de pacientes. Segundo a instituição, o incidente provocou apenas a indisponibilidade temporária de sistemas administrativos e não comprometeu a assistência prestada nas unidades de saúde.

O ISAC informou ainda que comunicou espontaneamente o caso à ANPD, registrou boletim de ocorrência, recuperou os sistemas por meio de cópias de segurança e reforçou os mecanismos de proteção da informação.

A instituição afirmou que as análises técnicas realizadas após o ataque não identificaram evidências de extração ou divulgação indevida de dados pessoais e destacou que, até o momento, não sofreu qualquer penalidade da ANPD.

Leia a nota na íntegra

O Instituto Saúde e Cidadania (ISAC) esclarece que o incidente cibernético ocorrido em janeiro de 2025 não resultou em vazamento de dados de pacientes. O episódio consistiu em um ataque do tipo ransomware, que provocou a indisponibilidade temporária de sistemas administrativos mediante a criptografia de arquivos por agentes criminosos. O incidente não afetou a assistência prestada aos pacientes nem o funcionamento das unidades de saúde sob gestão do Instituto.

O ISAC comunicou espontaneamente o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD), registrou ocorrência junto às autoridades competentes e divulgou comunicado público em seus canais oficiais. Desde então, vem prestando todos os esclarecimentos solicitados e colaborando integralmente com o processo de apuração.

As análises técnicas realizadas à época do incidente não identificaram evidências de extração, exfiltração ou divulgação indevida de dados pessoais. Os sistemas afetados foram recuperados a partir de cópias de segurança mantidas pelainstituição, sem perda de informações.

Por esse motivo, o Instituto não reconhece como correta a afirmação de que houve vazamento de dados de pacientes decorrente do referido incidente. Após o ocorrido, o ISAC promoveu o fortalecimento adicional de seus controles de segurança da informação, ampliando mecanismos de proteção, monitoramento e resposta a incidentes cibernéticos.

O procedimento administrativo instaurado pela ANPD permanece em fase de análise. Até o momento, não foi aplicada qualquer penalidade ou sanção ao Instituto. O ISAC reafirma seu compromisso com a proteção de dados pessoais, a transparência institucional e o cumprimento da legislação vigente.