Lei geral de proteção de dados pessoais e a advocacia

06/03/2020

A LGPD não apenas cria um novo nicho no mercado jurídico, mas impõe deveres aos próprios escritórios.

 

Publicada em 14 de agosto de 2018, a Lei Geral de Proteção de Dados entrará em vigor em 16 de agosto deste ano. Os tipos e a intensidade dos seus impactos sobre o mercado ainda são objeto de intenso debate. De um lado, alguns setores apontam a necessidade de adequação das empresas como ponto negativo e, portanto, reivindicam sua prorrogação, enquanto outros enaltecem o caráter protecionista da legislação e a ressaltam o fomento à atividade empresarial e o aumento da competitividade entre as empresas como os principais fatores para a manutenção da sua entrada em vigor.

Controvérsias à parte, a Legislação causará um amplo impacto, impondo a toda e qualquer atividade empresarial à necessidade de se adequar às suas previsões normativas independente do tamanho, faturamento, espécie societária, quantidade dados etc. Não existe dispensa para a adequação. De acordo com o inciso X do seu artigo 5º, toda operação realizada com dados pessoais, físicos ou digitais, é classificada como tratamento de dados pessoais e, portanto, se submetem à adequação exigida pela LGPD.

De forma geral, todo e qualquer tratamento de dados pessoais deverá ser orientado pelos princípios elencados no art. 2º, sendo a finalidade, necessidade e adequação, princípios basilares e de maior destaque no momento inicial de análise dos dados tratados por dada atividade, o assesment.

Tais princípios impõem a realização do tratamento de dados apenas para propósitos legítimos, específicos, explícitos, informados ao titular e pelo período necessário para o cumprimento da finalidade indicada pelo controlador.

Desse modo, a lei conceitua três agentes responsáveis pelo tratamento dos dados pessoais. São os chamados stakeholders.

O controlador é aquele responsável pela coleta dos dados pessoais, bem como por tomar as decisões referentes ao seu tratamento, logo é quem decide qual será a finalidade dos dados tratados. O operador é quem efetivamente realiza o tratamento dos dados pessoais sob a supervisão/orientação do controlador, cumprindo, portanto, a finalidade por ele determinada. Por fim, o encarregado, que pode ser uma pessoa natural ou jurídica, a ser nomeada por um dois agentes anteriores, irá figurar não apenas como um ponto de comunicação entre o titular dos dados, Controlador e Autoridade Nacional, mas principalmente como o grande responsável pela implementação e supervisão do plano de adequação da empresa.

Assim como outros diversos pontos, sempre será necessário realizar uma análise casuística dos dados tratados, identificando na situação específica quem está atuando em cada posição e qual a finalidade do tratamento daqueles dados atrelados aos demais princípios. Em razão disso, não existe uma definição estática de quem é o Controlador e o Operador, podendo, em uma mesma relação, uma ou mais figuras atuarem nas duas posições ao mesmo tempo.

Costumeiramente, normas regulatórias impostas à atividade empresarial em geral são aplicadas aos escritórios de advocacia com certas limitações, exceções ou de maneira especial. Não com a LGPD.

No que tange aos escritórios de advocacia, o impacto da Legislação poderá ser ainda mais contundente, tendo em vista que sua atividade-fim exige o tratamento de dados pessoais, seja enquanto atuar como Controlador ou Operador.

Na primeira situação, será necessário adequar o tratamento dos dados pessoais dos seus advogados associados, funcionários, clientes e demais parceiros. Alguns exemplos podem ilustrar tal cenário.

Os currículos tendem a possuir dados pessoais como nome, sobrenome, sexo, endereço, CPF, RG, número de telefone, e-mail, perfil em rede social, histórico acadêmico e profissional, bem como imagem do seu titular. Esse conjunto de dados são exemplos de duas categorias indicadas nos incisos I e II do art. 5º da Legislação, dado pessoal e dado pessoal sensível, respectivamente.

Estes documentos costumam ser armazenados pelos escritórios de advocacia com o intuito de facilitar processos seletivos de contratações que eventualmente surjam, logo, seus armazenamentos enquadram-se perfeitamente na previsão do inciso IV do art. 5º, que conceitua o que são banco de dados.

Por óbvio, após a realização do processo seletivo, perece o princípio da necessidade em manter aquele conjunto de dados por um período superior ao da seleção da vaga ofertada. Encerra-se também, a base autorizativa para aquele tratamento, na medida em que também perece o princípio da finalidade que, neste caso, seria a contratação de determinado Titular participante do processo seletivo.

Não se trata, a priori, de uma restrição legal em manter o banco de dados, mas da necessidade de encontrar uma base autorizativa apta a assegurar a manutenção dos dados pessoais ali contidos, tendo em vista que o consentimento, previsto no inciso I do art. 7º, é base precária diante da possibilidade de sua revogação a qualquer tempo.

Portanto, para além da verificação da base autorizativa, o descarte dos currículos também deverá observar uma forma adequada, garantindo que, após sua exclusão, não seja possível identificar seu respectivo titular.

Outro exemplo envolve os contratos de trabalho e prestação de serviço celebrados que precisarão estar adequados a este novo paradigma diante da necessidade de adoção de políticas de privacidade e compliance pelo escritório. Para tanto, a elaboração de um plano de governança interno e inclusão de cláusulas contratuais de confidencialidade serão indispensáveis.

No mesmo sentido, haverá a necessidade de adequar o tratamento dos dados pessoais dos colaboradores, clientes e demais parceiros de todo o escritório.

Assim, a atuação dos escritórios de advocacia exclusivamente como operadores ocorre na celebração dos contratos e no recebimento da documentação encaminhada por seus clientes ou por terceiros para defesa dos interesses dos seus clientes. Tais operações impõem aos escritórios, além da observância das normas de praxe que regem o sigilo profissional da advocacia, a elaboração de um plano de adequação ao regime de proteção de dados e segurança da informação equivalente ao interesse e atividade-fim dos seus representados.

Exemplificando. Imagine que o escritório tenha sido contratado para elaborar um parecer técnico, sendo, portanto, encaminhada documentação específica que comporta dados pessoais do cliente, litigantes ou terceiros que se envolvam na casuística. Imagine ainda que o cliente que solicitou o parecer adquiriu ou teve acesso indevido a algum desses dados pessoais.

Em tais casos, será necessário que a equipe jurídica e administrativa do escritório esteja preparada para identificar que a empresa não poderia possuir aqueles dados e, reflexamente, o escritório também não. Igualmente, a equipe deverá saber justificar, a partir do enquadramento destes dados em uma das bases legais autorizativas para o tratamento, a finalidade para manter tais dados nos seus sistemas, excetuado os casos em que os dados forem obtidos de forma ilícita, o que importará na eliminação imediata dos dados.

Estas exigências impactam, inclusive, o próprio escopo ordinário do escritório. As bancas precisarão ter maior conhecimento da atuação dos seus clientes para poder identificar quais dados poderão ser tratados por ambos, seja dos seus clientes no desenvolvimento de sua respectiva atividade empresarial, seja do escritório enquanto estiver na defesa dos interesses de seus clientes, isto é, quando figurar na qualidade de Operador.

Inevitavelmente, todos os contratos celebrados entre o escritório e seus clientes precisarão ser revisados e adequados às peculiaridades da relação contratual estabelecida. Haverá, portanto, bases autorizativas distintas para o tratamento dos dados pessoais contidos em cada objeto de cada contrato firmado. Para tanto, objetivando a melhor adequação, os contratos deverão contemplar regras de confidencialidade, finalidades de tratamento, comunicação em casos de incidentes, requisitos de segurança da informação, fiscalização do Controlador, poderes, direitos, responsabilidades etc.

Todos estes cuidados serão considerados ao se averiguar a (des)necessidade de aplicação de sanções pela Autoridade Nacional de Proteção de Dados.

A lei não obriga que as empresas garantam 100% de efetividade contra vazamentos, mas sim que adotem medidas, sejam preventivas e/ou corretivas, para evitar e/ou mitigar os possíveis danos aos dados pessoais dos Titulares, principalmente pela expressa previsão de responsabilidade civil objetiva contida no art. 42 da LGPD.

Diante do exposto, é razoável concluir que a atuação dos escritórios deve se pautar pela mitigação da possibilidade de danos aos dados que possui, seja atuando como operador, seja atuando como controlador. Reflexamente, a elaboração do plano de governança e adequação à LGPD pode gerar benefícios aos escritórios.

Primeiramente, a adequação à lei criará uma vantagem competitiva em relação aos demais escritórios que não se adequarem. Tal item está atrelado diretamente ao ganho em reputação, credibilidade e confiabilidade, tendo em vista que, no médio e longo prazo, empresas de grande visibilidade no mercado impreterivelmente irão contratar apenas com aqueles escritórios já adequados.

Em segundo lugar, a adequação pode ampliar o escopo de atuação do escritório. Ou seja, haverá um efeito centrífugo de adequação dos parceiros do escritório que, ao serem apresentados à legislação, terão imediata necessidade em se adequar à Lei gerando, inevitavelmente, novas demandas.

Como se vê, a nova regulação sobre dados pessoais possui uma dupla dimensão de impacto sobre a atuação dos escritórios. De um lado, impõe uma série de deveres que demandarão a progressiva reestruturação do negócio, o que acarretará o surgimento de custos. Por outro, induz a criação de um novo nicho de concorrência.

Fonte: Migalhas - Vitor Soliano / Matheus Oliveira / Vinícius Magalhães