Cristiano Pinheiro
Cristiano Pinheiro
Cristiano Pinheiro

Menu

Contactos
Termos e Condições Política de Privacidade Política de Cookies
Fuga de dados no SNS 2026: como saber se sou vítima e o que fazer

Blog

Fuga de dados no SNS 2026: como saber se sou vítima e o que fazer

PUBLICADO

26/05/2026

PALAVRAS CHAVES

fuga de dados SNS acesso ilegal dados clínicos queixa CNPD indemnização RGPD SNS24 dados pessoais

PARTILHAR

LINKEDIN FACEBOOK WHATSAPP

A 22 de Maio de 2026, a Polícia Judiciária confirmou: mais de 100 mil utentes do SNS, adultos e crianças de todo o país e das ilhas, tiveram os seus dados acedidos indevidamente através de credenciais comprometidas de um médico da Unidade Local de Saúde do Alto Minho. A PJ admitiu publicamente que o ataque poderá ter sido executado com recurso a inteligência artificial, dado o volume de dados extraído num intervalo de tempo impossível por meios convencionais.

Se recebeu uma notificação do SNS24 a indicar acesso ao seu processo ou ao do seu filho por um médico que não conhece, está provavelmente entre os afectados. Tem direitos concretos que pode exercer já.

Como saber se sou vítima

O alarme legal surge de três formas: notificação do SNS24 a registar acesso por profissional com quem não tem relação; comunicação da Unidade Local de Saúde, dos Serviços Partilhados do Ministério da Saúde ou da CNPD; descoberta por iniciativa própria ao consultar o histórico de acessos na área pessoal do SNS24.

O passo prático imediato é entrar no SNS24, descarregar o registo completo das consultas feitas à sua ficha, e guardá-lo em PDF com captura de ecrã. É a sua prova. Sem prova documental, qualquer queixa fica fragilizada à partida.

O que aconteceu, do ponto de vista jurídico

Os dados clínicos são, no Direito português e europeu, "dados especiais" ou "dados sensíveis", de protecção reforçada. O Tribunal da Relação de Évora, em acórdão de 11 de Julho de 2024 no processo 1692/23.8T8STB-A.E1 , foi explícito: os dados de saúde são protegidos nos termos do RGPD e da Lei n.º 58/2019, integram as categorias especiais e o seu tratamento é proibido nos termos do artigo 9.º, n.º 1, do RGPD salvo consentimento explícito ou as estritas excepções legais.

O acesso sem autorização configura simultaneamente vários ilícitos: o crime de acesso ilegítimo, previsto no artigo 6.º da Lei n.º 109/2009 (Lei do Cibercrime), punido com pena que sobe até cinco anos de prisão quando há violação de regras de segurança e conhecimento de dados confidenciais protegidos por lei; pode também configurar crime de devassa da vida privada (artigo 192.º do Código Penal), se houver divulgação de doença grave, e violação de segredo (artigo 195.º do Código Penal).

Para o enquadramento mais detalhado, consulte o meu artigo "Acederam à minha informação clínica sem autorização: o que fazer".

Onde apresentar queixa

A resposta jurídica tem três frentes que devem correr em paralelo: protegem coisas diferentes e prescrevem em momentos diferentes.

A primeira é a queixa-crime junto da Polícia Judiciária, que tem competência exclusiva para investigar cibercrime através da Unidade Nacional de Combate ao Cibercrime (UNC3T). A queixa faz-se presencialmente em qualquer Departamento de Investigação da PJ, ou online no Gabinete de Cibercrime do MP (cibercrime.ministeriopublico.pt). Os crimes do artigo 6.º da Lei do Cibercrime e do artigo 195.º do Código Penal dependem, em regra, de queixa do ofendido, apresentada nos seis meses seguintes ao conhecimento do facto e do agente.

A segunda é a reclamação à Comissão Nacional de Protecção de Dados (CNPD), autoridade administrativa independente nos termos do artigo 2.º da Lei n.º 43/2004. Faz-se online em www.cnpd.pt e despoleta processo contraordenacional contra a entidade responsável pelo tratamento (a ULS Alto Minho e os Serviços Partilhados do Ministério da Saúde). As coimas do RGPD podem chegar a 20 milhões de euros. Não tem custos associados.

A terceira é a acção de indemnização, abordada a seguir.

Tenho direito a indemnização?

Sim. O artigo 82.º do RGPD reconhece, de forma directa e autónoma, o direito de qualquer pessoa que sofra danos materiais ou imateriais por violação do Regulamento a ser indemnizada pelo responsável pelo tratamento. Não é preciso provar prejuízo patrimonial: o dano não patrimonial (angústia, invasão da privacidade, perda de controlo sobre dados clínicos) é, por si só, indemnizável.

Tratando-se de entidade pública, o SNS responde nos termos da Lei n.º 67/2007 (Regime da Responsabilidade Civil Extracontratual do Estado). O artigo 7.º prevê responsabilidade por "funcionamento anormal do serviço", quando fosse razoavelmente exigível uma actuação susceptível de evitar os danos. A ausência de mecanismos de detecção precoce de acessos anómalos a 100 mil fichas é o exemplo de manual desse conceito. A acção corre nos tribunais administrativos contra a ULS respectiva ou o Ministério da Saúde.

Cinco passos a dar nos próximos sete dias

Verificar e preservar prova: entrar no SNS24, descarregar o histórico de acessos, fazer capturas de ecrã com data visível. Guardar tudo em local seguro fora do telemóvel.

Solicitar formalmente o histórico completo: dirigir pedido à Unidade Local de Saúde, ao abrigo do artigo 15.º do RGPD (direito de acesso), exigindo informação sobre quem acedeu aos dados, quando, e que dados foram visualizados ou copiados.

Apresentar queixa-crime na PJ ou no Ministério Público, nos seis meses seguintes ao conhecimento. Mesmo que o inquérito venha a ser unificado num só processo a nível nacional, o registo da queixa individual é importante para o pedido de indemnização civil.

Reclamar à CNPD, online, juntando os comprovativos. O processo na CNPD é independente do processo-crime.

Avaliar a viabilidade de acção de indemnização, com aconselhamento jurídico. Os danos não patrimoniais podem variar de algumas centenas a alguns milhares de euros consoante o conteúdo concreto dos dados expostos, a duração da exposição, a vulnerabilidade da vítima (caso de menores) e o impacto pessoal.

Atenção redobrada se forem dados de menores

Quando o acesso indevido incide sobre processos de crianças, a gravidade aumenta. O RGPD considera os menores titulares de protecção reforçada. Os pais agem em representação do filho, mas a queixa-crime, a reclamação à CNPD e a acção de indemnização são exercidas em nome do menor. A indemnização atribuída entra no património do menor.

A Ordem dos Médicos já desencadeou procedimentos internos e contactou o Ministério Público. Existe um trilho institucional aberto, mas não dispensa a iniciativa individual. Cada utente atingido tem de fazer valer os seus direitos, ou eles diluem-se.

O que esperar daqui para a frente

A PJ admitiu que a sofisticação do ataque vai tornar a identificação dos autores complexa e a fase de inquérito prolongar-se-á provavelmente por meses (ou anos). Mas o direito a indemnização não depende da identificação do autor: o responsável pelo tratamento, o SNS, responde objectivamente pela falha de segurança, nos termos do RGPD e da Lei n.º 67/2007.

O que se perdeu nesta fuga não foi apenas informação técnica. Foi confiança. Recuperá-la passa por exigir contas. A lei portuguesa dá ferramentas para o fazer, e o prazo começou a contar.

Para falar sobre a sua situação, entre em contacto através do WhatsApp.

 

Sobre o Autor:

Cristiano Pinheiro é Advogado, assumindo a advocacia como uma missão de Rigor, Verdade e Excelência. A sua atuação, focada no Direito da Família, Imobiliário e Responsabilidade Civil/Penal, distingue-se pela procura de resultados sólidos, construindo soluções justas que protegem o futuro dos seus clientes.

Onde a Verdade encontra a Excelência

www.cristianopinheiro.pt

ANTERIOR

Cookie

Ao aceitar este formulário, autorizo a cristianopinheiro a processar os meus dados da forma indicada e descrita na política de privacidade e de cookies.

ACEITAR