Caso Isac: vazamento de dados em saúde acende alerta sobre compliance e transparência em Goiás

by Amarildo Castro
  • Investigação da ANPD reforça que segurança da informação é parte do cuidado com o paciente; especialistas goianos explicam o peso da governança e as regras de mitigação da LGPD

O processo administrativo sancionador conduzido pela Agência Nacional de Proteção de Dados (ANPD) contra o Instituto Saúde e Cidadania (Isac) colocou o setor de saúde e o debate sobre governança digital no centro das atenções em Goiás. A investigação, que apura os impactos de um ataque cibernético sofrido pela organização, envolve dados sensíveis de cerca de 500 mil pacientes.

Embora a Secretaria de Estado da Saúde de Goiás (SES-GO) tenha esclarecido publicamente que o Isac não administra hospitais da rede estadual, a entidade possui contratos em solo goiano, o que desperta a atenção local para o tratamento de prontuários e históricos médicos. O processo em curso foi iniciado em 2025, após a própria entidade notificar a agência reguladora sobre o ataque de ransomware (sequestro de dados).

A exposição de informações médicas reforça que, no setor da saúde, a segurança digital transcende a tecnologia. De acordo com Gustavo Clemente, especialista em Direito Médico e da Saúde, sócio do Lara Martins Advogados e presidente do Sindicato dos Hospitais do Estado de Goiás (SINDHOESG), proteger dados é parte fundamental do cuidado com o paciente.

“Um documento genérico, ‘de prateleira’, não resiste a um incidente real. O que reduz risco é um programa conduzido por profissionais qualificados, com mapeamento de dados, plano de resposta a incidentes, treinamento contínuo da equipe e uma cultura interna de proteção”, afirma Clemente.

Para o advogado Rafael Maciel, especialista, sócio e head de Inteligência Artificial e Proteção de Dados do escritório Lara Martins Advogados, o desdobramento do caso ilustra perfeitamente como a agência avalia a postura das empresas diante de crises. O foco, segundo ele, recai sobre o compliance.

“Na análise do processo sancionador, a Autoridade Nacional de Proteção de Dados vai verificar quais eram as boas práticas que estavam implementadas pela instituição para fazer a dosimetria da sanção”, explica Maciel

O especialista destaca que o rigor da punição dependerá das medidas preventivas que já existiam antes do incidente. “Se a empresa sofre um incidente de segurança, ainda que envolvendo dados sensíveis, mas comprova que adotou todas as melhores práticas disponíveis, a sua sanção será, obviamente, menor do que a de uma organização que não adota boas práticas de governança e sofre o mesmo tipo de ataque”, ressalta.

O advogado reforça que a legislação atual possui uma visão realista sobre as ameaças digitais. “A verdade é que a Lei Geral de Proteção de Dados (LGPD) não tem a pretensão de que não haja nenhum vazamento. Não há previsão na lei ou em qualquer outro instrumento de que incidentes nunca ocorrerão. O que se exige, de fato, é que as empresas mitiguem de forma rigorosa os riscos de ocorrência”, conclui Rafael Maciel.

Nota:

O Isac é uma organização social que gerencia serviços de saúde em diferentes regiões do Brasil. O processo da ANPD segue em fase de apresentação de defesa por parte do instituto. O especialista Rafael Maciel está disponível para entrevistas para aprofundar os impactos jurídicos da LGPD na saúde e as regras de compliance digital.

Fontes:

Gustavo Clemente: graduado em Direito pela PUC Goiás, especialista em Direito Médico e da Saúde (EBRADI), sócio do Lara Martins Advogados, pós-graduado em Administração Hospitalar (IPEP) e em Lei Geral de Proteção de Dados (Legale). Presidente do Sindicato dos Hospitais do Estado de Goiás (SINDHOESG). Também integra o Conselho Fiscal da Associação dos Hospitais Privados de Alta Complexidade do Estado de Goiás (AHPACEG).

Rafael Maciel, sócio e head de Inteligência Artificial (IA) e Proteção de Dados do Lara Martins Advogados, é especialista em inteligência artificial, proteção de dados e coautor de obras voltadas ao Marco Civil da Internet e à Lei Geral de Proteção de Dados.

Postagens relacionadas

Deixe um comentário