A Lei Geral de Proteção de Dados Pessoais (LGPD, Lei nº. 13.709/18), após diversas reviravoltas, entrou em vigência após ser sancionada em setembro de 2020. Muito se vê sobre uma geração de advogados ofertando serviços de implementação, adequação e conformidade conforme dispõe a lei. Mas, antes, eu te faço uma pergunta: e você, advogado “especialista” em proteção de dados, já fez o dever de casa? Já adequou a sua advocacia? Já parou para pensar que o seu escritório, individual ou em sociedade, também se sujeita à lei? Vamos por partes.
Inicialmente, o que são dados pessoais? É toda informação que identifica ou permite identificar um indivíduo: nome, rg, cpf, profissão, data de nascimento, telefone, endereço, e-mail, foto, digital. Alguns dados demandam um cuidado maior ainda: opinião política, dados de crianças e adolescentes, dado racial, convicção religiosa, dados sobre condição de saúde.
Toda pessoa, física ou jurídica, que faz uso desses dados com fins econômicos (quando você colhe esses dados para poder vender um serviço ou produto), seja em meio físico ou virtual (papel no arquivo ou planilha excel no computador) está sujeito a LGPD.
Isso resume bem a vida de um advogado que lida com os mais diversos dados confidenciais do cliente e, que muitas vezes, estes estão expostos na agenda da secretária, no computador da recepção, no acesso remoto de todos os estagiários e advogados ou nos post it da mesa de trabalho ao alcance da equipe de limpeza. Há ainda os dados dos seus colaboradores, funcionários, parceiros, tão importantes quanto o dos clientes.
Vejamos uma típica rotina: um cliente liga para o escritório querendo marcar uma reunião. Ali são colhidos os primeiros dados como nome, e-mail, telefone, motivo do assunto. Onde esses dados ficam armazenados e quem tem acesso a eles? Na primeira reunião o advogado já tem diversas informações pessoais, muitas vezes sigilosas, além de escanear documentos pessoais, comprovante de residência, contas bancárias, certidão de casamento, contracheque, fotos, provas sobre o caso. Esses documentos vão para um sistema? Todos do escritório conseguem entrar na pasta do cliente?
Consultorias levam meses e processos judiciais duram anos. Durante todo esse percurso documentos sempre são juntados contendo dados extremamente íntimos dos clientes, lembrando ainda que equipe de limpeza/advogados/estagiários/recepção são revezados com grande constância. Em tempos de pandemia o home office é uma opção com acesso direto, de casa, ao drive do escritório, sem nenhum investimento especial em segurança. Quando um processo finda e o serviço prestado ao cliente encerra, qual é o destino de toda a documentação gerada?
Os questionamentos a serem feitos é: você colhe todos os dados que de fato necessita para fazer o atendimento inicial ou vai bem além do que realmente precisa? Você explica pro cliente qual a necessidade desses dados que estão sendo solicitados, qual o processo de armazenamento e exclusão deles? Você pede autorização para colher esses dados? Se o cliente não fecha o contrato você deleta da sua base de dados? No contrato você aponta sobre a proteção de dados do cliente?
Esse é o primeiro caminho a ser trilhado para organizar a casa: ver quais dados você realmente necessita, fazer uma política de consentimento, revisar os seus contratos de honorários, deixar o cliente seguro sobre os dados que são coletados. Afinal, essa lei é feita para a proteção do dado que tem como titular o cidadão, a pessoa física. O dado é dele. O cuidado é para ele.
Um segundo passo é fazer o mapeamento de processos, ou seja, entender toda a trajetória que esse dado pessoal percorre, desde quando é colhido até quando é deletado: fica em meio físico ou digital, quem tem acesso, quanto tempo fica armazenado, como é excluído. Em seguida vem a gestão de riscos: qual dado, cliente, processo, informação, setor está mais exposto? Onde é preciso investir mais segurança, atenção e urgência?
Depois disso tudo delineado, é hora de avançar em segurança da informação (senhas, limitação de pessoas que acessam, criptografia, cadeado no arquivo físico e restrição de acesso), treinamentos de todos da equipe (recepção, limpeza/faxina, estagiários, administradores, sócios, coordenadores), anonimização, métodos de exclusão, termos de responsabilidades.
Outro ponto importantíssimo que deve ser compreendido pelos advogados: por que eu deveria me atentar a isso tudo? Quais são os riscos que corro? Como isso me afeta? Segundo a lei, aqueles que não se atentam à LGPD estão sujeitos às seguintes penalidades que serão aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD): advertência, multas, publicização da infração, bloqueio dos dados pessoais, eliminação do banco de dados.
Para ser o mais direto possível: imagine que o seu cliente teve um dado importantíssimo e íntimo exposto, afetando sua vida de maneira desagradável, tudo isso por uma falha na segurança do seu escritório. É emitido um alerta para a ANPD, iniciasse uma investigação e fiscalização e, ao fim, é constatado que você, advogado, errou. A depender do nível da falha, surge uma multa. Você paga a multa, mas não toma atitude para corrigir o erro. Então a ANPD bloqueia os seus dados por um dia, até você corrigir o problema. Você tem diversos prazos para cumprir, diversas reuniões para fazer no outro dia, mas não consegue acesso a nada devido ao bloqueio. Conseguiu imaginar o caos?
Se mesmo assim, você pouco ou nada faz, ou se de fato a exposição foi bem grave, resolvem imputar a você a exclusão dos seus bancos de dados. O que seria do seu escritório se todos os documentos, arquivos, fichas dos clientes desaparecessem de uma hora para outra? Creio que a multa se torna um mero detalhe diante disso tudo. Por fim, e a reputação da sua marca e do seu nome perante os clientes e a comunidade que você vive?
Fica então uma reflexão sobre a importância, seriedade e necessidade de cuidados com tudo o que abarca a proteção de dados pessoais, principalmente os dos seus clientes, o principal motivo de ser da sua carreira.
