Em 2018, quando a Lei Nº 13.709/2018, a famosa Lei Geral de Proteção de Dados (LGPD) foi sancionada no Brasil, a maioria dos escritórios de advocacia ainda tratava o tema da segurança da informação como questão a ser tratada apenas por empresas de tecnologia.
Hoje, quase uma década depois, o cenário mudou: a Autoridade Nacional de Proteção de Dados (ANPD) já aplica sanções e situações envolvendo vazamentos de dados de clientes viram casos disciplinares na Ordem dos Advogados do Brasil (OAB).
Com isso, o ambiente digital dos escritórios, composto por coisas corriqueiras, como e-mails, sistemas de gestão, armazenamento em nuvem e aplicativos de mensagens, tornou-se um vetor de risco jurídico, reputacional e financeiro.
Isso significa que o compliance digital deixou de ser um tema periférico e passou a integrar a gestão de qualquer escritório que opere com dados de terceiros. Ou seja, praticamente todo escritório de advocacia em atividade.
Compliance digital para escritórios de advocacia: o que significa
Compliance digital é o conjunto de políticas, processos e controles que garantem que um escritório de advocacia opere em conformidade com as normas que regem o uso, o armazenamento, o tratamento e a proteção de dados digitais.
No contexto da advocacia, esse conjunto abrange ao menos três camadas:
- Normativa: adequação à LGPD (Lei Nº 13.709/2018), ao Marco Civil da Internet (Lei Nº 12.965/2014) e, quando aplicável, a regulamentações setoriais específicas.
- Ética-profissional: observância ao sigilo profissional previsto no Estatuto da OAB e também em seu Código de Ética e Disciplina.
- Operacional: adoção de ferramentas, protocolos e treinamentos que traduzam as normas em rotinas concretas dentro do escritório.
Mas é importante ressaltar que o compliance digital não substitui a segurança da informação, e sim a governa.
Enquanto a segurança trata das soluções técnicas, o compliance define quais devem ser adotadas, como documentá-las e também de que forma responder quando falham.
Compliance digital para escritórios de advocacia na LGPD
Como já vimos, a LGPD se aplica a escritórios de advocacia sempre que houver tratamento de qualquer tipo dados pessoais, como nome, CPF, endereço, informações relacionados a saúde (enfermidades), além de dados financeiros de clientes, partes e testemunhas.
Isso inclui desde o cadastro inicial do cliente até o armazenamento de peças processuais digitais.
Assim, o escritório pode atuar em duas posições distintas sob a LGPD:
- Controlador: quando decide como e por que os dados são tratados.
- Operador: quando trata dados a mando de outro controlador, como em casos de terceirização de serviços jurídicos
O controlador responde pela base legal do tratamento (Art. 7º da LGPD), pela transparência com o titular e pela adoção de medidas de segurança.
Art. 7º. “O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.”
Já o operador responde pelo cumprimento das instruções do controlador e pela segurança do ambiente onde os dados circulam.
A LGPD também exige a indicação de um Encarregado de Proteção de Dados, também conhecido como DPO (Data Protection Officer), responsável por receber comunicações da ANPD e dos titulares.
Compliance digital para escritórios de advocacia: riscos e penalidades
Os riscos decorrem, na maioria das vezes, de falhas internas e ataques externos. Entre as falhas internas, as mais recorrentes em escritórios são:
- Compartilhamento de documentos com dados sensíveis por canais não seguros (e-mail sem criptografia, WhatsApp pessoal).
- Ausência de controle de acesso (colaboradores com acesso a dados além do necessário para sua função).
- Falta de política de descarte de dados após o prazo de guarda.
- Uso de dispositivos pessoais sem gestão de segurança.
Entre os ataques externos, o ransomware (sequestro de dados com pedido de resgate) é mais frequente contra escritórios de médio e grande porte no Brasil.
As penalidades previstas para o vazamento de dados sensíveis estão no Art. 52 da LGPD e incluem advertência, multa, bloqueio ou eliminação dos dados e publicização da infração.
Art. 52. “Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração.”
Além das sanções administrativas da ANPD, o vazamento de dados de clientes pode gerar responsabilidade civil e, dependendo da gravidade, representação disciplinar junto à OAB por violação ao sigilo profissional.
Compliance digital para escritórios de advocacia: passo a passo de implementação
A implementação do compliance digital deve seguir uma lógica sequencial: primeiro entender o que existe; depois organizar; para logo em seguida proteger e; por fim, garantir a manutenção do que foi implementado.
Mapeamento de dados (data mapping)
Identificação de quais dados pessoais o escritório coleta, onde estão armazenados, quem tem acesso, por quanto tempo são mantidos e qual é a base legal para cada tratamento. Esse inventário é o ponto de partida de qualquer programa de compliance digital.
Elaboração de política interna de proteção de dados
Documento que formaliza as regras de tratamento, os responsáveis, os prazos de retenção e os procedimentos em caso de incidente. O mesmo deve ser acessível a todos os colaboradores.
Revisão de contratos
Contratos com clientes, fornecedores e parceiros precisam incluir cláusulas de proteção de dados compatíveis com a LGPD. Sobretudo naqueles casos em que há compartilhamento de dados pessoais com terceiros.
Controle de acesso e segurança técnica
Adoção de autenticação em dois fatores, criptografia de documentos sensíveis, política de senhas e segmentação de acesso por função.
Indicação ou contratação do DPO
Definição de quem responde pelas comunicações com a ANPD e com os titulares de dados, além de garantir que essa pessoa conheça as obrigações do cargo.
Plano de resposta a incidentes
A LGPD exige que vazamentos sejam comunicados à ANPD em prazo razoável. Assim, o escritório precisa ter um protocolo definido antes que o incidente ocorra.
Capacitação da equipe
Colaboradores são o elo mais vulnerável em qualquer cadeia de segurança digital. Por isso, treinamentos periódicos sobre boas práticas devem ser realizados com o intuito de reduzir o risco operacional de forma mensurável.
Revisão periódica
O programa de compliance digital não é estático. Mudanças na estrutura do escritório, na legislação ou nas ferramentas utilizadas exigem atualização contínua do mapeamento e das políticas.
Gostou do conteúdo?
Toda semana são três artigos como esse aqui no JusBlog. Mas você pode também conferir outros conteúdos do universo jurídico acompanhando a Jusfy no Instagram e no LinkedIn, através do @jusfy.
