A 28 de janeiro celebra-se o Dia Europeu da Proteção de Dados, um momento dedicado a reafirmar um direito fundamental que, no setor da saúde, assume uma dimensão de elevado grau de sensibilidade: o direito de cada pessoa à proteção da sua privacidade, da sua informação clínica e da sua dignidade.

Ao transpor, para o ordenamento jurídico interno, a Diretiva (UE) 2022/2555 (NIS2), relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança, através do Decreto-Lei 125/2025, de 4 de dezembro, o ano 2026, assume particular relevância para o setor da saúde em Portugal, e o país entra numa nova fase do seu quadro jurídico nacional de cibersegurança, alinhado com estratégias mais amplas de resiliência digital. Ao criar esta legislação, em nenhum outro setor as implicações serão tão profundas como no sistema de saúde, onde se cruzam dados sensíveis, serviços essenciais e sistemas digitais críticos.

A saúde hoje é um dos setores mais intensivos em volume e “qualidade” de dados da sociedade moderna, envolvendo registos de saúde eletrónicos, resultados de exames laboratoriais, até imagiologia médica, dados genómicos, plataformas de telemedicina e dispositivos vestíveis. Isto leva-nos a afirmar que o volume, a variedade e a velocidade dos dados de saúde se expandiram imensamente, sendo caracterizados pela sua sensibilidade, valor e criticidade.

Ao mesmo tempo, as instituições de saúde tornaram-se alvos preferenciais de ciberataques, que vão desde ransomware e exfiltração de dados e sabotagem de serviços, sendo que o desafio atual não é, somente, proteger os dados como uma obrigação legal abstrata, mas sim salvaguardar a confiança, a continuidade dos cuidados e, em última análise, a segurança dos utilizadores dos serviços de saúde.

O novo regime jurídico português, em matéria de cibersegurança, eleva significativamente o nível de exigência para as organizações classificadas como infraestruturas críticas. Ao abrigo do novo quadro regulamentar, os prestadores de cuidados de saúde, de natureza pública ou privada, devem agora implementar medidas robustas de gestão de riscos, garantir a comunicação de incidentes e demonstrar o cumprimento contínuo dos requisitos de cibersegurança e proteção de dados.

Para o Serviço Nacional de Saúde (SNS), isto representa uma mudança de paradigma: as instituições de saúde deixam de ser vistas, somente, como prestadoras de serviços, mas como infraestruturas digitais críticas, responsáveis por mapear os seus sistemas de informação, identificar vulnerabilidades, proteger redes e dispositivos médicos, formar os profissionais e estabelecer estruturas de governação que integrem a cibersegurança na tomada de decisões estratégicas.

Esta alteração jurídica reflete uma realidade fundamental: atualmente, a prestação de cuidados de saúde é indissociável dos sistemas digitais e um ataque informático a um hospital pode atrasar cirurgias, impedir o acesso aos registos clínicos, comprometer os resultados dos diagnósticos ou obrigar ao desvio de utentes para outras unidades. Por isso, a cibersegurança não é, portanto, apenas uma questão do setor de tecnologia da informação (TI), mas sim uma questão de segurança clínica e de saúde pública.

Do ponto de vista dos utentes, este reforço normativo traduz-se numa proteção mais efetiva dos seus direitos. O Regulamento Geral sobre a Proteção de Dados (RGPD) classifica os dados em saúde como uma categoria especial de dados pessoais, merecendo o mais alto nível de proteção, considerando que estes revelam, não apenas a história clínica de uma pessoa, mas, muitas vezes, aspetos íntimos de sua vida, identidade e vulnerabilidade. A nova estrutura de cibersegurança reforça essa proteção, impondo medidas como encriptação da informação, controlo rigoroso de acessos, autenticação forte, registo e auditoria das operações sobre dados clínicos, planos de resposta a incidentes e mecanismos de notificação em caso de violação de dados. Estes instrumentos visam garantir que os direitos à confidencialidade, à segurança, ao acesso e à integridade da informação clínica são efetivamente salvaguardados.

Ao mesmo tempo, os normativos legais reconhecem que os cuidados de saúde dependem da partilha de dados, devendo a informação circular entre hospitais, cuidados primários, laboratórios, farmácias e, cada vez mais, entre profissionais e utilizadores dos cuidados, através de plataformas digitais. O desafio central passa, assim, por permitir a circulação da informação necessária à continuidade e qualidade dos cuidados, sem comprometer a segurança e a confiança dos utentes, através de soluções tecnológicas e organizacionais robustas e devidamente reguladas.

A saúde digital promete eficiência, acessibilidade e melhores resultados, mas apenas se for construída sobre bases seguras e fiáveis e, por isso, o SNS enfrenta uma oportunidade e uma responsabilidade. O novo regime jurídico não é apenas uma exigência, mas uma oportunidade para modernizar sistemas, reforçar boas práticas e promover uma cultura de responsabilidade e proteção dos dados.

À medida que Portugal continua a sua transformação digital dos cuidados de saúde, o Dia Europeu da Proteção de Dados serve como um lembrete de que a inovação deve ser aliada da responsabilidade. Sejamos, todos, responsáveis e parte da solução, entendendo que o novo regime jurídico de cibersegurança não é apenas um fardo regulamentar, é um investimento necessário no futuro dos cuidados seguros, éticos e centrados na pessoa.