Conforme um relatório preliminar elaborado pela ANPD, foram identificadas diversas vulnerabilidades na proteção dos dados sensíveis mantidos pelo Isac. Isso inclui prontuários médicos, históricos de exames, diagnósticos e informações pessoais de usuários do sistema de saúde. O total de dados comprometidos inclui registros de 78.772 crianças e adolescentes, além de 47.921 idosos, o que torna a situação ainda mais preocupante.
A fiscalização apontou indícios de que o Isac não possuía mecanismos técnicos adequados para prevenir invasões cibernéticas. Além disso, o relatório sugere que a organização pode ter violado normas legais ao não notificar de forma adequada os titulares dos dados afetados após o ataque, o que poderia agravar a situação.
Com a notificação formal ao Isac, a entidade tem agora um prazo legal para se defender administrativamente. Se as infrações à Lei Geral de Proteção de Dados (LGPD) forem confirmadas ao final do processo, o instituto poderá enfrentar sanções que vão desde advertências até multas e restrições severas em relação ao tratamento de seus bancos de dados.
Por outro lado, a Prefeitura de Maceió se manifestou, afirmando que não houve vazamento de dados nas Unidades de Pronto Atendimento (UPAs) sob a gestão do Isac. A prefeitura informa que, no ano de 2025, somente uma tentativa de ataque cibernético foi registrada, a qual foi contida, mantendo as informações médicas em conformidade com as leis vigentes.
Em paralelo, o Instituto Saúde e Cidadania também negou que tenha havido vazamento de dados, confirmando apenas que o ataque causou uma indisponibilidade temporária dos sistemas. A instituição garantiu que, após a restauração dos sistemas através de cópias de segurança, não foram encontradas evidências de exfiltração ou divulgação inadequada dos dados dos pacientes nas auditorias técnicas realizadas subsequentemente.





