Conversar WhatsApp
LGPD · LGPD · 6 min de leitura

LGPD no escritório de advocacia: sigilo profissional não te isenta

A maioria dos escritórios de advocacia acredita que o sigilo profissional resolve o problema da LGPD. Não resolve. O sigilo protege o conteúdo do que o cliente confida; a LGPD regula o como, o quanto tempo e o por que você armazena esse dado. São obrigações diferentes, e a ANPD não faz exceção pra profissão liberal.

LGPD no escritório de advocacia: sigilo profissional não te isenta
Leonardo Ribeiro
Escrito por
Leonardo Ribeiro
Sócio · Ribeiro Sociedade de Advogados
Publicado em

A maioria dos escritórios de advocacia acredita que o sigilo profissional resolve o problema da LGPD. Não resolve. O sigilo do advogado, garantido pelo Estatuto da OAB e pelo Código de Ética, protege o conteúdo do que o cliente confida: impede que você revele a terceiros sem autorização. A LGPD entra numa camada diferente, regulando o como, o quanto tempo e o por que o escritório armazena e descarta esses dados. São obrigações paralelas, não excludentes.

O escritório é controlador de dados pessoais de clientes, partes contrárias, testemunhas e funcionários ao mesmo tempo. A ANPD não criou regime especial pra banca jurídica. O argumento "somos advogados, o sigilo nos protege" não vai funcionar num processo administrativo.

Sigilo cobre o conteúdo. LGPD cobre o tratamento. São coisas diferentes.

Imagine que um cliente te contou sobre um histórico médico relevante pra uma ação previdenciária. O sigilo impede que você revele essa informação fora do mandato. A LGPD vai além: exige que você defina com que base legal está tratando aquele dado de saúde, que é dado pessoal sensível nos termos do art. 5º, II da Lei 13.709/2018. Para dado sensível, as bases legais são mais restritas, listadas no art. 11, e o consentimento precisa ser específico e destacado.

Na prática: não basta não revelar. O escritório precisa justificar por que coletou, como armazena, por quanto tempo retém e quando descarta. Esse conjunto de obrigações não está no Código de Ética da OAB. Está na LGPD.

Nossa leitura: a sobreposição é benéfica pro cliente. O sigilo já impunha confidencialidade. A LGPD adiciona o dever de governança sobre o dado. Um escritório bem estruturado cumpre os dois sem tensão.

Prontuário do cliente: o que você coleta precisa ter justificativa

Toda abertura de caso tem uma ficha. CPF, endereço, telefone, objeto da demanda. Dentro da base legal de execução de contrato do art. 7º, V da LGPD, tudo bem. O problema começa quando o formulário pede estado civil em ação tributária, dados de renda em demanda de família já encerrada, ou informações de saúde num caso que não é previdenciário. A gente vê isso com frequência nos escritórios do Vale do Itajaí: a ficha foi criada uma vez e nunca mais foi revisada.

A LGPD tem o princípio da necessidade no art. 6º, III: o tratamento deve se limitar ao mínimo necessário para a finalidade declarada. Coletar dado "por via das dúvidas" é exposição gratuita. O escritório precisa de uma política de retenção documentada. Para processos cíveis, com prazo prescricional de até 10 anos, reter o prontuário por 10 anos após encerramento é defensável. Para trabalhistas, 2 anos pós-extinção do contrato costuma nortear. Isso precisa estar escrito, não só praticado.

Seu sistema jurídico é operador de dados. Você sabe o que está no contrato?

Astrea, ADVBOX, Lawyer e qualquer software de gestão em nuvem que armazene dados de clientes do escritório é, nos termos da LGPD, um operador de dados. O art. 37 da Lei 13.709/2018 exige que a relação entre controlador e operador seja regulada por contrato que especifique obrigações de segurança, finalidade e procedimento em caso de incidente.

A pergunta que poucos fazem: o escritório leu o contrato de adesão do software? Os maiores fornecedores do mercado jurídico já incluem cláusulas de proteção de dados nos termos de serviço. Mas nem todos. E se o sistema sofrer um vazamento com dados de clientes, o controlador responde perante o titular e perante a ANPD, mesmo que a falha técnica tenha sido do operador.

Na prática: exija do fornecedor um adendo de proteção de dados ou cláusula específica antes da próxima renovação. Se o sistema rodar em nuvem fora do Brasil, há uma camada a mais: transferência internacional de dados tem requisitos próprios no art. 33 da LGPD.

Correspondente jurídico: você transferiu dado do cliente sem base contratual?

Contratar correspondente para audiência em outra cidade parece operação simples. Mas envolve transferir para um terceiro o nome do cliente, número do processo, endereço e, às vezes, dado de saúde ou financeiro. Esse correspondente recebe o dado. O que ele faz depois da audiência? Por quanto tempo guarda? Entra no sistema dele? Algum funcionário de apoio acessa?

A LGPD exige que o controlador que repassa dados a terceiros garanta que esses terceiros também cumpram as obrigações legais. Sem cláusula contratual específica, o escritório que contratou fica exposto.

  • Inclua em todo contrato de correspondência uma cláusula de proteção de dados com prazo máximo de retenção
  • Proíba expressamente o uso dos dados para qualquer finalidade além da diligência contratada
  • Exija confirmação de exclusão em prazo determinado: 30 dias após entrega do relatório é razoável
  • Correspondente pessoa física autônoma representa risco maior: geralmente tem menos infraestrutura de segurança e controle de acesso

E-mail: o canal de dado mais exposto que ninguém protege

O escritório médio envia centenas de e-mails por mês com petições, contratos, laudos e extratos. Sem encriptação, sem senha nos anexos, com histórico de thread acumulando arquivos de múltiplos clientes no mesmo encadeamento. Uma conta comprometida por phishing pode expor dezenas de clientes de uma vez.

Isso é incidente de segurança nos termos do art. 48 da LGPD. O controlador tem obrigação de comunicar à ANPD e ao titular incidentes que possam gerar risco ou dano relevante. Nossa leitura conservadora: notificação em até 72 horas após ciência do incidente, não pra concluir a investigação, mas pra comunicar que o incidente ocorreu e que a apuração está em andamento.

Falando sério: autenticação de dois fatores em todos os e-mails do escritório é o primeiro item que qualquer auditor vai checar. Junto com isso:

  • Proibição de envio de documentos com dados sensíveis sem senha no arquivo ou link com acesso controlado
  • Revisão semestral de quem tem acesso a caixas compartilhadas: ex-funcionários com acesso ativo a contas como contato@ são uma das principais causas de vazamento
  • Não misturar dados de clientes diferentes num mesmo encadeamento de e-mail

O que fazer nas próximas 2 semanas

  • Revise o formulário de abertura de caso. Pergunte pra cada campo: esse dado é realmente necessário pra essa demanda? Se não for, tire.
  • Leia o contrato do seu software jurídico. Procure "proteção de dados" ou "LGPD". Se não houver cláusula específica, peça o adendo ao fornecedor e guarde a resposta.
  • Revise os contratos de correspondência em uso. Insira cláusula de proteção de dados com prazo de exclusão. Um parágrafo já muda o cenário de responsabilidade.
  • Ative autenticação de dois fatores em todos os e-mails profissionais. No Google Workspace e Microsoft 365 leva menos de 10 minutos por usuário.
  • Documente a política de retenção. Uma página definindo por quanto tempo cada tipo de dado fica no sistema já é suficiente pra demonstrar compliance mínimo perante a ANPD.
  • Indique um encarregado (DPO) formalmente. O art. 41 da LGPD exige encarregado para todo controlador. Pode ser um sócio designado, com nome e canal de contato publicados no site.

Escritório que fizer isso em duas semanas já estará à frente da maioria das bancas brasileiras. A adequação à LGPD no segmento jurídico ainda é baixíssima. O risco de receber a primeira notificação da ANPD cresce à medida que a autarquia amplia sua estrutura de fiscalização e prioriza setores que tratam volume alto de dados sensíveis. Advogado está nessa lista.

Precisa de orientação?

Fale com um advogado da RSA.

Diagnóstico objetivo em até 24h úteis.

WhatsApp direto Formulário de contato
Continue lendo sobre LGPD

Artigos relacionados

LGPD para SaaS: o bug de multi-tenant que vira incidente
LGPD
LGPD para SaaS: o bug de multi-tenant que vira incidente
 LGPD em M&A: a dívida de dados que o comprador herda
LGPD
LGPD em M&A: a dívida de dados que o comprador herda
 Seu RH coleta dado sensível todo dia. A maioria sem base legal.
LGPD
Seu RH coleta dado sensível todo dia. A maioria sem base legal.
Ver todos os artigos de LGPD →