{"id":820,"date":"2026-05-13T15:00:00","date_gmt":"2026-05-13T18:00:00","guid":{"rendered":"https:\/\/sevenresiduosaude.com.br\/blog\/?p=820"},"modified":"2026-05-13T15:00:00","modified_gmt":"2026-05-13T18:00:00","slug":"vazamento-dado-pgrss-protocolo-incidente-lgpd-anpd","status":"publish","type":"post","link":"https:\/\/sevenresiduosaude.com.br\/blog\/vazamento-dado-pgrss-protocolo-incidente-lgpd-anpd\/","title":{"rendered":"Vazamento de dado em PGRSS: protocolo LGPD"},"content":{"rendered":"<p>Vazamento de <strong>dado pessoal sens\u00edvel de paciente<\/strong> via PGRSS, MTR-RSS, prontu\u00e1rio relacionado a acidente ocupacional, ou outros documentos da cadeia de RSS \u00e9 cen\u00e1rio <strong>menos comum mas grave<\/strong> quando ocorre. O dado de sa\u00fade \u00e9 classificado como <strong>sens\u00edvel<\/strong> pela <a href=\"https:\/\/www.gov.br\/anpd\">Lei Geral de Prote\u00e7\u00e3o de Dados (LGPD)<\/a> \u2014 categoria que recebe <strong>prote\u00e7\u00e3o elevada<\/strong> + multas mais altas em caso de viola\u00e7\u00e3o.<\/p>\n<p>Vazamento pode ocorrer por: <strong>etiqueta com nome de paciente em saco de RSS<\/strong> (descarte sem anonimiza\u00e7\u00e3o), <strong>MTR com identifica\u00e7\u00e3o do paciente<\/strong>, <strong>prontu\u00e1rio ocupacional acessado por terceiro n\u00e3o autorizado<\/strong>, <strong>e-mail com lista de pacientes a coletora<\/strong>, <strong>CDF com dado vinculado<\/strong>, <strong>v\u00eddeo de fiscaliza\u00e7\u00e3o com paciente identific\u00e1vel<\/strong>. Cada um pode disparar incidente LGPD.<\/p>\n<p>A ANPD multa at\u00e9 <strong>R$ 50 milh\u00f5es ou 2% do faturamento (o que for menor) por incidente<\/strong>. Comunica\u00e7\u00e3o obrigat\u00f3ria em <strong>48-72 horas ap\u00f3s detec\u00e7\u00e3o<\/strong>. Este guia traz protocolo de resposta em <strong>7 passos<\/strong> + os 4 erros mais comuns.<\/p>\n<h2>Por que dado em PGRSS \u00e9 especialmente sens\u00edvel<\/h2>\n<p>A LGPD classifica como <strong>dado pessoal sens\u00edvel<\/strong> (prote\u00e7\u00e3o elevada):<\/p>\n<ul>\n<li><strong>Origem racial ou \u00e9tnica<\/strong><\/li>\n<li><strong>Convic\u00e7\u00e3o religiosa<\/strong><\/li>\n<li><strong>Opini\u00e3o pol\u00edtica<\/strong><\/li>\n<li><strong>Filia\u00e7\u00e3o sindical<\/strong><\/li>\n<li><strong>Dado referente \u00e0 sa\u00fade ou \u00e0 vida sexual<\/strong><\/li>\n<li><strong>Dado gen\u00e9tico ou biom\u00e9trico<\/strong><\/li>\n<li>Dados de <strong>crian\u00e7as e adolescentes<\/strong><\/li>\n<\/ul>\n<p>Dado de paciente em PGRSS frequentemente cai em &#8220;sa\u00fade&#8221; + &#8220;crian\u00e7a\/adolescente&#8221; se for pedi\u00e1trico. Multa por incidente envolvendo dado sens\u00edvel <strong>pode ser elevada em at\u00e9 2x<\/strong> comparado a dado comum.<\/p>\n<h2>Os 7 passos do protocolo de resposta<\/h2>\n<p>A ANPD orienta resposta em <strong>5 fases<\/strong> que eu organizo em 7 passos pr\u00e1ticos.<\/p>\n<p><strong>Passo 1: Detec\u00e7\u00e3o + isolamento (0-2 horas).<\/strong> Equipe identifica vazamento (den\u00fancia, monitoramento, terceiro reporta). Imediatamente: <strong>isolar a fonte<\/strong> (suspender acesso, retirar material, conter circula\u00e7\u00e3o). Comunicar <strong>encarregado de dados (DPO)<\/strong> ou pessoa de equival\u00eancia.<\/p>\n<p><strong>Passo 2: Avalia\u00e7\u00e3o de impacto (2-24 horas).<\/strong> Determinar:<\/p>\n<ul>\n<li>Quais dados foram afetados (nome, CPF, dado de sa\u00fade, etc.)<\/li>\n<li>Quantos titulares foram afetados (1, 50, 500?)<\/li>\n<li>Qual foi o vetor (interno, externo, acidental, intencional)<\/li>\n<li>Qual potencial dano aos titulares<\/li>\n<\/ul>\n<p><strong>Passo 3: Comunica\u00e7\u00e3o interna (24-48 horas).<\/strong> Notificar:<\/p>\n<ul>\n<li>Dire\u00e7\u00e3o da cl\u00ednica<\/li>\n<li>Equipe envolvida<\/li>\n<li>DPO se houver designado<\/li>\n<li>Eventualmente assessoria jur\u00eddica externa<\/li>\n<\/ul>\n<p><strong>Passo 4: Comunica\u00e7\u00e3o aos titulares (at\u00e9 72 horas, dependendo do impacto).<\/strong> Pacientes afetados devem ser comunicados se h\u00e1 risco real. Comunica\u00e7\u00e3o clara, n\u00e3o-acusat\u00f3ria, com:<\/p>\n<ul>\n<li>O que aconteceu<\/li>\n<li>Quando aconteceu<\/li>\n<li>Quais dados foram afetados<\/li>\n<li>Que medidas foram tomadas<\/li>\n<li>Como o titular pode se proteger<\/li>\n<\/ul>\n<p><strong>Passo 5: Comunica\u00e7\u00e3o \u00e0 ANPD (at\u00e9 72 horas para casos graves).<\/strong> Formul\u00e1rio oficial no portal ANPD. Detalhar incidente + medidas tomadas. Manter c\u00f3pia de tudo.<\/p>\n<p><strong>Passo 6: Investiga\u00e7\u00e3o + corre\u00e7\u00e3o da causa raiz (semanas seguintes).<\/strong> Identificar <strong>por que<\/strong> ocorreu. N\u00e3o basta corrigir o sintoma \u2014 precisa entender se foi falha de processo, treinamento, sistema, atitude. Plano de a\u00e7\u00e3o para evitar recorr\u00eancia.<\/p>\n<p><strong>Passo 7: Documenta\u00e7\u00e3o + arquivo (5+ anos).<\/strong> Todo o protocolo documentado para apresenta\u00e7\u00e3o em fiscaliza\u00e7\u00e3o ANPD ou processo civil eventual. Arquivar por 5 anos no m\u00ednimo.<\/p>\n<h2>Tabela: tipos de vazamento + a\u00e7\u00e3o<\/h2>\n<table>\n<thead>\n<tr>\n<th>Vazamento t\u00edpico<\/th>\n<th>Probabilidade<\/th>\n<th>Severidade<\/th>\n<th>A\u00e7\u00e3o priorit\u00e1ria<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Etiqueta com nome de paciente em saco RSS vis\u00edvel<\/td>\n<td>M\u00e9dia<\/td>\n<td>M\u00e9dia<\/td>\n<td>Anonimizar todos os fluxos imediatamente<\/td>\n<\/tr>\n<tr>\n<td>MTR-RSS com lista de pacientes do dia<\/td>\n<td>Baixa<\/td>\n<td>Alta<\/td>\n<td>Investigar quem teve acesso + bloqueio<\/td>\n<\/tr>\n<tr>\n<td>Prontu\u00e1rio ocupacional fotografado por terceiro<\/td>\n<td>Baixa<\/td>\n<td>Alta<\/td>\n<td>Comunicar ANPD + paciente afetado<\/td>\n<\/tr>\n<tr>\n<td>E-mail interno com lista de pacientes acidentalmente vazado externamente<\/td>\n<td>M\u00e9dia<\/td>\n<td>Alta<\/td>\n<td>Recall do email + comunica\u00e7\u00e3o ANPD<\/td>\n<\/tr>\n<tr>\n<td>V\u00eddeo de fiscaliza\u00e7\u00e3o capturando rosto identific\u00e1vel de paciente<\/td>\n<td>M\u00e9dia<\/td>\n<td>M\u00e9dia<\/td>\n<td>Solicitar \u00e0 autoridade n\u00e3o publicar imagem<\/td>\n<\/tr>\n<tr>\n<td>CDF com identifica\u00e7\u00e3o direta do paciente<\/td>\n<td>Baixa<\/td>\n<td>M\u00e9dia<\/td>\n<td>Atualizar protocolo para anonimiza\u00e7\u00e3o sistem\u00e1tica<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>A maioria dos vazamentos \u00e9 <strong>acidental<\/strong> (n\u00e3o intencional) \u2014 n\u00e3o diminui a obriga\u00e7\u00e3o legal de resposta + comunica\u00e7\u00e3o.<\/p>\n<h2>Os 4 erros mais comuns na resposta<\/h2>\n<p><strong>Erro 1: N\u00e3o comunicar \u00e0 ANPD por achar &#8220;incidente pequeno&#8221;.<\/strong> ANPD recebe comunica\u00e7\u00e3o independente do tamanho. N\u00e3o comunicar quando deveria gera multa adicional ao vazamento original.<\/p>\n<p><strong>Erro 2: Comunicar paciente com tom defensivo.<\/strong> Comunica\u00e7\u00e3o que minimiza o evento + culpa o paciente + nega responsabilidade gera pior resultado. Tom transparente + plano claro de prote\u00e7\u00e3o \u00e9 o caminho.<\/p>\n<p><strong>Erro 3: Sem plano de a\u00e7\u00e3o para causa raiz.<\/strong> Corrigir s\u00f3 o sintoma + n\u00e3o entender por que ocorreu = recorr\u00eancia. Auditoria p\u00f3s-incidente identifica falha sist\u00eamica.<\/p>\n<p><strong>Erro 4: Sem documenta\u00e7\u00e3o do incidente.<\/strong> Em fiscaliza\u00e7\u00e3o ANPD posterior, aus\u00eancia de registro escrito + comunica\u00e7\u00f5es + medidas tomadas vira agravante. Protocolo registrado \u00e9 defesa.<\/p>\n<h2>Preven\u00e7\u00e3o: 4 medidas estruturais<\/h2>\n<p>A opera\u00e7\u00e3o de preven\u00e7\u00e3o \u00e9 <strong>mais barata<\/strong> que resposta a incidente.<\/p>\n<ol>\n<li><strong>Anonimiza\u00e7\u00e3o sistem\u00e1tica<\/strong> \u2014 rotular sacos de RSS apenas com data + setor (n\u00e3o com nome de paciente). Mais sobre <a href=\"https:\/\/sevenresiduosaude.com.br\/blog\/lgpd-clinica-saude-mtr-rss-dado-pessoal-paciente\/\">LGPD na cl\u00ednica de sa\u00fade \u2014 fluxo MTR-RSS<\/a>.<\/li>\n<\/ol>\n<ol>\n<li><strong>Controle de acesso granular<\/strong> \u2014 cada documento sens\u00edvel tem controle de acesso (f\u00edsico ou digital). Apenas profissionais autorizados acessam.<\/li>\n<\/ol>\n<ol>\n<li><strong>Treinamento LGPD anual<\/strong> \u2014 equipe que manuseia documentos do PGRSS recebe treinamento espec\u00edfico em LGPD. Custo R$ 500-1.500\/ano.<\/li>\n<\/ol>\n<ol>\n<li><strong>DPO ou equivalente<\/strong> \u2014 designar pessoa respons\u00e1vel pela prote\u00e7\u00e3o de dados. Pode ser RT atual em cl\u00ednica pequena. Em cl\u00ednica grande, cargo dedicado.<\/li>\n<\/ol>\n<p>A Seven Res\u00edduos Sa\u00fade, l\u00edder em gest\u00e3o de res\u00edduos de servi\u00e7os de sa\u00fade (RSS) na Grande SP, opera com <strong>anonimiza\u00e7\u00e3o padronizada de todos os fluxos<\/strong> + apoio em incidentes para clientes contratados. Mais sobre temas correlatos em <a href=\"https:\/\/sevenresiduosaude.com.br\/blog\/lgpd-clinica-saude-mtr-rss-dado-pessoal-paciente\/\">LGPD na cl\u00ednica de sa\u00fade \u2014 fluxo MTR-RSS<\/a> e <a href=\"https:\/\/sevenresiduosaude.com.br\/blog\/digitalizar-arquivo-pgrss-mtr-cdf-lgpd-protocolo\/\">como digitalizar arquivo PGRSS<\/a>.<\/p>\n<h2>FAQ<\/h2>\n<h3>Toda cl\u00ednica precisa de DPO formal?<\/h3>\n<p>N\u00e3o. ANPD permite &#8220;encarregado&#8221; mais simples em cl\u00ednica pequena \u2014 pode ser o RT atual com fun\u00e7\u00e3o adicional. Cl\u00ednica grande + hospital + operadora frequentemente designa cargo dedicado.<\/p>\n<h3>Multa m\u00e1xima da ANPD \u00e9 sempre R$ 50 milh\u00f5es?<\/h3>\n<p>\u00c9 o teto. Multa real considera faturamento + reincid\u00eancia + grau de culpa. Para cl\u00ednica pequena (R$ 1M\/ano faturamento), teto \u00e9 R$ 20.000 (2% do faturamento).<\/p>\n<h3>Tenho que comunicar ANPD para qualquer vazamento?<\/h3>\n<p>N\u00e3o obrigatoriamente. Vazamento sem risco real (etiqueta com nome em saco interno do abrigo da cl\u00ednica, sem exposi\u00e7\u00e3o a terceiros) pode ser registrado internamente sem ANPD. Em d\u00favida, comunicar.<\/p>\n<h3>Quanto tempo a ANPD demora para responder?<\/h3>\n<p>Em casos graves, retorno em 60-180 dias com decis\u00e3o preliminar. Casos menores podem ficar em fila por 1-2 anos. Manter pasta atualizada com correspond\u00eancias.<\/p>\n<h3>Posso terceirizar resposta a incidente?<\/h3>\n<p>Sim, h\u00e1 empresas especializadas em &#8220;DPO terceirizado&#8221; + advogados de LGPD. Custo: R$ 500-3.000\/m\u00eas ou por incidente.<\/p>\n<h2>Conclus\u00e3o<\/h2>\n<p>Vazamento de dado de paciente em PGRSS \u00e9 cen\u00e1rio grave + pode ocorrer por etiqueta, MTR, prontu\u00e1rio, e-mail. Protocolo de resposta em 7 passos: detec\u00e7\u00e3o + isolamento, avalia\u00e7\u00e3o, comunica\u00e7\u00e3o interna, comunica\u00e7\u00e3o titulares + ANPD, investiga\u00e7\u00e3o causa raiz, documenta\u00e7\u00e3o. Anonimiza\u00e7\u00e3o sistem\u00e1tica + controle de acesso + treinamento + DPO previnem na origem. A Seven Res\u00edduos Sa\u00fade apoia clientes em preven\u00e7\u00e3o + resposta.<\/p>\n<p><strong><a href=\"https:\/\/sevenresiduosaude.com.br\/orcamento\/\">Solicite um diagn\u00f3stico LGPD do seu PGRSS<\/a><\/strong> \u2014 auditamos pontos de risco (etiqueta, MTR, arquivo), indicamos protocolo de anonimiza\u00e7\u00e3o, fornecemos modelo de plano de resposta a incidente para acionamento r\u00e1pido em caso de vazamento.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Vazamento de dado de paciente via PGRSS, MTR ou prontu\u00e1rio relacionado exige protocolo de incidente em 72h. Veja os 7 passos + os 4 erros comuns + multas ANPD.<\/p>\n","protected":false},"author":3,"featured_media":819,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[859,1663,1660,1664,1659,1166,1661,1662,1658],"class_list":["post-820","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compliance-legislacao","tag-anpd","tag-comunicacao-anpd","tag-dado-pessoal-sensivel","tag-encarregado-dados","tag-incidente-lgpd","tag-pgrss-lgpd","tag-prontuario-vazado","tag-protocolo-resposta","tag-vazamento-dado"],"_links":{"self":[{"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/posts\/820","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/comments?post=820"}],"version-history":[{"count":1,"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/posts\/820\/revisions"}],"predecessor-version":[{"id":2704,"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/posts\/820\/revisions\/2704"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/media\/819"}],"wp:attachment":[{"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/media?parent=820"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/categories?post=820"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/tags?post=820"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}