LGPD e Proteção de Dados do Cliente na Advocacia: Responsabilidades e Boas Práticas

O advogado como guardião dos dados do cliente

O escritório de advocacia é, por natureza, um dos ambientes que mais concentram dados pessoais sensíveis. CPF, RG, endereço, dados bancários, informações de saúde (em processos trabalhistas e previdenciários), detalhes de vida familiar (em varas de família), registros criminais, informações financeiras e comunicações sigilosas fazem parte do cotidiano. A LGPD (Lei 13.709/2018) impõe ao escritório responsabilidades específicas sobre como esses dados são coletados, armazenados, processados, compartilhados e descartados.

Diferente de empresas de tecnologia ou comércio, o escritório de advocacia opera sob uma camada adicional de proteção: o sigilo profissional previsto no Estatuto da Advocacia (Lei 8.906/1994). Isso significa que o advogado tem uma dupla obrigação de confidencialidade — legal (LGPD) e profissional (sigilo advocatício) — que exige cuidado redobrado no tratamento dos dados dos clientes.

Bases legais para o tratamento de dados na advocacia

O escritório precisa fundamentar cada tratamento de dados pessoais em uma das bases legais previstas no artigo 7º da LGPD. Na prática advocatícia, as bases mais relevantes são:

• Execução de contrato (art. 7º, V): para tratar dados necessários à prestação dos serviços jurídicos contratados pelo cliente
• Exercício regular de direitos em processo judicial (art. 7º, VI): para tratar dados em ações judiciais, administrativas ou arbitrais
• Obrigação legal ou regulatória (art. 7º, II): para retenção de documentos exigida por lei, regulamentação da OAB ou determinação judicial
• Legítimo interesse (art. 7º, IX): para comunicações operacionais com o cliente, melhoria dos serviços e atividades de marketing de conteúdo, sempre com teste de proporcionalidade

Para dados sensíveis — como informações de saúde, origem racial, filiação sindical e convicções religiosas — a LGPD exige bases legais específicas previstas no artigo 11, com regras ainda mais restritivas.

Direitos dos titulares e como atendê-los

A LGPD garante aos titulares (clientes, ex-clientes e partes nos processos) uma série de direitos que o escritório deve estar preparado para atender:

1. Confirmação e acesso: o titular pode solicitar confirmação de que seus dados são tratados e acesso aos dados específicos que o escritório possui
2. Correção: dados incompletos, inexatos ou desatualizados devem ser corrigidos a pedido do titular
3. Eliminação: o titular pode solicitar a eliminação de dados desnecessários ou tratados em desconformidade com a lei, ressalvadas as exceções legais
4. Portabilidade: transferência dos dados a outro prestador de serviço, quando aplicável
5. Informação sobre compartilhamento: o titular tem direito de saber com quem seus dados são compartilhados
6. Revogação de consentimento: quando o tratamento é baseado em consentimento, este pode ser revogado a qualquer momento

O escritório deve ter um canal definido para receber e processar essas solicitações, com prazos claros de resposta e procedimentos documentados.

Medidas práticas de proteção de dados no escritório

Controle de acesso

Nem todos os membros da equipe precisam acessar todos os dados de todos os clientes. Implemente controle de acesso por perfil: estagiários acessam apenas os processos em que atuam; advogados associados acessam seus próprios clientes; sócios têm acesso amplo mas rastreável. Plataformas como a LexSuite oferecem esse controle nativamente, com perfis configuráveis e trilha de auditoria que registra cada acesso.

Comunicação segura

Dados pessoais sensíveis não devem ser enviados por canais inseguros. Evite enviar CPF, dados bancários e detalhes do processo por mensagem de texto no WhatsApp sem criptografia adicional. Para compartilhamento de documentos, utilize a plataforma de gestão do escritório ou links seguros com prazo de expiração.

Armazenamento com criptografia

Todos os dados dos clientes devem ser armazenados com criptografia, tanto em trânsito quanto em repouso. Isso se aplica a documentos no computador, arquivos na nuvem, backups e comunicações eletrônicas. Plataformas de gestão jurídica na nuvem geralmente oferecem criptografia nativa — verifique com o fornecedor.

Política de retenção e descarte

Defina por quanto tempo cada tipo de dado será mantido e como será descartado ao final do período. A retenção deve considerar prazos prescricionais, obrigações regulatórias da OAB, necessidades probatórias e o princípio da minimização da LGPD. Documentos digitais devem ser excluídos de forma definitiva, incluindo backups. Documentos físicos devem ser triturados.

Incidentes de segurança: como responder

A LGPD exige que o controlador comunique à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. O escritório deve ter um plano de resposta a incidentes que defina quem é responsável pela investigação, como o incidente será contido, quais titulares serão notificados, como a comunicação à ANPD será feita e quais medidas serão implementadas para evitar recorrência.

LGPD e uso de inteligência artificial

O uso de IA no escritório gera questões específicas de LGPD. Dados de clientes submetidos a ferramentas de IA genéricas podem ser processados, armazenados ou utilizados para treinamento de modelos, violando o sigilo e a LGPD. Utilize apenas ferramentas de IA que garantam que os dados do escritório não são usados para treinamento, são processados com criptografia e respeitam políticas de retenção definidas pelo escritório. O LexAtlas da LexSuite processa dados dentro do ecossistema controlado da plataforma, com rastreabilidade de cada análise gerada.

Conclusão

A proteção dos dados do cliente não é apenas uma obrigação legal — é uma manifestação do dever de sigilo que define a relação entre advogado e cliente. O escritório que implementa medidas concretas de proteção de dados demonstra maturidade profissional, fortalece a confiança do cliente e se protege contra sanções da ANPD e processos por violação de dados. Comece pelo mapeamento de dados, implemente controles de acesso, defina políticas de retenção e treine a equipe. A conformidade com a LGPD na advocacia é uma jornada contínua que começa com consciência e se sustenta com disciplina.