Notícias
07 de Outubro de 2020
Artigo – ConJur - A LGPD nos escritórios de advocacia – Por Mariana Lewin Haft
A LGPD, Lei 13.709/2018, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Sancionada em 2018 e com entrada em vigor em setembro de 2020, a lei tem muitos efeitos para todas as empresas, que tiveram mais de dois anos para se adaptar. É evidente que algumas atuam diretamente no tratamento de dados pessoais, e deverão ter máxima atenção à implementação de medidas eficazes com vistas ao atendimento da lei no âmbito de sua atividade fim. De fato, muitas implementaram as medidas e já cumprem os protocolos de tratamento de dados.
Outras empresas, no entanto, parecem não se preocupar tanto com os efeitos da LGPD, seja porque entendem que sua atividade não abrange o tratamento de dados de forma direta, seja porque entendem que a questão já estaria regulada em legislação própria referente à sua atividade.
É o que acaba por acontecer com escritórios de advocacia, que opuseram certa a resistência a se adaptar à LGPD porque entenderam, num primeiro momento, que a legislação que regula especificamente a atividade já impunha a obrigação de sigilo e não se consideram "alvo" da lei.
Importante trazer alguns conceitos básicos da LGPD que, além de se prestarem aos objetivos acadêmicos de praxe, servem para dar a exata noção de que há muito o que fazer para implementar as medidas adequadas de proteção de dados, inclusive nos escritórios de advocacia:
— Dados pessoais: informação relacionada a pessoa natural identificada ou identificável;
— Dados sensíveis: "dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente a saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural";
— Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais — nos escritórios, em geral, são os sócios gestores ou administradores, que representam a sociedade e tomam efetivamente as decisões;
— Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador — nos escritórios, em geral, são os colaboradores que tratam dados pessoais, como a equipe de RH, a área financeira e mesmo os advogados e estagiários que lidem com dados pessoais de clientes;
— Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) — o escritório deve nomear uma pessoa, de preferência, alguém que tenha domínio completo da gestão interna e poderes de administração, para figurar como encarregado;
— Agentes de tratamento: o controlador e o operador;
— Tratamento: toda a operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle de informação, modificação, comunicação, transferência, difusão ou extração;
— Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
— Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos.
Como se vê pela profundidade e detalhamento dos conceitos acima listados, o bem jurídico protegido pela LGPD é distinto do bem jurídico protegido pelo Estatuto da Advocacia e pelo Código de Ética e Disciplina da OAB. Pode haver ponto de toque e, de fato, o mesmo dado ser objeto do sigilo protegido pela relação advogado-cliente e ser dado pessoal, protegido pela LGPD, mas não necessariamente isso ocorre.
Além disso, mais abrangente do que a proteção da informação em si, a LGPD prevê cuidados com recebimento, consentimento, tratamento, armazenamento e eliminação de dados pessoais, bem como a necessidade de planos de contingência em caso de vazamento, atribuindo as responsabilidades aos indicados pela lei, que prestarão contas à ANPD (Agência Nacional de Proteção de Dados). É uma verdadeira norma de compliance voltada especificamente a dados pessoais, mais completa, abrangente e exigente que as legislações específicas que cuidam da ética nas atividades (advocacia e outras).
O não atendimento aos ditames da lei pelos colaboradores dos escritórios de advocacia expõe seus clientes e colaboradores, bem como a sociedade a severos riscos, tanto de imagem e credibilidade quanto financeiros, em razão das multas previstas na legislação, razão pela qual o cumprimento dessa norma é obrigatório a todos os colaboradores e fornecedores dos escritórios de advocacia.
Como em todas as empresas, a adaptação dos escritórios aos ditames da lei exige empenho conjunto de equipe especializada e da gestão do escritório em suas mais diversas áreas.
A terceirização da análise dos dados tratados, dos perfis de acesso e do mapeamento das ações a serem tomadas pode ser medida eficiente de forma a garantir maior independência nas soluções propostas e, ao mesmo tempo, não canalizar energia interna, no primeiro momento, para um trabalho que exige conhecimento específico.
Além de profissionais com expertise jurídica e empresarial para cuidar do tema, é importante ressaltar que assim como há diversos ramos do Direito, há diversas especialidades no âmbito da área de tecnologia da informação. Nessa linha, nem sempre o apoio de TI já existente no escritório é o mais especializado para implementar as medidas exigidas pela lei, de forma que aqui a terceirização também pode ser interessante e mais segura.
É evidente que terceirizar essa tarefa pode trazer algum custo, mas libera a gestão interna do escritório da fase inicial, muito trabalhosa, de mapear os dados, fluxos e, consequentemente, os riscos. A escolha de um bom ponto focal interno, que trabalhará nessa fase com um bom especialista externo é suficiente para que se mapeie quais dados pessoais são recebidos e armazenados, os atuais fluxos de dados pessoais no âmbito interno, desde seu recebimento, sua guarda, as permissões de acesso a eles e sua eliminação, bem como os riscos de vazamento. Essa parte do processo deve ser conduzida por quem de fato conhece as operações como um todo.
Uma vez cumprida essa primeira etapa, o entendimento sobre os efetivos riscos de vazamento e suas consequências deve ser compartilhado com a gestão do escritório como um todo, com máximo envolvimento das principais lideranças.
Em seguida, devem ser designados os profissionais que responderão pela implantação das medidas previstas na lei, especialmente do encarregado — pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Feito isso, passamos à fase de elaboração dos normativos internos e da política a ser implementada e publicada, que deverão detalhar, em cada área e esfera de atuação, o fluxo dos dados pessoais, como se dará o consentimento, forma e tempo de guarda, perfis de acesso e forma segura de eliminação ou anonimização, quando for o caso, e, não menos importante, o plano de contingência em caso de vazamento de dados.
É fundamental a elaboração de termos de consentimento, seja para clientes, seja para colaboradores e outros eventuais fornecedores de dados que lhes dê total conhecimento sobre a forma de tratamento e eliminação de dados adotada pelo escritório.
Cuidados adicionais devem ser adotados em contratos de trabalho, contratos de honorários e com fornecedores, prevendo cláusulas específicas que visem resguardar o escritório, seja como coletor ou fornecedor de dados pessoais.
A participação das lideranças internas junto aos consultores externos é fundamental para que as medidas sugeridas não atrapalhem a operação do escritório, mas apenas permitam a adaptação da rotina à LGPD.
Por fim, antes da publicação e divulgação da nova política, deve ser feito um profundo trabalho de conscientização interna do teor da lei, seus efeitos e riscos, o que, sabemos, não é tarefa fácil, mesmo em escritórios de advocacia. Isso porque desviar, ainda que brevemente, a atenção da atividade-fim — a advocacia em si — para procedimentos de gestão é um grande desafio e essa fase já não pode ser assumida exclusivamente por consultores externos, porque liderar é sobretudo dar exemplo.
Assim como tudo o que se refere à gestão, os resultados de uma boa implementação de políticas seguras de proteção de dados superam, em muito, seus pequenos e temporários inconvenientes. Trata-se de mais um viés da valorização da gestão no âmbito dos escritórios e departamentos jurídicos, que mantém segura, consistente, perene e eficiente a atividade jurídica.
Sancionada em 2018 e com entrada em vigor em setembro de 2020, a lei tem muitos efeitos para todas as empresas, que tiveram mais de dois anos para se adaptar. É evidente que algumas atuam diretamente no tratamento de dados pessoais, e deverão ter máxima atenção à implementação de medidas eficazes com vistas ao atendimento da lei no âmbito de sua atividade fim. De fato, muitas implementaram as medidas e já cumprem os protocolos de tratamento de dados.
Outras empresas, no entanto, parecem não se preocupar tanto com os efeitos da LGPD, seja porque entendem que sua atividade não abrange o tratamento de dados de forma direta, seja porque entendem que a questão já estaria regulada em legislação própria referente à sua atividade.
É o que acaba por acontecer com escritórios de advocacia, que opuseram certa a resistência a se adaptar à LGPD porque entenderam, num primeiro momento, que a legislação que regula especificamente a atividade já impunha a obrigação de sigilo e não se consideram "alvo" da lei.
Importante trazer alguns conceitos básicos da LGPD que, além de se prestarem aos objetivos acadêmicos de praxe, servem para dar a exata noção de que há muito o que fazer para implementar as medidas adequadas de proteção de dados, inclusive nos escritórios de advocacia:
— Dados pessoais: informação relacionada a pessoa natural identificada ou identificável;
— Dados sensíveis: "dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente a saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural";
— Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais — nos escritórios, em geral, são os sócios gestores ou administradores, que representam a sociedade e tomam efetivamente as decisões;
— Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador — nos escritórios, em geral, são os colaboradores que tratam dados pessoais, como a equipe de RH, a área financeira e mesmo os advogados e estagiários que lidem com dados pessoais de clientes;
— Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) — o escritório deve nomear uma pessoa, de preferência, alguém que tenha domínio completo da gestão interna e poderes de administração, para figurar como encarregado;
— Agentes de tratamento: o controlador e o operador;
— Tratamento: toda a operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle de informação, modificação, comunicação, transferência, difusão ou extração;
— Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
— Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos.
Como se vê pela profundidade e detalhamento dos conceitos acima listados, o bem jurídico protegido pela LGPD é distinto do bem jurídico protegido pelo Estatuto da Advocacia e pelo Código de Ética e Disciplina da OAB. Pode haver ponto de toque e, de fato, o mesmo dado ser objeto do sigilo protegido pela relação advogado-cliente e ser dado pessoal, protegido pela LGPD, mas não necessariamente isso ocorre.
Além disso, mais abrangente do que a proteção da informação em si, a LGPD prevê cuidados com recebimento, consentimento, tratamento, armazenamento e eliminação de dados pessoais, bem como a necessidade de planos de contingência em caso de vazamento, atribuindo as responsabilidades aos indicados pela lei, que prestarão contas à ANPD (Agência Nacional de Proteção de Dados). É uma verdadeira norma de compliance voltada especificamente a dados pessoais, mais completa, abrangente e exigente que as legislações específicas que cuidam da ética nas atividades (advocacia e outras).
O não atendimento aos ditames da lei pelos colaboradores dos escritórios de advocacia expõe seus clientes e colaboradores, bem como a sociedade a severos riscos, tanto de imagem e credibilidade quanto financeiros, em razão das multas previstas na legislação, razão pela qual o cumprimento dessa norma é obrigatório a todos os colaboradores e fornecedores dos escritórios de advocacia.
Como em todas as empresas, a adaptação dos escritórios aos ditames da lei exige empenho conjunto de equipe especializada e da gestão do escritório em suas mais diversas áreas.
A terceirização da análise dos dados tratados, dos perfis de acesso e do mapeamento das ações a serem tomadas pode ser medida eficiente de forma a garantir maior independência nas soluções propostas e, ao mesmo tempo, não canalizar energia interna, no primeiro momento, para um trabalho que exige conhecimento específico.
Além de profissionais com expertise jurídica e empresarial para cuidar do tema, é importante ressaltar que assim como há diversos ramos do Direito, há diversas especialidades no âmbito da área de tecnologia da informação. Nessa linha, nem sempre o apoio de TI já existente no escritório é o mais especializado para implementar as medidas exigidas pela lei, de forma que aqui a terceirização também pode ser interessante e mais segura.
É evidente que terceirizar essa tarefa pode trazer algum custo, mas libera a gestão interna do escritório da fase inicial, muito trabalhosa, de mapear os dados, fluxos e, consequentemente, os riscos. A escolha de um bom ponto focal interno, que trabalhará nessa fase com um bom especialista externo é suficiente para que se mapeie quais dados pessoais são recebidos e armazenados, os atuais fluxos de dados pessoais no âmbito interno, desde seu recebimento, sua guarda, as permissões de acesso a eles e sua eliminação, bem como os riscos de vazamento. Essa parte do processo deve ser conduzida por quem de fato conhece as operações como um todo.
Uma vez cumprida essa primeira etapa, o entendimento sobre os efetivos riscos de vazamento e suas consequências deve ser compartilhado com a gestão do escritório como um todo, com máximo envolvimento das principais lideranças.
Em seguida, devem ser designados os profissionais que responderão pela implantação das medidas previstas na lei, especialmente do encarregado — pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Feito isso, passamos à fase de elaboração dos normativos internos e da política a ser implementada e publicada, que deverão detalhar, em cada área e esfera de atuação, o fluxo dos dados pessoais, como se dará o consentimento, forma e tempo de guarda, perfis de acesso e forma segura de eliminação ou anonimização, quando for o caso, e, não menos importante, o plano de contingência em caso de vazamento de dados.
É fundamental a elaboração de termos de consentimento, seja para clientes, seja para colaboradores e outros eventuais fornecedores de dados que lhes dê total conhecimento sobre a forma de tratamento e eliminação de dados adotada pelo escritório.
Cuidados adicionais devem ser adotados em contratos de trabalho, contratos de honorários e com fornecedores, prevendo cláusulas específicas que visem resguardar o escritório, seja como coletor ou fornecedor de dados pessoais.
A participação das lideranças internas junto aos consultores externos é fundamental para que as medidas sugeridas não atrapalhem a operação do escritório, mas apenas permitam a adaptação da rotina à LGPD.
Por fim, antes da publicação e divulgação da nova política, deve ser feito um profundo trabalho de conscientização interna do teor da lei, seus efeitos e riscos, o que, sabemos, não é tarefa fácil, mesmo em escritórios de advocacia. Isso porque desviar, ainda que brevemente, a atenção da atividade-fim — a advocacia em si — para procedimentos de gestão é um grande desafio e essa fase já não pode ser assumida exclusivamente por consultores externos, porque liderar é sobretudo dar exemplo.
Assim como tudo o que se refere à gestão, os resultados de uma boa implementação de políticas seguras de proteção de dados superam, em muito, seus pequenos e temporários inconvenientes. Trata-se de mais um viés da valorização da gestão no âmbito dos escritórios e departamentos jurídicos, que mantém segura, consistente, perene e eficiente a atividade jurídica.