Mito: PGRSS protege contra LGPD — não

O mito

“Tenho PGRSS atualizado com capítulo de descarte físico de prontuário. Estou coberto na LGPD” — gestor confiante.

Errado. PGRSS e LGPD são compliances distintas com fiscalizadores distintos. PGRSS = ANVISA/VISA + RDC 222 (resíduos físicos saúde). LGPD = ANPD + Lei 13.709/2018 (dados pessoais sensíveis em qualquer suporte). Existe interseção (descarte físico de papéis + RAEE), mas são conjuntos não sobrepostos. Multa LGPD pode chegar R$ 50 milhões por infração. PGRSS bem feito = compliance sanitário, não jurídico-digital.

Tabela 5 dimensões PGRSS vs LGPD

Capítulo onde se sobrepõem (interface)

Pontos onde PGRSS e LGPD coincidem:

• Prontuário físico vencido (20 anos) — descarte exige RDC 222 + LGPD anonimização
• RAEE com dado paciente — RDC 306 (HD/SSD) + LGPD destruição certificada
• Receituário descartado — A1 RA (PGRSS) + LGPD (dado prescrição)
• Exame impresso — A1 RA (sangue) + LGPD (resultado paciente)
• Câmera circuito fechado — RAEE (PGRSS) + LGPD (vídeo paciente)

PGRSS resolve fluxo físico, mas não automatiza anonimização LGPD (incinerar não basta — controle de cadeia + DPO + DPIA + auditoria + relatório ANPD obrigatórios).

3 perfis afetados

Consultório MEI: PGRSS R$ 80-180/mês + DPO compartilhado R$ 200-500/mês.

Clínica média: PGRSS R$ 250-600/mês + DPO interno + RoPA R$ 800-2500/mês.

Hospital: PGRSS R$ 5-25k/mês + Comitê LGPD + DPO sênior R$ 25-80k/mês.

Sinal vermelho

• “PGRSS cobre tudo” — multa ANPD garantida
• DPO inexistente para clínica >5 funcionários — auto Lei 13.709 art. 41
• Sem RoPA (Registro Operações) — descumpre art. 37

A verdade

PGRSS protege resíduo físico. LGPD protege dado pessoal. Os dois precisam coexistir + ser auditados separadamente. Vincular ambos em comitê GRC integrado = melhor prática mas não fusão.

Solicite consultoria PGRSS + LGPD integrada — capítulo interface + DPO + DPIA + RoPA.