Existe uma percepção equivocada em parte do setor jurídico de que o sigilo profissional do advogado, garantido pelo Estatuto da OAB, seria suficiente para tratar questões de proteção de dados. Não é. O sigilo profissional e a LGPD coexistem — e os escritórios precisam cumprir ambos.
A ANPD (Autoridade Nacional de Proteção de Dados) já deixou claro em orientações públicas que o setor jurídico não tem imunidade à Lei 13.709/2018. Escritórios de advocacia são controladores de dados pessoais e precisam tratar esse papel com seriedade.
Por que escritórios de advocacia são alvos prioritários
Pense nos dados que um escritório de advocacia típico acumula sobre seus clientes:
- Dados de saúde (em processos trabalhistas, acidentários, de família)
- Situação financeira detalhada (execuções, concordatas, inventários)
- Dados de processos criminais
- Informações sobre vida familiar e conjugal
- Dados biométricos em alguns contextos
A maioria desses dados se enquadra como dados sensíveis pelo Art. 11 da LGPD — a categoria que exige tratamento mais rigoroso e base legal mais específica. Um vazamento dessas informações tem potencial de dano real e mensurável para os titulares.
O que a LGPD exige de um escritório de advocacia
1. Mapeamento de dados (ROPA)
O ponto de partida de qualquer programa de conformidade com a LGPD é saber quais dados você tem, onde estão armazenados, quem acessa e por quê. Esse registro — chamado de ROPA (Record of Processing Activities) — é exigido pelo Art. 37 da LGPD para controladores de médio e grande porte.
Para um escritório, isso significa mapear: dados de clientes no sistema de gestão, documentos nos servidores ou na nuvem, e-mails com informações pessoais, dados de terceiros mencionados nos processos.
2. Base legal para cada tratamento
Todo tratamento de dado pessoal precisa de uma base legal prevista no Art. 7º da LGPD. Para escritórios de advocacia, as bases mais comuns são:
- Execução de contrato — tratamento dos dados do cliente para prestação do serviço jurídico
- Legítimo interesse — comunicações necessárias ao exercício da advocacia
- Exercício regular de direitos em processo — Art. 7º, VI — especialmente relevante para dados de terceiros mencionados nas peças
- Obrigação legal — retenção de documentos exigida pela OAB e legislação tributária
3. Política de privacidade e contratos com clientes
O contrato de prestação de serviços advocatícios deve incluir cláusula de proteção de dados informando ao cliente quais dados são coletados, para quê são usados, com quem são compartilhados e por quanto tempo são retidos. A transparência não é opcional — é requisito legal.
4. Segurança dos dados
O Art. 46 da LGPD exige medidas técnicas e administrativas "aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão". Na prática, isso inclui:
- Controle de acesso com autenticação forte (não apenas senha)
- Criptografia de dados sensíveis em repouso e em trânsito
- Log de acesso auditável
- Política de backup com testes regulares
- Treinamento da equipe sobre tratamento de dados
5. Resposta a incidentes
Se houver um vazamento de dados com risco para os titulares, o Art. 48 da LGPD exige comunicação à ANPD e aos titulares afetados em "prazo razoável" — interpretado pela ANPD como 2 dias úteis para comunicação inicial. O escritório precisa ter um plano de resposta pronto antes que o incidente aconteça.
Checklist mínimo de conformidade para escritórios
- Mapeamento dos dados pessoais tratados (ROPA) atualizado
- Base legal identificada para cada tipo de tratamento
- Cláusula LGPD nos contratos com clientes
- Política de privacidade publicada no site do escritório
- Controle de acesso com MFA nos sistemas principais
- Política de senhas e bloqueio de dispositivos
- Acordo de confidencialidade com colaboradores e estagiários
- Procedimento documentado para resposta a incidentes
- Política de retenção e descarte de documentos
- Encarregado (DPO) designado e comunicado à ANPD
O papel do software na conformidade
Uma parte significativa da conformidade com a LGPD depende das ferramentas que o escritório usa. Um sistema de gestão processual que não tem controle de acesso adequado, que não tem log de auditoria e que armazena dados sem criptografia cria passivos de conformidade que não podem ser resolvidos por políticas internas.
O Recon foi desenvolvido com conformidade nativa à LGPD: controle de acesso por perfil, criptografia de dados sensíveis, log de auditoria completo e política de retenção configurável por tipo de documento. O escritório não precisa adaptar o sistema — ele já vem pronto para o ambiente regulatório atual.
Multas e penalidades: o que está em jogo
A LGPD prevê multas de até 2% do faturamento da empresa no Brasil, limitadas a R$ 50 milhões por infração. Além das multas, a ANPD pode determinar bloqueio ou eliminação dos dados tratados irregularmente — o que para um escritório de advocacia pode ser devastador operacionalmente.
Mas o risco mais imediato não é a multa da ANPD. É a responsabilidade civil perante o cliente. Um vazamento de dados sensíveis de um processo pode gerar ação indenizatória por danos morais com valor muito superior a qualquer multa administrativa.
Seu escritório está em conformidade com a LGPD?
Nossa equipe pode ajudar a avaliar o nível de conformidade atual e implementar as correções necessárias com suporte tecnológico adequado.
Solicitar avaliação gratuita