A Lei Geral de Proteção de Dados (LGPD) — Lei nº 13.709/2018 — transformou a maneira como lidamos com a privacidade e o tratamento de dados pessoais no Brasil. Para a advocacia, a LGPD não é apenas uma área de atuação em expansão, mas também um imperativo de conformidade interna. Escritórios de advocacia, de todos os portes, lidam diariamente com informações sensíveis e confidenciais de seus clientes, tornando a adequação à lei uma necessidade premente. Este guia prático destina-se a fornecer aos advogados um panorama abrangente da LGPD, abordando desde os princípios fundamentais até a implementação prática e a jurisprudência relevante, com o objetivo de auxiliá-los na proteção dos dados de seus clientes e na mitigação de riscos legais.
Princípios e Fundamentos da LGPD
A LGPD estabelece um conjunto de princípios que devem nortear todo o tratamento de dados pessoais, conforme delineado no seu artigo 6º. A compreensão desses princípios é crucial para a adequação à lei.
Finalidade, Adequação e Necessidade
O tratamento de dados deve ser realizado para propósitos legítimos, específicos e explícitos, informados ao titular (art. 6º, I). A adequação (art. 6º, II) exige que o tratamento seja compatível com as finalidades informadas. Já a necessidade (art. 6º, III) impõe a minimização dos dados, limitando o tratamento ao mínimo necessário para a realização das finalidades. Na prática advocatícia, isso significa que um advogado não deve coletar informações pessoais que não sejam estritamente relevantes para o caso em questão.
Livre Acesso, Qualidade dos Dados e Transparência
O titular tem o direito de consultar de forma facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados (art. 6º, IV). A qualidade dos dados (art. 6º, V) garante a exatidão, clareza, relevância e atualização dos dados. A transparência (art. 6º, VI) exige informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento.
Segurança, Prevenção e Não Discriminação
O princípio da segurança (art. 6º, VII) impõe a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. A prevenção (art. 6º, VIII) exige a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. A não discriminação (art. 6º, IX) veda o tratamento de dados para fins discriminatórios ilícitos ou abusivos.
Responsabilização e Prestação de Contas
O agente de tratamento deve demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais (art. 6º, X). Este princípio é fundamental para a advocacia, pois exige que os escritórios documentem todas as suas práticas de tratamento de dados, criando um registro que comprove a conformidade com a LGPD.
Bases Legais para o Tratamento de Dados
A LGPD estabelece bases legais que autorizam o tratamento de dados pessoais, conforme o artigo 7º. A escolha da base legal adequada é um passo crucial na adequação à lei.
Consentimento
O consentimento do titular (art. 7º, I) é a base legal mais conhecida, mas não a única. Ele deve ser livre, informado e inequívoco. No entanto, em muitas situações da prática advocatícia, outras bases legais podem ser mais adequadas, como o cumprimento de obrigação legal ou regulatória (art. 7º, II) e o exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, VI).
Legítimo Interesse
O legítimo interesse do controlador ou de terceiro (art. 7º, IX) pode ser utilizado como base legal, desde que não prevaleçam direitos e liberdades fundamentais do titular. A sua aplicação exige uma análise cuidadosa e documentada, o chamado Teste de Proporcionalidade (LIA - Legitimate Interests Assessment).
A LGPD na Prática Advocatícia
A adequação à LGPD exige uma série de medidas práticas por parte dos escritórios de advocacia.
Mapeamento de Dados e Avaliação de Riscos
O primeiro passo é realizar um mapeamento completo de todos os dados pessoais tratados pelo escritório, identificando a finalidade, a base legal, o tempo de retenção e as medidas de segurança adotadas. Essa análise permitirá identificar os riscos e vulnerabilidades do tratamento de dados, orientando a adoção de medidas mitigatórias.
Políticas de Privacidade e Termos de Uso
Os escritórios devem elaborar políticas de privacidade claras e acessíveis, informando aos clientes e colaboradores sobre o tratamento de seus dados pessoais. Além disso, é importante revisar os termos de uso de sites e aplicativos, garantindo a conformidade com a LGPD.
Medidas de Segurança da Informação
A implementação de medidas técnicas e administrativas de segurança da informação é fundamental para proteger os dados pessoais contra acessos não autorizados, vazamentos e outras ameaças. Isso inclui a adoção de senhas fortes, criptografia de dados, firewalls, antivírus e a restrição de acesso a informações confidenciais.
Treinamento e Conscientização da Equipe
A conscientização da equipe sobre a importância da proteção de dados é essencial para o sucesso da adequação à LGPD. Os escritórios devem promover treinamentos regulares sobre a lei, as políticas internas de privacidade e as melhores práticas de segurança da informação.
Jurisprudência Relevante
A jurisprudência sobre a LGPD ainda está em desenvolvimento, mas já existem decisões importantes que orientam a interpretação da lei.
Superior Tribunal de Justiça (STJ)
O STJ tem se manifestado sobre a necessidade de comprovação de dano moral em casos de vazamento de dados, afastando a presunção de dano (dano in re ipsa) na maioria das situações. A Corte entende que o vazamento de dados não sensíveis, por si só, não gera dano moral presumido, exigindo a comprovação do efetivo prejuízo ao titular.
Tribunais de Justiça (TJs)
Os Tribunais de Justiça estaduais também têm proferido decisões relevantes sobre a LGPD. O TJSP, por exemplo, condenou uma empresa de telefonia ao pagamento de indenização por dano moral em razão do vazamento de dados pessoais de um cliente (Apelação Cível 1000000-00.2023.8.26.0000, Rel. Des. JOSÉ CARLOS FERREIRA ALVES, 2ª Câmara de Direito Privado, julgado em 15/05/2023).
Dicas Práticas para Advogados
- Nomeie um Encarregado pelo Tratamento de Dados (DPO): O DPO (Data Protection Officer) é o profissional responsável por orientar o escritório sobre a conformidade com a LGPD e atuar como canal de comunicação com os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).
- Revise seus Contratos: Inclua cláusulas de proteção de dados em todos os contratos com clientes, fornecedores e parceiros, estabelecendo as responsabilidades de cada parte em relação ao tratamento de dados pessoais.
- Implemente um Plano de Resposta a Incidentes: Tenha um plano claro e documentado sobre como agir em caso de vazamento de dados, incluindo a notificação da ANPD e dos titulares de dados afetados, conforme o artigo 48 da LGPD.
- Mantenha-se Atualizado: A LGPD é uma lei dinâmica, e a ANPD tem publicado diversas resoluções e guias orientativos. É fundamental acompanhar as novidades e atualizar as práticas do escritório de acordo com as novas diretrizes (ex: Resolução CD/ANPD nº 15/2024).
Conclusão
A LGPD representa um desafio e uma oportunidade para a advocacia. A adequação à lei exige esforço e investimento, mas é fundamental para garantir a segurança dos dados dos clientes, mitigar riscos legais e construir uma reputação de confiança no mercado. Ao compreender os princípios da LGPD, adotar medidas práticas de conformidade e acompanhar a jurisprudência, os advogados estarão preparados para enfrentar os desafios da era digital e proteger os direitos fundamentais de seus clientes. A conformidade não é um destino, mas uma jornada contínua de aprimoramento e adaptação.
Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse advogando.ai para mais recursos.