Setorial11 min de leitura

LGPD para escritórios de advocacia e consultorias

Equipe Confidata·
Compartilhar

Escritórios de advocacia e consultorias jurídicas têm uma relação singular com a proteção de dados pessoais. Como prestadores de serviços, tratam dados de seus clientes — e esses dados incluem frequentemente as informações mais sensíveis que uma pessoa pode ter: disputas familiares, situação patrimonial, histórico criminal, dados de saúde em ações trabalhistas ou previdenciárias. Como empregadores, tratam dados de seus colaboradores. E, em muitos casos, atuam como operadores de dados de terceiros que seus clientes corporativos lhes confiaram.

A percepção de que o sigilo advogado-cliente resolveria todas as questões de privacidade é incorreta. O sigilo profissional e a LGPD coexistem — e entender como interagem é o primeiro passo para a adequação.

O escritório como controlador de dados

A partir do momento em que um escritório de advocacia contrata um cliente, torna-se controlador dos dados pessoais desse cliente e de qualquer outra pessoa mencionada nas petições, contratos, documentos e comunicações que recebe.

Dados dos clientes pessoas físicas:

  • Nome, CPF, RG, endereço, telefone, e-mail
  • Dados financeiros e patrimoniais (imóveis, veículos, contas bancárias — para cobranças, inventários, planejamento patrimonial)
  • Dados familiares (cônjuge, filhos, dependentes — em processos de família, sucessão, previdenciário)
  • Dados de saúde (em ações trabalhistas por danos, previdenciárias, de responsabilidade civil médica)
  • Histórico judicial (processos anteriores, acordos, disputas)

Dados dos clientes pessoas jurídicas:

  • Dados dos representantes legais (CPF, RG, cargo)
  • Dados de funcionários e terceiros envolvidos em disputas trabalhistas
  • Dados de sócios, acionistas e administradores
  • Informações estratégicas e contratos sigilosos

Dados de terceiros (partes contrárias, testemunhas):

  • Nome, qualificação e dados de contato
  • Informações sobre patrimônio e comportamento que surgem nos processos
  • Dados que o escritório coleta em due diligence ou investigação pré-processual

Dados operacionais do escritório:

  • Dados de colaboradores (advogados, estagiários, administrativos)
  • Dados de fornecedores de sistemas, LegalTech e serviços de suporte
  • Comunicações internas e externas (e-mails, atas de reunião, documentos de trabalho)

Sigilo profissional e LGPD: a interação

O Código de Ética e Disciplina da OAB (Resolução CFOAB Nº 02/2015) estabelece o dever de sigilo do advogado com as seguintes regras:

  • O advogado tem o dever de guardar sigilo dos fatos de que tome conhecimento no exercício da profissão
  • O sigilo profissional é de ordem pública, independe de pedido do cliente — todas as comunicações entre advogado e cliente são presumidamente confidenciais
  • O sigilo pode ceder apenas em circunstâncias excepcionais que constituam justa causa, como grave ameaça ao direito à vida e honra ou defesa própria

O sigilo advogado-cliente e a LGPD se reforçam mutuamente no mais das vezes: ambos restringem o compartilhamento de dados de clientes com terceiros sem justificativa. A diferença está nos contornos:

  • A LGPD permite compartilhamentos com base em interesse legítimo, decisão judicial ou obrigação legal — situações que o sigilo profissional também contempla, mas com análise casuística
  • A LGPD exige transparência ativa sobre o tratamento de dados — o cliente tem direito de saber como seus dados são usados, o que exige uma política de privacidade mesmo no contexto de representação jurídica
  • A LGPD garante ao titular o direito de acessar seus próprios dados, o que no contexto do escritório significa que o cliente pode solicitar cópia dos documentos do seu próprio processo

Bases legais para o tratamento de dados no escritório

AtividadeBase legal
Dados do cliente para prestar o serviço jurídico contratadoArt. 7º, V — execução de contrato
Dados da parte contrária e de terceiros em processosArt. 7º, VI — exercício regular de direitos em processo judicial, administrativo ou arbitral
Dados de colaboradoresArt. 7º, II — obrigação legal (CLT, eSocial, FGTS) / Art. 7º, V — contrato de trabalho
Registros de honorários e dados fiscaisArt. 7º, II — obrigação legal (tributária)
Banco de dados de jurisprudência e precedentesArt. 7º, IX — legítimo interesse (pode envolver dados anonimizados)
Dados de candidatos em processo seletivoArt. 7º, IX — legítimo interesse / consentimento para banco de talentos

Ponto importante: O Art. 7º, VI é uma das bases legais mais relevantes para escritórios de advocacia — ele permite o tratamento de dados pessoais de terceiros (partes contrárias, testemunhas) quando necessário para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Essa base reconhece a natureza adversarial do processo legal e que a coleta de dados sobre terceiros é inerente à defesa de interesses de clientes.

Dados sensíveis: o cotidiano das práticas especializadas

Dependendo da área de atuação, o escritório pode tratar dados sensíveis de forma rotineira:

Direito do trabalho: Atestados médicos, laudos de insalubridade, dados sobre acidente de trabalho, laudos de NR-17 — todos dados de saúde (Art. 11).

Família e sucessões: Dados sobre deficiência, dados de menores (que exigem cuidado adicional por serem vulneráveis), dados de relacionamentos afetivos.

Previdenciário: Dados de saúde, laudos periciais, histórico de tratamentos médicos, dados de incapacidade.

Criminal: Dados sobre infrações penais, investigações, detenções — categoria especial sob a LGPD e com proteção adicional no Código de Processo Penal.

Saúde: Processos contra planos de saúde, hospitais ou médicos envolvem prontuários completos de pacientes.

Para todos esses casos, o tratamento se apoia principalmente no Art. 11, II, d — exercício regular de direitos e no Art. 7º, VI — fundamentos que reconhecem que a atividade jurídica exige acesso a dados que, em outros contextos, seriam tratados de forma muito mais restritiva.

Segurança da informação: o principal risco dos escritórios

A segurança da informação é a maior vulnerabilidade prática dos escritórios de advocacia. O volume de documentos altamente sensíveis — estratégias jurídicas sigilosas, pareceres, contratos não publicados, informações sobre litígios iminentes com impacto financeiro significativo — torna escritórios alvos de ataques sofisticados.

Riscos específicos do setor:

E-mail sem criptografia: A maioria das comunicações jurídicas ainda ocorre por e-mail, sem criptografia de ponta a ponta. Um e-mail interceptado com informações sobre uma negociação ou um acordo pode ter valor econômico para terceiros.

WhatsApp para comunicação com clientes: Popular pela praticidade, mas com riscos significativos: backup automático em nuvem (Google Drive ou iCloud), acesso em múltiplos dispositivos, ausência de controle de retenção. A OAB não proíbe o uso, mas o escritório precisa ter ciência dos riscos e comunicá-los ao cliente.

Armazenamento em nuvem pessoal: Google Drive ou Dropbox pessoais com documentos de clientes criam problemas de governança — o escritório não controla quem acessa, por quanto tempo ou como os dados são tratados pelo provedor.

Acesso de estagiários e administrativos: Frequentemente têm acesso irrestrito a sistemas com dados de clientes de todos os assuntos, sem controle granular por matéria ou por cliente.

BYOD sem política: Advogados que trabalham em dispositivos pessoais sem MDM (Mobile Device Management) criam riscos de vazamento quando o dispositivo é perdido, furtado ou descartado.

Medidas básicas prioritárias:

  • E-mail corporativo com domínio próprio (não @gmail.com ou @hotmail.com) e autenticação de dois fatores
  • Controle de acesso granular nos sistemas de gestão do escritório (advogado acessa apenas os processos em que atua)
  • Política clara de armazenamento de documentos — proibição de uso de drives pessoais para documentos de clientes
  • Política para comunicação com clientes via aplicativos de mensagem — esclarecendo riscos e recomendando meios alternativos para documentos muito sensíveis
  • Retenção definida: documentos de processos encerrados não ficam indefinidamente acessíveis a todos os colaboradores

O escritório como operador: a situação subestimada

Em muitos cenários, o escritório de advocacia não é apenas controlador — é também operador de dados pessoais em nome de seus clientes corporativos.

Quando uma empresa contrata o escritório para conduzir uma ação trabalhista e, para isso, fornece dados pessoais de seus empregados, os dados pertencem à empresa — que é a controladora. O escritório é o operador: processa os dados para uma finalidade definida pelo cliente.

Como operador, o escritório:

  • Deve tratar os dados apenas para a finalidade contratada (aquela ação específica)
  • Não pode usar os dados para outros fins (inteligência de mercado, outros clientes)
  • Deve seguir as instruções do cliente controlador sobre segurança e retenção
  • Deve comunicar imediatamente qualquer incidente de segurança ao cliente controlador

Implicação prática para os contratos: O contrato de prestação de serviços do escritório com clientes corporativos deve incluir cláusulas de proteção de dados que definam as responsabilidades do escritório como operador. A maioria dos contratos de advocacia brasileiros ainda não contempla isso adequadamente — o que cria uma lacuna tanto para a conformidade LGPD do cliente quanto do escritório.

O escritório precisa de DPO?

A obrigação de DPO para escritórios de advocacia depende do porte e do tipo de tratamento:

Dispensado do DPO formal (Resolução Nº 2/2022):

  • Escritórios enquadrados como ME (faturamento até R$ 360.000) ou EPP (até R$ 4,8 milhões) que não realizem tratamento de alto risco

Tratamento de alto risco — que afasta o regime simplificado e torna obrigatório o DPO formal:

  • Escritório médio ou grande com base de clientes em larga escala
  • Uso de sistemas de IA para análise de documentos, previsão de probabilidade de sucesso ou triagem de peças processuais
  • Tratamento sistemático de dados sensíveis (escritórios especializados em saúde, criminal, família) em escala significativa
  • Decisões automatizadas que afetem clientes

Para escritórios no regime simplificado, a designação formal de DPO é dispensada — mas a necessidade de canal de comunicação funcional para titulares (clientes que queiram acessar ou solicitar eliminação de seus dados) permanece. Um e-mail dedicado publicado no site do escritório já atende esse requisito mínimo.

Checklist para escritórios de advocacia e consultorias

Organização e documentação:

  • Inventário dos dados pessoais tratados por área de atuação do escritório?
  • Bases legais definidas para cada categoria de tratamento?
  • Política de privacidade publicada no site, com informações sobre o tratamento e os direitos dos titulares?
  • Canal de comunicação para titulares (clientes) disponível e monitorado?

Segurança:

  • E-mail corporativo com domínio próprio e autenticação de dois fatores?
  • Controle de acesso aos sistemas de gestão com segregação por assunto ou por cliente?
  • Política de armazenamento de documentos — proibição de drives pessoais para arquivos de clientes?
  • Política para comunicação via aplicativos de mensagem documentada e comunicada aos colaboradores?

Contratos e relacionamento:

  • Contratos com clientes corporativos incluem cláusulas de proteção de dados (DPA)?
  • Clara definição de quando o escritório é operador vs. controlador dos dados recebidos?
  • Processo para comunicar incidentes ao cliente controlador imediatamente?

Retenção e descarte:

  • Política de retenção de documentos por área de atuação definida?
  • Processo para eliminação ou anonimização de dados após encerramento do caso e prazo legal?

Conclusão

A LGPD não entra em conflito com a essência da atividade jurídica — pelo contrário, reforça valores que o Direito já reconhecia: confidencialidade, transparência, proporcionalidade e respeito à autonomia das partes. O que ela acrescenta é a necessidade de documentar e formalizar o que até aqui era tratado apenas como ética profissional.

Para escritórios de advocacia, os passos mais urgentes são: revisar os contratos de serviços com clientes corporativos para incluir cláusulas de operador, implementar controles básicos de acesso nos sistemas de gestão, e publicar uma política de privacidade que explique o tratamento de dados dos clientes — incluindo o uso de e-mail e aplicativos de mensagem.

O Confidata inclui ROPA configurado para escritórios de advocacia com as principais atividades de tratamento por área do direito, modelo de cláusulas de DPA para contratos com clientes corporativos e gestão de canal de comunicação com titulares em conformidade com a Resolução Nº 18/2024.

Compartilhar
#LGPD escritório advocacia#dados clientes advogado#sigilo profissional LGPD#OAB proteção de dados#LGPD consultoria jurídica#dados sensíveis advocacia

Artigos relacionados

LGPD para ONGs e Fundações: Guia de Adequação [2026]Setorial · 13 minLGPD para associações, ONGs e o terceiro setorSetorial · 11 minLGPD na indústria: dados de IoT, supply chain e manufaturaSetorial · 12 minLGPD no setor imobiliário: corretoras, construtoras e condomíniosSetorial · 12 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista