O escritório de advocacia lida com dados pessoais o tempo inteiro, mesmo quando ninguém para pra pensar nisso dessa forma. Nome, CPF, endereço e telefone do cliente. Dados da parte contrária. Informações de testemunhas, peritos, ex-funcionários que aparecem em uma reclamação trabalhista. Tudo isso é dado pessoal, e o simples fato de guardar essas informações em uma pasta, uma planilha ou um sistema já torna o escritório um controlador de dados perante a Lei Geral de Proteção de Dados (Lei 13.709/2018), quisesse o advogado ou não.
Isso assusta muita gente porque soa como mais uma camada de burocracia em cima de uma profissão que já tem regras demais. Na prática, a LGPD não pede que o escritório vire uma empresa de tecnologia. Ela pede alguns cuidados concretos, a maioria dos quais qualquer escritório organizado já faz parcialmente sem perceber.
Nem todo dado precisa de consentimento
O erro mais comum é achar que a LGPD exige consentimento explícito para qualquer tratamento de dado. Não exige. A lei prevê dez bases legais diferentes no artigo 7º, e para um escritório de advocacia, raramente o consentimento é a mais adequada. Os dados do cliente que você usa para atuar em um processo se sustentam na execução de contrato (inciso V) ou no cumprimento de obrigação legal ou regulatória (inciso II). Já os dados da parte contrária, que você nunca vai conseguir pedir consentimento porque ela está do outro lado da mesa, se apoiam no legítimo interesse (inciso IX), desde que o uso seja proporcional à finalidade de defender o interesse do seu cliente no processo.
Entender qual base legal se aplica a cada situação evita duas armadilhas: pedir consentimento onde não precisa, o que cria uma obrigação de revogação que você não quer gerenciar, e tratar dados sem nenhuma base, que é o problema real que a lei quer evitar.
O sigilo profissional não desapareceu, ele ganhou uma camada
Advogado já era obrigado a guardar sigilo antes da LGPD existir. O Estatuto da Advocacia (Lei 8.906/1994) e o Código de Ética e Disciplina da OAB tratam a confidencialidade como um dos pilares da profissão, e isso não mudou. O que a LGPD acrescenta é uma camada procedimental: não basta guardar segredo, é preciso conseguir mostrar como o dado é armazenado, quem tem acesso a ele, com quais fornecedores ele é compartilhado e o que acontece se um notebook do escritório for roubado ou uma conta de e-mail for invadida.
Na prática, isso significa revisar coisas simples: se o processo físico do cliente fica em uma gaveta trancada, se o link de uma pasta compartilhada expira ou fica aberto para sempre, se o estagiário tem acesso a processos que não são dele, se o contrato com o serviço de armazenamento em nuvem prevê alguma cláusula de proteção de dados.
Os direitos do titular têm prazo, e ele é curto
Um cliente, ou até a parte contrária, pode pedir para saber quais dados o escritório tem sobre ela. Pela LGPD (artigo 19), essa confirmação pode ser dada de forma simplificada e imediata, mas se o pedido for de uma declaração completa, com origem do dado, critério de uso e finalidade, o prazo é de até 15 dias corridos. Não ter um processo mínimo para responder esse tipo de pedido dentro do prazo é um risco desnecessário, porque normalmente o pedido é legítimo e simples de atender. O problema aparece quando ninguém no escritório sabe nem por onde começar a procurar a informação.
O que fazer esta semana, sem virar um projeto de seis meses
- Mapeie rapidamente onde os dados ficam: sistema de gestão, e-mail, WhatsApp, pastas físicas, nuvem. Não precisa de auditoria formal, precisa de clareza.
- Revise quem acessa o quê: estagiário e equipe administrativa não precisam ver todos os processos do escritório, só os que trabalham.
- Formalize com fornecedores: sistema de gestão, serviço de assinatura eletrônica e contador que recebe dados do escritório deveriam ter, no contrato, uma cláusula mínima sobre proteção de dados.
- Tenha um plano simples para incidentes: se um notebook sumir ou um e-mail for invadido, quem é avisado, o que é verificado e em quanto tempo.
O risco de ignorar não é hipotético
A LGPD prevê sanções administrativas que vão de advertência a multa, que pode chegar a 2% do faturamento da empresa envolvida, limitada a R$ 50 milhões por infração (artigo 52). Para a maioria dos escritórios, o risco real não é uma multa alta amanhã, é a exposição, o dano à reputação com o cliente cujo dado vazou e a fragilidade de não ter nada para mostrar se algum dia for questionado. Cuidar disso de forma simples e contínua custa muito menos do que remediar depois.
O PortalADV já centraliza processos, clientes e documentos em um único lugar com controle de acesso por usuário, o que ajuda bastante na parte de saber quem vê o quê. Mas a LGPD não se resolve com uma ferramenta, ela se resolve com um hábito de cuidado que o escritório inteiro precisa incorporar.
