Template para uso por parte de qualquer cidadão registado no Serviço Nacional de Saúde (SNS) com a fundamentação da legitimidade de qualquer cidadão-utente do SNS como denunciante, e centrada na natureza contínua e presente das violações registadas nos últimos neste e noutro sistemas informáticos da República Portuguesa.

Este template pode ser usado mesmo se o cidadão não foi – ainda – vítima de acessos ilegítimos aos seus dados no SNS por parte de terceiros:

DENÚNCIA DE CRIME PÚBLICO

Ao Ministério Público

Junto do Departamento de Investigação e Acção Penal (DIAP) de Lisboa

I. IDENTIFICAÇÃO DO DENUNCIANTE

Nome completo:

Número de Identificação Civil (BI/CC):

Número de Identificação Fiscal: 

Morada: 

Código postal: 

Contacto telefónico: 

Endereço de correio electrónico:

II. LEGITIMIDADE E FUNDAMENTO DA DENÚNCIA

O denunciante apresenta a presente denúncia ao abrigo do artigo 241.º do Código de Processo Penal, que confere a qualquer cidadão o direito de levar ao conhecimento do Ministério Público factos que constituam crime público, independentemente de ter sido directamente lesado pela sua prática. O Ministério Público é o titular da acção penal, cabendo-lhe instaurar, dirigir e encerrar o inquérito criminal, sendo que nos crimes públicos o processo corre mesmo contra a vontade do titular dos interesses ofendidos.

O denunciante não foi até à data vítima directa do incidente descrito nos factos. Age na qualidade de utente do Serviço Nacional de Saúde cujos dados de saúde se encontram armazenados no Registo de Saúde Eletrónico (RSE), e portanto exposto, de forma actual e concreta, ao risco de vir a ser lesado pelos mesmos factos ilícitos enquanto as falhas estruturais que os tornaram possíveis não forem corrigidas. Age igualmente no interesse da colectividade, no exercício do direito de acção popular consagrado no artigo 52.º da Constituição da República Portuguesa, que reconhece a qualquer cidadão legitimidade para, designadamente, prevenir danos ao interesse público e aos direitos fundamentais de terceiros.

A presente denúncia não visa apenas a punição dos responsáveis pelos factos já consumados. Visa, de forma primária, compelir o Estado português — através da intervenção do Ministério Público — a corrigir de imediato as vulnerabilidades que persistem, activas e não remediadas, no sistema que trata os dados de saúde de toda a população portuguesa.

III. EXPOSIÇÃO DOS FACTOS

3.1 O incidente de 21 e 22 de maio de 2026

Na madrugada de 21 de maio de 2026, começaram a circular alertas sobre acessos indevidos a fichas clínicas de utentes do SNS — em particular de menores — através do portal SNS24. O alarme propagou-se massivamente na manhã de 22 de maio de 2026 através das redes sociais e da imprensa nacional. A Ordem dos Médicos confirmou ter recebido inúmeras queixas. A Polícia Judiciária admitiu estar a tentar perceber o que está em causa. O Expresso e o Correio da Manhã citaram fontes segundo as quais as autoridades seguem a hipótese de roubo de credenciais por phishing como vector de ataque, descartando o acto voluntário do médico cujas credenciais foram utilizadas.

As credenciais profissionais do médico John Freddy Bermudez, registado no Centro de Saúde de Miranda do Corvo, foram utilizadas para aceder, de forma sistemática e sem qualquer fundamento clínico ou terapêutico, a um número muito elevado de fichas clínicas de utentes, maioritariamente crianças. O próprio centro de saúde confirmou publicamente que este profissional já não exerce funções naquela unidade há vários anos e que as suas credenciais de acesso ao RSE nunca foram revogadas.

3.2 As falhas estruturais que tornaram o ataque possível — e que persistem

O denunciante sublinha que os factos de maior relevância criminal não são os que decorrem do acto dos atacantes, cuja investigação é objecto autónomo, mas os que decorrem das omissões continuadas dos Serviços Partilhados do Ministério da Saúde, E.P.E. (SPMS), enquanto responsável pelo tratamento dos dados de saúde de toda a população portuguesa.

Estas omissões não pertencem ao passado. Enquanto não remediadas, constituem violações activas, contínuas e em curso do dever legal de segurança do tratamento. São elas:

A ausência de autenticação multifactor obrigatória para profissionais com acesso ao RSE. Em janeiro de 2026, a própria SPMS publicou conteúdo a promover a MFA como boa prática recomendada para os seus sistemas, reconhecendo implicitamente a sua necessidade mas recusando impô-la como requisito técnico. Uma única credencial comprometida bastou para abrir acesso irrestrito ao processo clínico de dezenas de milhares de utentes. Esta vulnerabilidade continua activa.

A manutenção de credenciais operacionais de ex-profissionais do SNS. O incidente demonstrou que credenciais de um médico desvinculado do sistema há vários anos permaneciam activas e funcionais. Nada indica que este seja um caso isolado. Enquanto não for realizada uma auditoria exaustiva e revogadas todas as credenciais de ex-profissionais, a mesma vulnerabilidade permanece activa para um número indeterminado de perfis.

A ausência de controlos de acesso baseados em contexto clínico e de mecanismos de detecção de anomalias. O sistema permitiu, a partir de uma única sessão autenticada, o acesso massivo e geograficamente disperso a processos de utentes sem qualquer relação com a unidade do profissional autenticado, sem que qualquer alerta ou bloqueio automático fosse activado. Esta lacuna estrutural permanece.

A omissão de comunicação directa aos titulares afectados. O artigo 34.º do RGPD impõe que, verificado o risco elevado para os direitos dos titulares, o responsável pelo tratamento os notifique sem demora injustificada. Decorridos os prazos razoáveis desde o conhecimento do incidente, a SPMS não procedeu a qualquer comunicação individual estruturada. A sua única resposta pública foi declarar que “a protecção dos acessos digitais depende muito da adopção de boas práticas de cibersegurança por parte de todos os utilizadores” — afirmação que inverte a relação de responsabilidade entre o responsável pelo tratamento e os titulares dos dados e constitui, ela própria, evidência de uma postura institucional de não-prestação de contas.

IV. ENQUADRAMENTO JURÍDICO-CRIMINAL

4.1 Violação continuada do dever de segurança do tratamento

O artigo 32.º do RGPD impõe ao responsável pelo tratamento a adopção de medidas técnicas e organizativas adequadas para garantir um nível de segurança apropriado ao risco, incluindo expressamente a capacidade de assegurar a confidencialidade e integridade dos sistemas e de detectar e responder atempadamente a incidentes. Tratando-se de dados de saúde, qualificados como dados de categoria especial pelo artigo 9.º do RGPD, o nível de exigência é o mais elevado previsto no regulamento.

A Lei n.º 58/2019 prevê vários crimes que contemplam diferentes modalidades de tratamento indevido de dados, incluindo o acesso indevido a dados mesmo quando o agente não chega a tomar conhecimento dos mesmos, o desvio de dados e a viciação ou destruição de dados, todos puníveis com penas de prisão. (https://www.spms.min-saude.pt/wp-content/uploads/2018/09/NEWSLETTER_Sistemas-de-Informa%C3%A7%C3%A3o-1.pdf) A negligência grosseira na criação e manutenção das condições que tornaram esse acesso possível é expressamente punível nos termos do n.º 3 dos artigos relevantes da Lei n.º 58/2019, com pena de prisão até seis meses ou pena de multa até 60 dias. (https://cnnportugal.iol.pt/saude/criancas/ha-ficheiros-clinicos-de-criancas-a-serem-acedidos-indevidamente-em-todo-o-pais/20260522/6a102c13d34edcee7c6476ae)

A violação do artigo 32.º do RGPD tem natureza continuada enquanto as falhas não forem corrigidas. Cada dia em que o sistema RSE opera sem MFA obrigatória, sem revogação de credenciais de ex-profissionais e sem controlos de acesso contextuais é um dia em que o crime de negligência na segurança do tratamento está a ser praticado.

4.2 Crime de desobediência

Quem não cumprir as obrigações previstas no RGPD e na Lei n.º 58/2019 depois de ultrapassado o prazo que tiver sido fixado pela CNPD para o respectivo cumprimento é punido com pena de prisão até um ano ou pena de multa até 120 dias, sendo a pena agravada para o dobro nos seus limites se, depois de notificado, o agente não interromper o tratamento ilícito de dados. (https://cnnportugal.iol.pt/saude/criancas/ha-ficheiros-clinicos-de-criancas-a-serem-acedidos-indevidamente-em-todo-o-pais/20260522/6a102c13d34edcee7c6476ae) A omissão de comunicação aos titulares afectados nos termos do artigo 34.º do RGPD integra igualmente o tipo do artigo 52.º da Lei n.º 58/2019.

4.3 Responsabilidade das pessoas colectivas

As pessoas colectivas, incluindo as que exercem prerrogativas de poder público, são responsáveis pelos crimes previstos na Lei n.º 58/2019, nos termos do artigo 11.º do Código Penal. (https://www.sns.gov.pt/apps/mysns/) A SPMS, enquanto entidade pública empresarializada, está plenamente sujeita a esta responsabilidade. O artigo 54.º da Lei n.º 58/2019 é explícito neste ponto.

4.4 Natureza pública dos crimes

Nos crimes públicos, qualquer cidadão os pode denunciar, correndo o processo mesmo contra a vontade do titular dos interesses ofendidos. Os crimes de negligência na segurança do tratamento de dados, praticados por entidade pública sobre dados de saúde de toda a população, têm por natureza carácter público, não dependendo de queixa de qualquer ofendido individual para que o Ministério Público actue.

V. PEDIDO

O denunciante requer ao Ministério Público que:

Instaure de imediato inquérito criminal para apuramento das responsabilidades dos dirigentes da SPMS e do Ministério da Saúde pelas omissões descritas, designadamente a violação negligente e continuada do dever de segurança do tratamento imposto pelo artigo 32.º do RGPD e pelos artigos aplicáveis da Lei n.º 58/2019.

Requeira ao tribunal, com carácter de urgência, medidas cautelares que imponham à SPMS a correcção das vulnerabilidades identificadas num prazo determinado, nomeadamente a activação imediata de MFA obrigatória para todos os profissionais com acesso ao RSE e a revogação de todas as credenciais de ex-profissionais desvinculados do SNS, enquanto não for concluída auditoria exaustiva ao universo de acessos activos.

Solicite à SPMS, antes de qualquer operação de manutenção que possa comprometer evidências, os registos de auditoria completos do sistema RSE relativos ao período dos acessos em causa, incluindo o volume de fichas clínicas acedidas, o período temporal abrangido, os endereços IP utilizados e os registos de sessão do profissional cujas credenciais foram comprometidas.

Apure se a SPMS cumpriu a obrigação de notificação à CNPD no prazo de 72 horas previsto no artigo 33.º do RGPD e, em caso negativo, inclua essa omissão no âmbito do inquérito.

Coordene com a CNPD, ao abrigo das competências de supervisão desta, a fiscalização das medidas de remediação adoptadas pela SPMS, impondo um prazo máximo para o seu cumprimento.

VI. DECLARAÇÃO FINAL

O denunciante não age motivado por interesse pessoal directo nem por qualquer relação de antagonismo com as entidades visadas. Age porque o sistema de saúde do qual todos os cidadãos dependem está a ser gerido com um nível de segurança que o torna estruturalmente incapaz de proteger os dados que lhe são confiados, e porque o Estado português tem a obrigação legal de garantir que isso mude antes que o próximo incidente aconteça — não depois.

Declaro que os factos expostos correspondem à verdade do meu conhecimento e que estou ciente de que a prestação de declarações falsas ao Ministério Público é punível por lei.

Local: 

Data: 

Assinatura: 

—

QUEIXA-CRIME (caso o queixoso tenha recebido uma notificação de acesso indevido)

Ao Ministério Público — DIAP Regional de Lisboa

I. IDENTIFICAÇÃO DO QUEIXOSO

Nome completo: 

Número de Identificação Civil (BI/CC): 

Número de Identificação Fiscal: 

Morada: 

Contacto telefónico:

Endereço de correio electrónico: 

Qualidade em que apresenta a queixa (assinalar):

[ ] Vítima directa — os meus dados clínicos foram acedidos indevidamente 

[ ] Representante legal de descendente menor afectado — filho(a)/neto(a): ___________________________________________________________________________ 

[ ] Familiar de ascendente afectado — pai/mãe/avô/avó:
___________________________________________________________________________ 

II. FACTOS

Em //2026 verifiquei no portal SNS24 que o processo clínico de [nome do titular] foi acedido pelo profissional John Freddy Bermudez, registado no Centro de Saúde de Miranda do Corvo, sem qualquer relação clínica ou autorização conhecida.

Data e hora do acesso registado: __________________________________

O Centro de Saúde de Miranda do Corvo confirmou publicamente que este profissional já não exerce funções naquela unidade há vários anos. As suas credenciais nunca foram revogadas pela SPMS. Segundo fontes citadas pelo Expresso e Correio da Manhã, as autoridades seguem a hipótese de roubo de credenciais por phishing — não está em causa qualquer acto voluntário do médico.

A responsabilidade aqui imputada recai sobre a SPMS pelas seguintes omissões, activas e não corrigidas à data desta queixa: ausência de autenticação multifactor obrigatória para profissionais com acesso ao RSE; manutenção de credenciais operacionais de ex-profissionais; ausência de controlos de acesso contextuais e de alertas para padrões anómalos; omissão de comunicação directa aos titulares afectados em violação do artigo 34.º do RGPD.

III. ENQUADRAMENTO JURÍDICO

Os factos integram os seguintes tipos criminais da Lei n.º 58/2019:

Art. 47.º — acesso indevido a dados pessoais de saúde por omissão negligente das medidas de segurança legalmente exigidas.

Arts. 46.º e 32.º RGPD — violação continuada do dever de segurança no tratamento de dados de categoria especial; a negligência é punível com pena de prisão até 6 meses ou multa até 60 dias; a violação persiste enquanto as falhas não forem corrigidas.

Art. 52.º — desobediência por omissão da comunicação aos titulares afectados imposta pelo art. 34.º do RGPD.

Art. 54.º conjugado com o art. 11.º do Código Penal — responsabilidade criminal da SPMS enquanto pessoa colectiva.

IV. PEDIDO

Requer-se ao Ministério Público que:

Instaure inquérito criminal contra os dirigentes da SPMS e do Ministério da Saúde pelas omissões descritas.

Solicite com urgência à SPMS os registos de auditoria do RSE relativos ao período em causa, antes de qualquer operação que possa comprometer evidências, incluindo os dados concretos de acesso ao processo clínico do titular afectado.

Requeira medidas cautelares urgentes impondo a activação imediata de MFA obrigatória e a revogação de todas as credenciais de ex-profissionais.

Apure se a SPMS notificou a CNPD no prazo de 72 horas previsto no art. 33.º do RGPD.

Notifique o queixoso de todos os actos processuais relevantes, incluindo eventual decisão de arquivamento, para efeitos do direito de impugnação hierárquica previsto no art. 278.º do CPP.

V. DECLARAÇÃO

Manifesto expressamente a vontade de procedimento criminal contra os responsáveis identificados e reservo o direito de me constituir assistente no processo. Declaro que os factos expostos correspondem à verdade do meu conhecimento.

Junto: cópia do documento de identificação; captura de ecrã do histórico de acessos no SNS24; e, se aplicável, documento comprovativo da qualidade de representante do titular afectado.

Local: 

Data:

Assinatura:


Enviar para:
lisboa.diapregional@tribunais.org.pt