Data: 22 de maio de 2026
Dirigido a:
Comissão Nacional de Protecção de Dados (CNPD), Ministério da Saúde, Serviços Partilhados do Ministério da Saúde (SPMS), Ordem dos Médicos, opinião pública

I. IDENTIFICAÇÃO DA ORGANIZAÇÃO SIGNATÁRIA

A CpC: Cidadãos pela Cibersegurança é uma organização cívica portuguesa dedicada à defesa dos direitos digitais, à promoção da literacia em cibersegurança e à responsabilização das entidades públicas e privadas no tratamento de dados pessoais. Opera em conformidade com o Regulamento (UE) 2016/679 (RGPD), a Lei n.º 58/2019 e a Directiva NIS2.

II. DESCRIÇÃO DO INCIDENTE

Na madrugada de quinta-feira, 21 de maio de 2026, começaram a circular em grupos privados de WhatsApp de pais alertas sobre acessos indevidos a fichas clínicas de menores através do portal SNS24. O alarme propagou-se massivamente durante a manhã de sexta-feira, 22 de maio, através do Instagram, Facebook e imprensa nacional.

Os factos apurados até ao momento são os seguintes:

1. As credenciais profissionais associadas ao médico John Freddy Bermudez (que, provavelmente, é apenas uma vítima neste processo), registado no Centro de Saúde de Miranda do Corvo, foram utilizadas para aceder a um número indeterminado – mas potencialmente elevado – de fichas clínicas de menores no portal do Registo de Saúde Eletrónico (RSE/SNS24), sem que existisse qualquer relação clínica ou terapêutica que o justificasse. As crianças visadas pertencem maioritariamente às regiões centro e norte do país, incluindo os distritos de Braga e Porto, e têm entre quatro e cinco anos de idade. Os adultos dos mesmos agregados familiares não registaram acessos equivalentes, o que sugere uma selecção deliberada por faixa etária.

2. O Centro de Saúde de Miranda do Corvo confirmou publicamente que o médico cujas credenciais foram utilizadas já não exerce funções naquela unidade há vários anos. As suas credenciais de acesso ao sistema nunca foram revogadas.

Segundo fontes acompanhadas pelo Expresso e pelo Correio da Manhã, as autoridades seguem a hipótese de roubo de credenciais por phishing como principal vector de ataque. Não está em causa um acto voluntário do médico em questão, mas a utilização indevida das suas credenciais por terceiros não identificados.

3. A Ordem dos Médicos confirmou ter recebido inúmeras queixas. A Polícia Judiciária admitiu estar a tentar perceber o que está em causa e se há investigações em curso. A SPMS recusou comentar o caso, declarando apenas que “a protecção dos acessos digitais depende muito da adoção de boas práticas de cibersegurança por parte de todos os utilizadores”. O portal mySNS encontra-se inacessível no momento da publicação deste documento.

III. ANÁLISE JURÍDICA

3.1 Dados de categoria especial

Os dados clínicos de crianças constituem dados de saúde na acepção do artigo 4.º, n.º 15 do RGPD e são, nos termos do artigo 9.º, dados de categoria especial, cujo tratamento está sujeito a restrições reforçadas e a obrigações de segurança acrescidas. A SPMS, enquanto responsável pelo tratamento, está vinculada ao cumprimento dos artigos 5.º (princípios do tratamento), 25.º (protecção de dados desde a concepção e por defeito) e 32.º (segurança do tratamento) do RGPD, bem como das disposições correspondentes da Lei n.º 58/2019.

3.2 Falhas de segurança identificadas

A CpC identifica, com base nos factos apurados, pelo menos quatro falhas estruturais:

1. A primeira é a ausência de autenticação multifactor obrigatória para profissionais de saúde com acesso ao RSE. A SPMS publicou em janeiro de 2026 uma página de promoção da MFA como boa prática recomendada, não como requisito. Num sistema que agrega dados de saúde de toda a população portuguesa, a MFA deve ser tecnicamente imposta, não sugerida. A título de comparação, o portal da Segurança Social tornou obrigatória a autenticação de dois factores em 12 de maio de 2026, apenas dez dias antes deste incidente.

2. A segunda é a não revogação de credenciais de ex-profissionais. O facto de um médico que abandonou a instituição há vários anos manter credenciais activas e operacionais representa uma violação elementar das boas práticas de gestão de identidades e acessos (IAM) e dos requisitos do artigo 32.º do RGPD, que exige “um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento”.

3. A terceira é a ausência de controlos de acesso baseados em contexto clínico. O sistema permitiu o acesso a um volume aparentemente elevado de ficheiros clínicos de crianças geograficamente dispersas, sem qualquer relação com a unidade de saúde do profissional autenticado, sem desencadear qualquer alerta automatizado.

4. A quarta é a ausência de comunicação institucional estruturada. A informação chegou ao público através das redes sociais, não através de qualquer comunicação proactiva da SPMS, do Ministério da Saúde ou da CNPD.

3.3 Obrigações de notificação em incumprimento

O artigo 33.º do RGPD impõe a notificação da autoridade de controlo no prazo de 72 horas após o responsável pelo tratamento tomar conhecimento de uma violação de dados pessoais. Dados os relatos disponíveis, a SPMS terá tomado conhecimento da situação pelo menos desde quinta-feira, 21 de maio. O prazo legal está a decorrer. A CpC não tem confirmação de que essa notificação tenha sido efectuada.

O artigo 34.º do RGPD exige que, quando a violação for susceptível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunique a violação aos titulares dos dados sem demora injustificada. O acesso não autorizado a dados clínicos de menores por terceiros não identificados preenche inequivocamente este requisito.

IV. O QUE DEVEM FAZER OS UTENTES

A CpC recomenda os seguintes passos a todos os pais e encarregados de educação, bem como a qualquer utente do SNS:

Verificar o histórico de acessos. Aceder a servicos.min-saude.pt, entrar na Área Pessoal com Chave Móvel Digital ou Cartão de Cidadão, e consultar o registo de acessos ao processo clínico. Se o portal estiver inacessível, repetir a verificação assim que o serviço for restabelecido. Os pais devem efectuar esta verificação para os filhos menores registados sob a sua tutela. De notar, que hoje (2026.05.22) todas as formas de autenticação devolviam erro (provavelmente em consequência deste incidente).

Activar notificações de acesso. No portal SNS24, aceder a “O meu perfil”, descer até ao fim da página, clicar em “Ir para autorizações” e activar a opção de notificação por email sempre que um profissional de saúde credenciado consultar a informação clínica. Esta funcionalidade deve ser activada para cada elemento do agregado familiar.

Apresentar queixa à Polícia Judiciária. Quem confirmar acessos indevidos deve registar a evidência (captura de ecrã com data e hora) e apresentar queixa na PJ ou através do portal de denúncias do SNS.

Apresentar queixa à CNPD. Os titulares afectados têm o direito de apresentar reclamação à autoridade de controlo ao abrigo do artigo 77.º do RGPD. O formulário está disponível em cnpd.pt.

Não partilhar o nome completo do médico nas redes sociais enquanto não estiver apurado se o próprio foi vítima de roubo de credenciais. A difusão pública do nome pode lesar um profissional que seja ele próprio uma vítima do ataque.

V. O QUE EXIGIMOS AO MINISTÉRIO DA SAÚDE E À SPMS

A CpC exige a adopção imediata das seguintes medidas:

1. Notificação formal à CNPD nos termos do artigo 33.º do RGPD, caso ainda não tenha sido efectuada, com a informação completa de que a SPMS dispõe sobre o âmbito do incidente.

2. Comunicação directa e individualizada a todos os titulares cujos dados foram acedidos indevidamente, nos termos do artigo 34.º do RGPD, com indicação clara de quais os dados consultados, em que período e por que via.

3. Revogação imediata e auditoria exaustiva a todas as credenciais de profissionais que já não exercem funções em unidades do SNS, com publicação dos resultados.

4. Imposição da autenticação multifactor como requisito técnico obrigatório para todos os profissionais com acesso ao RSE, com prazo máximo de implementação de 30 dias.

5. Implementação de controlos de acesso baseados em contexto clínico – nomeadamente a limitação do acesso a ficheiros de utentes sem relação documentada com a unidade de saúde do profissional autenticado – e de sistemas de alerta automático para padrões de acesso anómalos.

6. Publicação de um relatório público sobre o incidente, incluindo o número total de fichas clínicas acedidas, o período temporal abrangido, o vector de ataque confirmado e as medidas adoptadas em resposta.

VI. PEDIDO FORMAL À CNPD

A Cidadãos pela Cibersegurança apresenta formalmente à Comissão Nacional de Protecção de Dados os seguintes pedidos ao abrigo dos artigos 57.º e 58.º do RGPD e do artigo 3.º da Lei n.º 58/2019:

Que a CNPD confirme se recebeu a notificação de violação de dados por parte da SPMS nos termos do artigo 33.º do RGPD, e, caso não tenha recebido, que inicie de imediato um inquérito sobre o cumprimento desse dever.

Que a CNPD avalie se a ausência de MFA obrigatória para profissionais com acesso a dados de saúde de categoria especial é compatível com os artigos 25.º e 32.º do RGPD, e, em caso negativo, que adopte as medidas corretivas previstas no artigo 58.º, n.º 2.

Que a CNPD apure se a manutenção de credenciais activas de ex-profissionais constitui uma violação continuada do dever de segurança do tratamento, e que ordene a sua rectificação imediata.

Que a CNPD exija a comunicação aos titulares afectados, nos termos do artigo 34.º, caso a SPMS não o tenha feito, e que supervisione o processo de notificação.

Que a CNPD torne público o resultado das suas diligências num prazo razoável, em cumprimento do seu dever de transparência perante os cidadãos.

VII. NOTA FINAL

Este documento é publicado pela CpC no exercício do seu mandato de defesa dos direitos digitais dos cidadãos portugueses. Será remetido à CNPD, ao Ministério da Saúde, à SPMS e à Ordem dos Médicos. A CpC reserva-se o direito de actualizar este documento à medida que novos factos sejam apurados.

Os cidadãos que desejem associar-se a esta queixa ou que disponham de evidências adicionais podem contactar a CpC através de cidadaospelaciberseguranca.com.

Cidadãos pela Cibersegurança — pela segurança digital que os cidadãos merecem. 22 de maio de 2026