A LGPD entrou em vigor no dia 18 de setembro de 2020. Após uma reviravolta no Senado Federal, já que muitos apostavam na prorrogação da vigência para 2021, a lei foi aprovada e posteriormente sancionada, restando apenas as sanções, que passam a vigorar a partir de agosto deste ano. Debelou-se a correria, por parte das empresas, para a implantação de programas de privacidade e adequação, além da procura por profissionais voltados à área de proteção de dados
Controvérsias à parte no que se refere ao momento adequado de entrada em vigor da lei, fato é que a LGPD provoca um enorme impacto em todas as empresas, independentemente do seu tamanho, faturamento ou quantidade de dados tratados e não há dispensa para a adequação. Ou seja, a LGPD atinge a todos e, portanto, deve ser observada por advogados autônomos, escritórios de advocacia e departamentos jurídicos internos e públicos, já que realizam tratamento de dados pessoais de clientes, colaboradores, associados, fornecedores, etc.
Mas, os escritórios de advocacia já não estão submetidos a uma legislação específica, em especial, a obrigação de sigilo?
Sim. Efetivamente essa atividade profissional possui legislação própria e com obrigação de sigilo garantida pelo Estatuto da Advocacia e pelo Código de Ética e Disciplina da OAB. Mas, não necessariamente o sigilo garantido na relação a advogado-cliente envolve um dado pessoal, que é o bem tutelado pela LGPD, razão pela qual os escritórios deverão adotar as medidas necessárias para a correta adequação à norma legal de proteção de dados.
A lei Geral de Proteção de Dados é um preceito direcionado ao compliance dos dados pessoais, em que o titular é centro das atenções, sendo seus direitos fundamentais de liberdade e de privacidade protegidos, bem como o livre desenvolvimento da sua personalidade. Por isso, é muito mais ampla, completa e rigorosa que outras legislações específicas que se referem à ética na prestação de serviços.
Quais os princípios que devem ser observados pelos escritórios de advocacia no tratamento dos dados pessoais?
Todo e qualquer tratamento de dados pessoais deve ser realizado com observância dos princípios elencados no art. 6º e nos fundamentos destacados no art. 2º da LGPD. São dez os princípios que regem o tratamento de dados pessoais:
· finalidade: o tratamento deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, vedado o tratamento posterior de forma incompatível com essas finalidades.
· adequação: deve ser compatível com as finalidades informadas ao titular.
· necessidade: o tratamento deve se limitar ao mínimo necessário para a realização de suas finalidades, com o uso dos dados pertinentes, proporcionais e não excessivos para atender essas finalidades.
· livre acesso: os titulares têm garantido o direito à consultaf acilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
· qualidade dos dados: os dados dos titulares devem ser exatos, claros, relevantes e atualizados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
· transparência: os titulares têm direito a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
· segurança: emprego de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
· prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
· não discriminação: o tratamento de dados não pode ter fins discriminatórios, ilícitos ou abusivos;
· responsabilização e prestação de contas: controlador e operador devem adotar medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficáciadessas medidas.
Como dissemos, todos esses princípios devem ser observados. No entanto, destacamos que os princípios da finalidade, necessidade e adequação são basilares no início do processo de adequação de qualquer empresa e é sobre eles que se deve concentrar a análise das atividades de tratamento de dados.
Os escritórios de advocacia atuam como controlador ou operador de tratamento de dados pessoais?
Como os advogados costumam dizer: depende. A LGPD dispõe que são agentes de tratamento o controlador e o operador. O controlador é o responsável pelo tratamento de dados pessoais, a quem competem as decisões sobre esse tratamento. O operador, por sua vez, é quem realiza a atividade de tratamento a mando do controlador, obedecendo suas orientações e diretrizes.
Os escritórios de advocacia, na maioria das vezes, representam esses dois papéis: o de controlador, quando está tratando dados de seus colaboradores, associados e parceiros; e de operador, quando executa o tratamento de dados de acordo com as orientações de seus clientes.
Mas, é importante deixar claro que essas posições não são posição imutáveis, permanentes, estáticas. Sempre será necessário analisar a atividade de tratamento concreta, a finalidade e necessidade de cada tratamento, para a definição de controlador e operador. É possível que em uma mesma atividade exista mais de um controlador ou operador, ou que essas duas posições sejam exercidas simultaneamente por um ou mais agente de tratamento.
E aqui recordamos que, de acordo com o inciso X, do art. 5º da Lei 13.709/2018, o tratamento de dados pessoais é toda a operação feita com o dado do titular, como coleta, processamento, arquivamento, distribuição, exclusão, entre outras.
Qual a base legal aplicável ao tratamento de dados pessoais realizado pelos escritórios de advocacia?
Novamente a resposta é: depende. Depende do caso concreto. É importante destacar que qualquer tratamento de dados pessoais só pode ser realizado se estiver fundamentado em uma das bases legais previstas na LGPD. Após o levantamento das atividades realizadas que envolvam dados pessoais, os dados tratados e qual a finalidade, deve-se enquadrá-la em uma das dez bases legais previstas na lei geral de proteção de dados:
i. Consentimento do titular
ii. Cumprimento de obrigação legal ou regulatória pelo controlador
iii. Execução de políticas públicas
iv. Realização de estudos por órgãos pesquisas
v. Execução de contrato
vi. Exercício regular de direito sem processo judicial, administrativo ou arbitral
vii. Proteção da vida ou da incolumidade física do titular ou de terceiro
viii. Tutela da saúde
ix. Legítimo interesse do controlador
x. Proteção ao Crédito
Ao longo de uma atividade de tratamento de dados, a base legal pode ser modificada e a LGPD não apresenta qualquer vedação quanto a isso. Mas é necessário manter os registros destas atividades e as respectivas bases legais que fundamentam o tratamento realizado, caso seja requerido pela ANPD ou para demonstrar a conformidade do escritório em eventuais processos.
Também é recomendável a utilização do consentimento do titular, apenas quando não houver a possibilidade de utilização de outra base legal, em virtude da complexidade envolvida nessa hipótese legal. O consentimento deve ser dado pelo titular de forma livre, específica e destacada e para finalidades específicas, podendo ser revogada a qualquer momento pelo titular. A gestão do consentimento pode ser difícil e trabalhosa e nas atividades realizadas pelos escritórios de advocacia, outras hipóteses legais como execução de contrato, exercício regular de direitos em processos judiciais, administrativos e arbitrais e cumprimento de obrigação legal ou regulatória são mais adequadas para justificar o tratamento de dados pessoais.
O que os escritórios devem fazer para se adequar à LGPD?
Com o objetivo de minimizar riscos relacionados a não conformidade com a LGPD e promover uma cultura de privacidade e proteção de dados dentro do escritório, elencamos alguns procedimentos que deverão ser observados:
1. Criar a visão do escritório a respeito da privacidade: essa visão deve ser alinhada à missão do escritório e aos objetivos do negócio, declarando a razão de ser da privacidade no escritório.
2. Estabelecer um modelo de governança de dados: É necessário definir qual o modelo de governança que será usado pelo escritório de acordo com o modelo de negócios e a própria estrutura. Esse modelo pode ser:
· Centralizado: Estabelece uma equipe ou pessoa responsável por assuntos relacionados à privacidade em todo o escritório/departamento (de cima para baixo).
· Descentralizado: Delega a autoridade na tomada de decisão aos níveis hierarquicamente inferiores de um escritório/departamento (de baixo para cima).
· Híbrido: Quando um escritório ou departamento com filiais distribuídas em outras localidades atribui a responsabilidade pela privacidade tanto a uma pessoa ou equipe–responsável pela emissão de políticas e diretrizes para o restante do escritório –quanto a pessoas ou equipes em âmbito local, que cumprem e apoiam as políticas e diretrizes do órgão central.
3. Envolver a liderança sênior/alta administração: A adequação de um escritório à LGPD é um processo trabalhoso e complexo, que envolve a mudança de cultura quanto à utilização dos dados pessoais. Se a liderança sênior do escritório não estiver envolvida e demonstrar seu apoio a este processo de adequação, dificilmente os funcionários entenderão a necessidade de empregar práticas para proteger os dados pessoais. Liderar é principalmente dar exemplo.
4. Nomear um Encarregado (DPO): O art. 41 da LGPD determina que todo controlador deverá nomear um encarregado de tratamento de dados pessoais que irá atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD), além de orientar os funcionários e contratados do escritório a respeito das práticas a serem adotadas em relação à proteção de dados pessoais. Não há vedação na lei quanto ao Encarregado ser um membro do próprio escritório, um funcionário ou o próprio sócio. Também é permitida a contratação de um DPO asService. Lembrar que as informações sobre o Encarregado devem ser públicas, de preferência no site do escritório.
5. Registrar as atividades que envolvam o tratamento de dados pessoais: O art. 37 da LGPD impõe esse registro, mas independentemente da obrigação legal, é através deste inventário que o escritório vai mapear os dados tratados, por quais áreas eles transitam, qual o ciclo de vida dos dados (da coleta até sua exclusão), as bases legais que justificam o tratamento, o compartilhamento dos dados e as medidas de segurança adotadas para proteção dos dados.
6. Criar um canal de comunicação para atendimento aos titulares de dados: demonstra a transparência do escritório e transmite segurança para os titulares de dados, além de ser uma exigência da lei.
7. Elaborar política de privacidade de dados e segurança da informação: são documentos internos do escritório que indicam como os dados pessoais serão tratados, armazenados e transmitidos a terceiros para atender ao disposto na LGPD, bem como as medidas técnicas e administrativas adotadas para garantir a segurança das informações, impedindo ou mitigando eventuais incidentes.
8. Organizar treinamentos para funcionários, associados e colaboradores: a adequação à LGPD passa por uma mudança na cultura de utilização dos dados pessoais. É importante que toda equipe interna seja treinada periodicamente sobre o tema, reforçando condutas preventivas e boas práticas no tratamento dos dados pessoais.
9. Elaborar e divulgar o Aviso de Privacidade: diferente da Política de Privacidade, o Aviso é um documento para ser divulgado ao público externo e que demonstra a visão do escritório sobre proteção de dados, elencando as atividades que são realizadas, as finalidades, bases legais que fundamentam o tratamento e o compartilhamento dos dados dos titulares com outros controladores, operadores e terceiros.
10. Revisar contratos: revisar contratos firmados com clientes, colaboradores e fornecedores ,incluindo cláusulas específicas de proteção de dados de acordo com as especificidades da relação contratual firmada. Lembrar que nos contratos deverão constar cláusulas de confidencialidade, finalidade do tratamento, hipóteses de compartilhamento dos dados, comunicação em caso de incidentes, direitos e deveres das partes.
11. Estabelecer controles de acesso às informações: se o escritório ainda não possui uma política de acesso, esse é o momento de elaborá-la. A política “todo mundo tem acesso a tudo” precisa ser revista.Estabelecer níveis de acesso de acordo com a função desempenhada por cada colaborador, com revisão periódica de senhas, é outro passo em direção à adequação da LGPD. E se o escritório tem processos e arquivos físicos, tambémserá necessário estabelecer uma política de acesso.
12. Avaliar os sistemas informatizados do escritório: o escritório deve tratar incidentes de segurança deforma preventiva. Se possui uma TI interna ou uma empresa que presta esse serviço, é necessário avaliar e reavaliar periodicamente se os sistemas estão adequados, adotando as medidas necessárias para melhoria da segurança dos dados armazenados. Nesse período de home office também é importante reforçar a segurança, principalmente se os colaboradores estão acessando os sistemas do escritório através de seus equipamentos particulares.
LGPD: muito além de um novo nicho de mercado
ALGPD abriu um novo nicho para os escritórios de advocacia: elaborar projetos de adequação das empresas, revisar de contratos, prestar serviços de DPO interno ou DPO As a Service, enquadrar as atividades de tratamento nas respectivas bases legais, defender os direitos dos titulares, etc. São várias as oportunidades de atuação. Mas, por outro lado, impõe obrigações aos escritórios, que também devem se adequar à LGPD.
Os escritórios que já iniciaram seu processo de adequação, além de estarem em conformidade com a lei, apresentam uma vantagem competitiva em relação aos seus concorrentes, com ganhos de reputação, confiança e credibilidade. Afinal de contas, quem vai contratar um escritório para a execução de atividades relacionadas à proteção de dados, se esse escritório não demonstra sua adequação? É importante deixar claro que no escritório todos valorizam a LGPD e primam pela proteção e segurança dos dados, já que cada pessoa física dentro do escritório é, em primeiro lugar, um titular de dados.
A LGPD não é apenas mais uma lei a ser obedecida. Ela implementa uma nova cultura de privacidade e proteção de dados no país, o que implica em conscientização e mudança de postura no uso dos dados pessoais por toda a sociedade. Ignorar a importância da LGPD e seus reflexos é desconsiderar o movimento crescente de respeito as direitos fundamentais de liberdade e privacidade das pessoas, cada vez mais necessário no mundo atual.
Referências Bibliográficas:
BRASIL. Lei n° 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
Maldonado, Viviane Nóbrega; Blum, Renato Opice, coordenadores –LGPD: Lei Geral de Proteção de Dados comentada – 2ª Edição – São Paulo: ThomsonReuters Brasil, 2019.
Maldonado, Viviane Nóbrega; coordenação – LGPD: Lei Geral de Proteção de Dados: Manual de Implementação – São Paulo: Thomson Reuters Brasil,2019.
Nota: neste texto, vamos sempre utilizar o termo “escritórios de advocacia” para facilitar a redação, mas os pontos apresentados também devem ser observados por advogados autônomos e departamentos jurídicos, já que a LGPD se aplica a pessoa natural ou jurídica (de direito público ou privado) que realiza tratamento de dados pessoais (art.1º, Lei nº 13.709/208).
___________________________________________________________________________________________________________________________________________
