Advogados costumam saber os menores detalhes de seus clientes: segredos de negócio, dados sobre finanças, e até saúde. Por isso, a aderência aos preceitos da LGPD é fundamental nas atividades de escritórios de advocacia, e a omissão dos sócios em enfrentar essa necessária mudança cultural pode causar prejuízos incomensuráveis para a banca. Além disso, a privacidade e proteção de dados pessoais tornaram-se uma vantagem competitiva, já que cada vez mais clientes no Brasil e no exterior estão atentos ao tema.

Nosso sócio Alexandre Atheniense tratou do assunto em artigo no livro “Gestão, Empreendedorismo e Inovação na Advocacia”, lançado recentemente pela Comissão Especial de Gestão, Empreendedorismo e Inovação (CEGEI) do CFOAB, da qual é membro. No artigo “Como implantar a LGPD nas atividades profissionais dos advogados e sociedades de advogados”, Atheniense destaca, de forma prática, oito pontos de atenção fundamentais para sócios e gestores de escritórios.

Leia o artigo completo a seguir, e clique para baixar gratuitamente o e-book LGPD nos escritórios de advocacia.

Para saber mais entre em contato com a equipe do Alexandre Atheniense Advogados no e-mail [email protected] ou no WhatsApp em (31) 99914-8128.


Como implantar a LGPD nas atividades profissionais dos advogados e sociedades de advogados

Por Alexandre Atheniense

Resumo: este artigo tem por objetivo orientar os profissionais do Direito quanto as etapas, pontos de atenção, riscos e penalidades envolvidas com a implementação das obrigações legais da LGPD nas atividades de tratamento de dados pessoais no escritório. O Autor destaca a necessidade de criar uma nova cultura de governança digital corporativa em todos os níveis quanto as atividades operacionais com dados pessoais, cibersegurança e reputação do escritório de advocacia.

Palavras Chaves: escritório de advocacia, advogado, lei geral de proteção de dados pessoais, privacidade, impletmentação, conformidade, compliance, riscos, penalidades, medidas protetivas, medidas corretivas, governança digital corporativa. reputação digital


A privacidade e proteção de dados pessoais agora tem um valor e a irresponsabilidade tem um preço bem caro. Será necessário abandonar velhos hábitos e aderir a novas práticas operacionais. Estamos diante de uma grande mudança cultural em todos os níveis, desde o sócio fundador da sociedade de advogados até o faxineiro, se ambos, por algum motivo, tratarem dados pessoais.

A omissão dos sócios em enfrentar essa necessária mudança cultural quanto ao tratamento de dados pessoais pode causar prejuízos incomensuráveis para a sociedade de advogados.

Aplicabilidade da LGPD para a advocacia

No início da vigência da lei, percebemos alguns questionamentos sobre a obrigatoriedade dos advogados e sociedades de advogados estarem sujeitas à adequação à lei.

É necessário rememorar que o ramo de atividade profissional dos advogados e sociedades é sui generis, pois já existia antes da LGPD a sujeição ao sigilo profissional. Conforme preceituam os artigos 25 a 27 do Código de Ética e da Ordem dos Advogados do Brasil (OAB) é imposto aos advogados o sigilo profissional dos dados e comunicações de seus clientes. Além disso, o artigo 1o. da LGPD é expresso ao mencionar que um dos princípios basilares da lei é “(…) proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”

De acordo com o inciso X do art. 5º da Lei n.º 13.709/2018 – Lei Geral de Proteção de Dados (“LGPD”), toda operação, física ou digital, realizada com dados pessoais para fins econômicos inclusive por pessoa natural, é considerada como tratamento de dados pessoais e se submetem à adequação.

Após o advento da LGPD, no entanto, a novidade é a necessária adoção de formalidades e procedimentos impostos pelas obrigações que vai muito além do termo de confidencialidade, para assegurar transparência e exercício dos direitos ampliados pela nova lei aos titulares de dados pessoais, mediante a adoção de todas as práticas das verificações periódicas das atividades de tratamento de dados envolvidas.

Como se sabe, os advogados costumam saber os menores detalhes de seus clientes: segredos de negócio, dados sobre finanças, saúde e até amores.

Somos uma profissão que vive sob rígido controle sobre a ética profissional da confidencialidade e proteção à privacidade. Estes requisitos são questão de sobrevivência para qualquer sociedade de advogados. A proteção de dados pessoais sempre foi mandatória, embora até então não existissem penalidades severas para falhas de tratamento.

A pandemia revelou o aumento potencial de ataques cibernéticos contra pessoas que foram obrigadas a mudar o seu local de trabalho para o home office. Tal atividade se justifica pois os hackers sabiam da fragilidade das medidas protetivas de segurança da informação no ambiente doméstico. Daí, vem operando assiduamente para obter vantagens ilícitas com acessos não autorizados com foco na obtenção de vantagens ilícitas por meio da captura de dados pessoais ou corporativos ou torná-los indisponíveis suspendendo, ainda que transitoriamente, as operações sistêmicas dos escritórios de advocacia.

É inegável que as sociedades de advogados estejam na mira dos crimes ou falhas operacionais, que caracterizem violação de dispositivos legais sobre proteção de dados pessoais que estarão sujeitas a penalidades severas. ainda convivemos. Convivemos em ambientes profissionais e domésticos desprotegidos de segurança adequada, o que aumenta o risco destas punições que podem variar entre multas administrativas, condenações judiciais, multas contratuais e, sobretudo, o considerável impacto negativo quanto à reputação profissional e a meu ver é sem dúvida o ônus mais grave.

O advento da Lei Geral de Proteção de Dados Pessoais, ocorrido em 18 de setembro de 2020, não foi suficiente para que a grande maioria da sociedade de advogados, já tenha se sensibilizado, para colocar em prática a necessidade de adequação das obrigações legais, daí a nossa intenção de contribuir ou este artigo para destacar quais seriam as medidas prioritárias a serem tomadas pelos sócios.

Com base na experiência de conviver com estas consultorias, inclusive para sociedade de advogados, apresentamos a seguir quais devem ser as medidas prioritárias;

A primeira medida visa nomear e publicizar o encarregado de proteção de dados pessoais para colaboradores, fornecedores e clientes. O atendimento a esta obrigação legal vale para escritórios de advocacia de todos os tamanhos, desde uma sociedade individual localizada no interior, quanto a um grande escritório de advocacia full service situado nas capitais.

Ultrapassados seis meses após a vigência da LGPD, ainda não temos nenhuma regulamentação que flexibilize as medidas protetivas que deverão ser adotadas.

A lei faculta que a sociedade de advogados possa escolher entre nomear uma pessoa física ou um grupo de pessoas para exercer esse múnus. Trata-se de uma atividade nova, o mais recomendado seria a nomeação de um comitê composto por um dos sócios e outras lideranças operacionais do escritório. A finalidade visa discutir assuntos e tomar decisões acerca dos temas de privacidade e proteção de dados pessoais, representar o escritório na esfera judicial e administrativa, perante os órgãos fiscalizadores e aprovar eventuais mudanças operacionais que possam configurar fator de risco e penalidades.

Conforme preceitua a LGPD, o Encarregado (Data Protection Officer ou DPO) é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)” (art. 5º, VIII, Lei n. 13709/18), bem como aos demais órgãos reguladores, como Ministério Público, Procon e Senacon até o momento.

Ponto de partida para as adequações imediatas

Pela nossa experiência, é recomendável que se crie um comitê interno de governança digital, cuja pauta recorrente em discussão deverá abranger temas como: proteção de dados pessoais, segurança da informação, reputação digital e medidas de compliance.

Suas atividades devem ser recorrentes para que seja definidos critérios quanto à classificação das informações quanto ao sigilo, revisão de contratos, criação de políticas normativas internas e com fornecedores, Revisão de procedimentos estratégicos e ajustes sistêmicos para assegurar a adoção de medidas protetivas de proteção de dados, segurança da informação e reputação nas plataformas digitais. Será necessário avaliar os riscos e a criticidade que o tratamento de dados pessoais revela, e, sobretudo, criar mecanismos de controle periódicos para evitar que as medidas de adequação caiam em desuso em pouco tempo.

A experiência em consultorias em diversas áreas gerou um conhecimento de que não existe adoção de processos internos sem verificação periódica.

Algumas atividades operacionais devem ser modificadas de imediato. São elas: atividades relacionadas ao tratamento de dados pessoais utilizados nos atendimento dos clientes, estratégias de marketing, reavaliar processos internos e externos com fornecedores que, por algum motivo, os dados pessoais de clientes são compartilhados, criação de um canal de comunicação direta com os titulares de dados pessoais para que estes possam exercer os seus direitos, revisão de contratos de honorários, colaboradores e prestadores de serviços, adoção de política de privacidade no site do escritório, política de cookies e proteção de dados e política de segurança da informação.

Roadmap para a implantação

Em estudo realizado recentemente na Comissão de Direito Digital do CESA – Centro de Estudos das sociedades de advogados que coordeno juntamente com Juliana Abrusio e a nossa secretária Bruna Borghi Tomé, riamos uma cartilha de implantação de LGPD nas sociedades de advogados 2 e destacamos alguns infográficos que são bem elucidativos sobre o caminho para a implantação da adequação na advocacia que reproduzimos a seguir:

Primeira Medida: A necessária indicação do DPO

Conforme a lei, a sociedade de advogados, na qualidade de controlador de dados pessoais deverá nomear uma pessoa, natural ou jurídica (no último caso, DPO as Service ou DPOaS), para o exercício da função (art. 41, Lei n. 13709/18), razão pela qual esta falha de conformidade depende de uma decisão imediata dos sócios nesse sentido.

Quando ocorrer a escolha do encarregado, deve-se ter em mente que ele não pode ser equiparado a apenas mais um colaborador do setor operacional do escritório. Trata-se de um cargo de alta patente, com independência e autonomia de um gestor decisório, que deve agir com a longa manus dos sócios sem submissões hierárquicas aos demais setores operacionais.

Esta condição é imprescindível, pois o DPO deve agir com autonomia e liberdade para apontar erros operacionais, buscar soluções, bem como sugerir, validar e adotar decisões estratégicas para enfrentar os incidentes prontamente após a sua ciência, além de cobrar dos sócios respostas breves na tomada de decisões. Desse modo, não poderá ocorrer conflitos de interesses com chefes de setores, no momento da análise dos fatos.

As obrigações do DPO poderão ainda ser alteradas via regulamentação, estendendo o que está preceituado no art. 41, § 2º, da Lei n. 13.709/18:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

A partir das atividades acima listadas, será possível observar que serão exigidas habilidades comunicacionais avançadas do profissional que ocupará o cargo de Encarregado, bem como domínio de aspectos jurídicos e regulatórios, tecnologia da informação e experiência gerencial em virtude da vocação estratégica da função.

O comitê sugerido terá a missão de orquestrar todas as atividades operacionais relacionadas ao diagnóstico via inventário de dados pessoais, bem como o plano de ação para executar as medidas corretivas e verificar sua eficácia continuamente.

Daí a necessidade de que este adquira conhecimentos sobre as atividades e falhas operacionais, de modo a estar capacitado a conhecer a fundo o funcionamento de todos os processos internos e externos quanto ao tratamento de dados pessoais.

É muito recomendável abreviar a decisão sobre a escolha das pessoas que irão ocupar, bem como publicizar para colaboradores, fornecedores e clientes.

Segunda medida: Adoção de mecanismos de controle

Será necessário adotar medidas de controle para que o DPO possa dispor de meios para exercer a governança sobre os dados pessoais frente às eventuais mudanças operacionais contra o tratamento de dados pessoais internos e externos.

É indispensável que o escritório de advocacia tenha um software especializado para estruturar todas as informações sobre todos os fluxos operacionais de modo a propiciar um painel de controle que deverá ser comandado pelo DPO. Este recurso visa dar suporte ao DPO para formalizar e monitorar cada mudança operacional sobre tratamento de dados pessoais, de modo a abreviar e dar segurança das suas decisões.

Terceira Medida: Adoção de Normativos internos e externos sobre Proteção de dados e Segurança da Informação

Uma das exigências da lei geral de proteção de dados é obrigar que as sociedades de advogados revelem publicamente quais as medidas adotadas para tratar dados pessoais que estão sob seu controle. Nesse sentido, será necessário que no site do escritório tenha, a partir da sua página principal, um acesso para a minuta para a política de privacidade e proteção de dados.

Nestas peças devem constar quais os limites a serem observados, sempre em conformidade com o que está preceituado na lei. Tal medida visa garantir publicamente que o escritório cumpre o que declara, ou seja, adotou medidas e conscientizou seus colaboradores para que sigam as obrigações legais.

Quarta medida: Ativar canal de comunicação direta com os titulares de dados pessoais

Ativar canal de comunicação direto com os titulares de dados pessoais para o exercício dos seus direitos previstos na LGPD. Esta lei ampliou os direitos dos titulares de dados pessoais sobre suas informações pessoais.

Daí será necessário que a sociedade de advogados adote e publicize a existência de um canal de comunicação direta para que os titulares possam exercer os seus direitos:

  • Acesso aos seus dados pessoais;
  • Correção de dados incompletos inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  • Portabilidade dos dados encaminhados ao titular quando este solicitar;
  • Eliminação dos dados pessoais tratados sem o consentimento do titular ou por ausência de base legal para o tratamento;
  • Informação das entidades públicas e privadas com as quais os dados foram compartilhados dos dados;
  • Revogação do termo de consentimento;
  • Revisão das decisões automatizadas.

A sugestão é a criação pelo menos de um endereço de e-mail com o nome dpo@nome do domínio do escritório.com ou adv.br. Esta informação deverá estar em destaque na página inicial do escritório para que todos tenham ciência da existência deste canal de atendimento.

Ao mesmo tempo, será necessário criar um fluxo interno, para que seja atribuído quem será a pessoa para fazer este atendimento.

Quinta Medida: Abreviar plano de comunicação das mudanças operacionais aos colaboradores

Abreviar a execução do plano de comunicação a todos os colaboradores, clientes e prestadores de serviço quanto às medidas corretivas para reduzir o risco quanto ao tratamento de dados pessoais.

Como se sabe estamos diante de uma mudança cultural operacional que deve ser encarada como uma jornada, cujos resultados não se alcançam de um dia para o outro. Se compararmos o Brasil com a União Europeia, concluiremos que um cidadão europeu já tem 19 anos de maturidade sobre o tema.

Como se vê, não é uma mudança rápida, por esse motivo o escritório deve evitar esforços para que haja meios de criar uma campanha interna para conscientizar todas as pessoas envolvidas, por meio de cartilhas reuniões, vídeos, webinars, para que seja possível alcançar uma capacitação mais breve sobre as mudanças operacionais que estão em curso.

Sexta medida: Revisar contratos que tem por objeto tratamento de dados pessoais

Abreviar a revisão de contratos cujo objeto esteja relacionado ao tratamento de dados pessoais.

Todos os contratos celebrados pela sociedade de advogados que envolve com o tratamento de dados pessoais possuem lacunas, pois carecem de cláusulas que exijam o cumprimento das obrigações legais, além das penalidades quanto às falhas operacionais.

Nesse sentido, será necessário selecionar quais contratos se referem a esta modalidade para que os mesmos sejam revisados. É necessário que o contrato de honorários possua cláusula que revele quais serão as obrigações adotadas para proteger os dados pessoais dos clientes.

É perceptível nesta fase atual, que nem todos os prestadores de serviço que recebem dados compartilhados estejam sensibilizados para as adequações demandadas. é importante ter em mente que adequação à LGPD significa uma reação em cadeia, ou seja, não basta que a sociedade de advogados faça sua parte, se os seus parceiros de negócio estejam alheios a necessidade de adequação. Caso esse cenário de informalidade permaneça o terceiro irá colocar em risco a sociedade de advogados expondo a penalidades.

Esse é um risco grave que merece muita atenção para quê, em alguns casos escritório ou conceda um prazo de adaptação não superior a 90 dias para que o parceiro possa adequar suas atividades operacionais à conformidade da lei.

Sétima medida: Implantar plano de contingenciamento para incidentes

Implantar um plano de contingenciamento de incidentes relacionados com proteção de dados pessoais, segurança cibernética e reputação digital.

Como já dissemos, todo escritório é alvo de vários incidentes nas plataformas digitais. O que faz a diferença para o enfrentamento destes problemas, está diretamente relacionado à adoção de um plano de contingenciamento prévio, selecionando as pessoas com talentos adequados para executar no menor tempo possível as medidas necessárias para colocar em prática enfrentamento desses problemas.

A gestão de crise envolvendo dados corporativos ou pessoais deve ser orquestrada com:

  • Formação de equipe multidisciplinar capacitada para performar o enfrentamento o mais breve possível;
  • Elaboração do Plano de Resposta ao Incidente;
  • Elaboração de comunicações legais e para a mídia;
  • Elaboração de plano para prevenção ao dano reputacional;

Sabemos que o enfrentamento tardio e desordenado pode gerar sérias consequências para a sociedade de advogados. Este plano deverá ser executado com se fosse uma brigada de incêndio para agir rápido diante dos incidentes. É preciso entender que quanto mais rápida foi a reação, menor dano irá ocorrer.

Oitava medida: Implantar políticas de segurança da informação e tratamento dos dados corporativos e pessoais

Implantar uma política de gestão documental na sociedade Advogados.

Vivemos num ambiente corporativo onde predomina a informalidade no trato dos dados pessoais, sobretudo nas ferramentas de comunicação por meio digital. A maioria dos escritórios não dispõe até hoje de normativo interno que defina de forma transparente para todos colaboradores e prestadores de serviço, quais os canais oficiais de comunicação para cada tipo de informação que circula no escritório, limites do uso da infraestrutura de tecnologia da informação e tratamento de dados pessoais.

A ausência de uma norma interna que regulamente e dê legitimidade aos sócios para agir em casos de violação a estes limites, para agir e aplicar medidas corretivas aos incidentes verificados.

É muito comum deparamos com situações em que os colaboradores divulgam dados pessoais por meio de WhatsApp ou outras formas de comunicação, sem nenhum critério e facilitando o vazamento de informações que deveriam estar sob maior proteção. Isto acontece porque o escritório não dispõe de uma política de gestão documental, que determine em qual canal cada tipo de informação deverá ser tratada evitando.

A não observância desta medida está diretamente relacionada ao controle sobre a governança dos dados pessoais, que a todo instante podem estar sendo vazados de diversas formas.

Da mesma forma, regra, não existem medidas formalizadas para descarte de dados pessoais, quando o tratamento já atingiu a finalidade. Os escritórios de advocacia são, por excelência, acumuladores de dados pessoais. Isto passa ser fator de risco muito grave. Será necessário adotar medidas para que todos saibam que quando o dado pessoal atingir a sua finalidade, deve ser descartado, salvo algumas exceções legais que demandam a preservação para atendimento de determinadas situações previstas em lei.

Além disso, a adoção de uma política de segurança da informação é mandatória, pois a inexistência dará margem à argumentação do colaborador que não tinha orientações sobre os limites do seu procedimento quanto ao uso da infraestrutura de tecnologia da informação e não sabia que sua atividade era ilícita.

Segundo nossa experiência, o ideal seria buscar uma harmonia entre as normas que regulamentam esses assuntos, a capacitação dos colaboradores e prestadores de serviço adoção de sistemas que possam revelar eventuais riscos quanto ao mau uso dos dados pessoais ou acidentes do segurança da informação e capacitação contínua da equipe sobre o tema.

É preciso ter em mente que as mudanças impostas pela LGPD, são, prioritariamente, de natureza cultural. Mudanças culturais não acontecem rapidamente é um processo que demandará várias atividades como palestras com os colaboradores do escritório e fornecedores sobre os riscos envolvidos.

A necessária contínua capacitação dos clientes, parceiros e fornecedores, por meio de artigos como este, cartilhas e outros recursos disponíveis na internet.

Disseminar a cultura aos integrantes do escritório, advogados ou não com os dados pessoais, em papel ou plataformas digitais, que circulam no escritório, com adesão às regras impostas que serão implantadas.

A adoção da lei geral de proteção de dados fez com que o Brasil se alinhasse a 120 países que já tinham tutela sobre este tema.

Por este motivo, é importante ter em mente que as adequações legais da LGPD não devem ser encaradas como ônus, mas sim como um valor a ser mantido pelo escritório e convertido como um diferencial de mercado que passará cada vez mais ser valorizado.

Estas medidas serão cada vez mais exigidas a partir de agora em cartas-convites, editais de contratação de prestação de serviço advocatícios ou como condições essenciais para contratação se serviços advocatícios.

Portanto é imprescindível que os sócios se sensibilizam para adoção dessas mudanças culturais e que, a partir de agora, as mesmas sejam valores cultuados e performadas de forma estratégica por todos os colaboradores para mitigar riscos e diferenciar as atividades dos advogados perante a sociedade.


Referências Bibliográficas

Cartilha CESA sobre LGPD nas sociedades de advocacia disponível em MALDONADO, Viviane. LGPD: Lei Geral de Proteção de Dados Pessoais – manual de implementação. São Paulo: Revista dos Tribunais (Thomson Reuters), 2019, p. 177.


Baixe gratuitamente o e-book LGPD nos escritórios de advocacia, um roteiro passo a passo, prático e conciso, dirigido a bancas de todos os tamanhos, produzido em parceria com a DeepContent.

Para saber mais entre em contato com a equipe do Alexandre Atheniense Advogados no e-mail [email protected] ou no WhatsApp em (31) 99914-8128.