Como adequar os escritórios de advocacia à LGPD?

O art. 3º da Lei Geral de Proteção de Dados (LGPD) não deixa dúvidas da extensão dos seus efeitos aos escritórios de advocacia.

É praticamente impossível afastar o tratamento de dados pessoais das rotinas jurídicas. A elaboração de minutas contratuais, pareces jurídicos, due diligences e as petições judiciais ou administrativas dependem do uso de dados pessoais. Sem contar que os escritórios também possuem colaboradores, prestadores de serviços terceirizados, parceiros comerciais, cujos dados pessoais também devem ser tratados em conformidade com LGPD.

Assim, a realização das operações acima sem a observância da LGPD poderá acarretar aplicação das penalidades previstas no art. 52, tais como advertência, multas, bloqueio dos bancos de dados, publicização das infrações aos advogados/sociedades de advogados etc.

A partir de agora, o advogado tem o dever de assegurar o sigilo profissional e a proteção dos dados pessoais dos seus clientes. Tais situações não se confundem, pois enquanto o sigilo profissional tem amparo no Código de Ética e Disciplina da OAB e diz respeito ao dever de confidencialidade sobre as informações conhecidas em razão do seu exercício profissional, a proteção de dados pessoais é disciplinada pela LGPD, que determina como os dados pessoais devem ser tratados para garantir o direito dos seus titulares.

Uma sugestão para começar o processo de adequação do escritório de advocacia é elaborar o Registro de operações de tratamento de dados pessoais, pois além de ser uma obrigação legal (art. 37 da LGPD), tal documentação permitirá o pleno conhecimento dos dados tratados, seus titulares e o seu fluxo dentro do escritório.

Ainda com base neste registro, será possível que o advogado verifique se os tratamentos estão sendo realizados em conformidade com os princípios da LGPD (art. 6º) que determinam a observância da finalidade, adequação e necessidade do tratamento. Ou seja, a partir de agora o advogado deve se preocupar em coletar e armazenar apenas as informações pessoais absolutamente necessárias para atender os propósitos da sua contratação, eliminando todo o excesso.

A próxima etapa será a construção da Política de Privacidade de Dados Pessoais alinhada com os tratamentos realizados pelo escritório e a implementação de medidas técnicas que garantam a proteção dos dados pessoais pelos advogados no ambiente digital e físico. Importante lembrar que a lei exige a comprovação da adoção e eficácia de tais medidas.

O passo seguinte será a adaptação das minutas contratuais, documentos importantes na definição das responsabilidades dos agentes de tratamento. Diante de cada um dos contratos firmados deve ser definido qual o papel ocupado pelo advogado/sociedade de advocacia: se é de controlador ou operador dos dados pessoais.

Pelos termos da LGPD, será considerado como controlador a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;” (art. 5º, inciso VI). Por outro lado, será considerado como operador “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (art. 5º, inciso VII).

As Autoridades Europeias como a United Kingdom Information Commissioner’s Office, Agência de Informações do Reino Unido e o Conselho Europeu de Proteção de Dados já publicaram orientações sobre as posições de controlador e do operador de dados. Considerando a atuação específica do advogado, a Agência de Informações do Reino Unido, concluiu que o advogado deve ser considerado controlador: (i) quando receber dados pessoais sobre terceiros para assessorar o cliente em relação a seus direitos; e (ii) quando o cliente tiver pouco discernimento acerca de como os dados serão tratados no curso da representação profissional pelo advogado.

Embora as orientações acima sejam de grande valia, apenas diante da análise casuística é possível definir a posição ocupada pelo advogado/sociedade de advogados em cada relação contratual.

Quando o advogado atuar na condição de controlador é importante evidenciar nos instrumentos contratuais a determinação da finalidade do tratamento, o respeito aos termos da LGPD e da sua Política de Privacidade de Dados Pessoais, o procedimento para os titulares exercerem os seus direitos, as medidas técnicas de segurança utilizadas, dever de confidencialidade, o modo de comunicação em caso de incidentes.

Por seu turno, o advogado será considerado operador quando atuar no apoio, seguindo premissas e objetivos pré-determinados, como por exemplo quando atua como correspondente e revisões de procedimentos. Nesta situação o advogado deve seguir estritamente as ordens lícitas do controlador, sem qualquer desvio e não utilizar os dados pessoais para atender finalidades próprias.

Estes cuidados serão considerados ao se averiguar a (des)necessidade de aplicação de sanções pela Autoridade Nacional de Proteção de Dados e por isso devem ser avaliados com cautela.

Por fim, cabe evidenciar que empresas em conformidade com a LGPD devem exigir a mesma conformidade dos seus prestadores de serviço nas situações envolvendo o compartilhamento de dados pessoais. Tendo em vista que a grande maioria dos serviços jurídicos depende do uso de dados pessoais compartilhados pelo cliente, é certo que será cada vez mais exigido dos escritórios de advocacia a comprovação de conformidade com a LGPD.