Enviados a 4 de junho de 2026:

Pedido de Esclarecimento ao Ministério da Saúde / Serviços Partilhados do Ministério da Saúde (SPMS, E.P.E.)

Exmos. Senhores,

No seguimento do incidente de segurança ocorrido em maio de 2026 no portal SNS 24, que envolveu o acesso a informação clínica de um número elevado de utentes através de credenciais profissionais comprometidas, a CpC: Cidadãos pela Cibersegurança vem solicitar esclarecimento formal sobre um conjunto de questões relativas à arquitetura de controlo de acessos do Registo de Saúde Eletrónico (RSE), com particular incidência sobre os profissionais de saúde que exercem funções em simultâneo no Serviço Nacional de Saúde e em estabelecimentos do setor privado ou social.

Reconhecemos que o fundamento de licitude do acesso assistencial à informação clínica não assenta no consentimento do titular, mas na necessidade de prestação de cuidados de saúde, nos termos do artigo 9.º, n.º 2, alínea h), do Regulamento Geral sobre a Proteção de Dados, conjugado com a legislação nacional aplicável. Não está, pois, em causa a legitimidade do acesso assistencial em contexto de internamento, urgência ou consulta programada no SNS. Está em causa, isso sim, a fronteira entre esse acesso legítimo e a possibilidade de o mesmo profissional invocar permissões de contexto SNS no decurso de um ato praticado em ambiente privado, bem como a capacidade do titular dos dados de fiscalizar essa distinção.

Tendo presente que a Área do Profissional do RSE é acessível não apenas a partir da Rede Informática da Saúde ou de ligação por VPN autorizada, mas também pela internet aberta, na modalidade dirigida a profissionais a título individual, solicita-se resposta às seguintes questões.

Primeira: que mecanismos técnicos garantem que um acesso à informação clínica de um utente, efetuado por profissional que acumula funções no SNS e no setor privado, só ocorre no estrito âmbito de uma relação assistencial em curso, e não por mera invocação de uma autorização genérica previamente concedida pelo titular na sua Área do Cidadão?

Segunda: o sistema central valida a existência de um episódio assistencial ativo — consulta agendada, internamento ou atendimento de urgência — como condição prévia ao acesso, ou basta a autenticação do profissional conjugada com a identificação do utente, independentemente de existir um contacto assistencial registado? Em particular, e dado que a validade de um episódio pode não ser facilmente verificável em tempo real nos casos de teleconsulta ou de avaliação de estado clínico à distância, existe algum mecanismo de autorização dinâmica e granular que supra essa limitação — designadamente uma confirmação explícita do titular, com janela de validade estritamente limitada no tempo, por exemplo de quinze minutos, que autorize o profissional X a aceder ao seu registo naquele momento concreto, sem dependência de uma autorização genérica prévia? Na ausência de tal mecanismo, a autenticação do profissional funciona, na prática, como único controlo de acesso efetivo, o que é manifestamente insuficiente para dados de saúde da categoria do artigo 9.º do Regulamento.

Terceira: os registos de auditoria mantidos pela SPMS distinguem inequivocamente a origem e o contexto de cada acesso, designadamente o endereço de origem, a instituição associada e a natureza pública ou privada do ato, e durante que prazo são conservados esses registos?

Quarta: por que motivo a informação disponibilizada ao titular dos dados, no histórico de acessos da Área do Cidadão, não inclui elementos que lhe permitam distinguir se um acesso foi praticado no cumprimento de funções no SNS ou no decurso de atividade privada do mesmo profissional, e está prevista a correção desta limitação de transparência?

Quinta: que controlos de deteção de anomalias se encontram efetivamente em operação — designadamente a sinalização de acessos sem episódio assistencial correspondente, fora de horário ou com padrões de volume incompatíveis com a atividade do profissional — tendo em conta que o incidente de maio de 2026 indicia que tais controlos, a existirem, não impediram o acesso indevido em larga escala?

A presente solicitação inscreve-se no exercício do direito de informação que assiste aos cidadãos e visa contribuir para o reforço da confiança pública nos sistemas de informação em saúde. A Cidadãos pela Cibersegurança disponibiliza-se para receber resposta por escrito e tornará pública, no respeito pelas regras aplicáveis, a posição que vier a ser comunicada.

Com os melhores cumprimentos, Cidadãos pela Cibersegurança

---

EXPOSIÇÃO E PEDIDO DE AVERIGUAÇÃO
Para: Comissão Nacional de Proteção de Dados (CNPD) 

Assunto: Pedido de averiguação sobre a segregação de contextos de acesso ao Registo de Saúde Eletrónico por profissionais com funções simultâneas nos setores público e privado, e sobre a insuficiência de transparência do histórico de acessos disponibilizado ao titular dos dados 

Exponente: CpC: Cidadãos pela Cibersegurança 

Responsável pelo tratamento visado: Serviços Partilhados do Ministério da Saúde, E.P.E. (SPMS), sob tutela do Ministério da Saúde

A Cidadãos pela Cibersegurança vem, ao abrigo do artigo 77.º do Regulamento Geral sobre a Proteção de Dados e dos poderes de investigação conferidos a essa Comissão pelo artigo 58.º do mesmo Regulamento e pela Lei n.º 58/2019, de 8 de agosto, expor o seguinte e solicitar a competente averiguação.

A presente exposição surge na sequência do incidente de segurança ocorrido em maio de 2026 no portal SNS 24, em que credenciais profissionais comprometidas permitiram o acesso a informação clínica de um número elevado de utentes, incluindo menores. Esse incidente, já objeto de participação autónoma por esta organização, revelou fragilidades que se prendem com a própria arquitetura de controlo de acessos do Registo de Saúde Eletrónico (RSE).

Não está em causa a licitude do acesso assistencial à informação clínica, que encontra fundamento no artigo 9.º, n.º 2, alínea h), do Regulamento, conjugado com a legislação nacional de saúde. O que se submete à apreciação dessa Comissão é matéria distinta: a aparente ausência de garantias adequadas de segregação entre o acesso assistencial legítimo no âmbito do SNS e o acesso que um mesmo profissional, acumulando funções no setor privado ou social, possa efetuar no decurso de atividade privada, invocando as permissões de contexto público.

A Área do Profissional do RSE é acessível não apenas a partir da Rede Informática da Saúde ou por VPN autorizada, mas igualmente pela internet aberta, na modalidade destinada a profissionais a título individual. Nessa modalidade, o acesso depende da autenticação do profissional e da identificação do utente. Sucede, porém, que quando o titular já concedeu previamente, na sua Área do Cidadão, uma autorização de acesso em contexto SNS, o profissional pode aceder sem nova validação síncrona no momento do ato. Esta autorização genérica pode assim servir de fundamento aparente a acessos praticados fora do âmbito assistencial público.

O sistema não dispõe, tanto quanto é possível apurar, de qualquer mecanismo de autorização dinâmica e granular que vincule o acesso a um momento concreto e a um profissional identificado. A dificuldade de verificar em tempo real a existência de um episódio assistencial ativo é reconhecível, nomeadamente nos casos de teleconsulta ou de avaliação de estado clínico à distância. Precisamente por isso, seria tecnicamente exequível implementar uma confirmação explícita do titular com janela de validade estritamente limitada no tempo — por exemplo, uma notificação solicitando que o utente autorize o profissional X a aceder ao seu registo nos quinze minutos seguintes. A ausência de qualquer mecanismo deste tipo significa que, na prática, a autenticação do profissional funciona como único controlo de acesso efetivo, o que é manifestamente insuficiente para dados de saúde da categoria do artigo 9.º do Regulamento.

Acresce que o histórico de acessos da Área do Cidadão, embora identifique o profissional, a data e a hora do acesso, não permite ao titular distinguir se o acesso foi praticado no cumprimento de funções no SNS ou no decurso de atividade privada do mesmo profissional, nem revela a origem técnica do acesso. Esta limitação compromete o exercício efetivo do direito de fiscalização que assiste ao titular.

Os factos relatados configuram potencial desconformidade com os princípios da limitação das finalidades e da integridade e confidencialidade, consagrados no artigo 5.º, n.º 1, alíneas b) e f), do Regulamento, bem como com a obrigação de implementação de medidas técnicas e organizativas adequadas prevista nos artigos 25.º e 32.º. O incidente de maio de 2026 indicia, ademais, que os controlos de deteção de anomalias eventualmente existentes não operaram de forma eficaz.

Nestes termos, requer-se a essa Comissão que averigue junto da SPMS, E.P.E., enquanto responsável pelo tratamento: se o sistema valida a existência de um episódio assistencial ativo como condição prévia ao acesso, ou se basta a autenticação do profissional e a identificação do utente; se existe algum mecanismo de autorização dinâmica com janela de validade temporalmente limitada, como alternativa ou complemento à validação de episódio; que medidas técnicas e organizativas asseguram a segregação entre os contextos de acesso público e privado dos profissionais que acumulam funções; se os registos de auditoria distinguem inequivocamente a origem, o contexto e a natureza de cada acesso, e por que prazo são conservados; que mecanismos de deteção de acessos anómalos se encontram efetivamente em operação; e por que motivo a informação disponibilizada ao titular não inclui elementos que permitam distinguir o contexto do acesso.

Requer-se ainda que, caso a averiguação confirme as desconformidades indiciadas, essa Comissão determine as medidas corretivas adequadas, designadamente a implementação de mecanismos de autorização dinâmica com validade temporalmente limitada, o reforço da monitorização de desvios de perfil, e o aumento da transparência dos dados de auditoria fornecidos ao titular.

A Cidadãos pela Cibersegurança disponibiliza-se para prestar quaisquer esclarecimentos adicionais e solicita ser informada do seguimento dado à presente exposição, nos termos do artigo 77.º, n.º 2, do Regulamento.

Com os melhores cumprimentos,

CpC: Cidadãos pela Cibersegurança