A extensão dos efeitos da lei 13.709/2018, a Lei Geral de Proteção de Dados, aos advogados tem sido tema recorrente no meio jurídico e muitos têm demonstrado certa tranquilidade em relação à necessidade de adequação, entendendo que a atividade do advogado já era - e continuará sendo - coberta pelo sigilo da relação cliente-advogado, de modo que pouca coisa mudaria com a entrada em vigor da LGPD.

De fato, o sigilo profissional do advogado, em certa medida, pode ser considerado até mais amplo e rígido do que as regras impostas pela LGPD para o tratamento de dados pessoais. Nos termos do Código de Ética e Disciplina da OAB (art. 25), o sigilo profissional é inerente ao exercício da advocacia. O advogado não pode sequer depor como testemunha sobre fato relacionado ao seu cliente (art. 7^o, XIX, da Lei 8.906/1994), mesmo que autorizado ou solicitado por este (art. 26, Código de Ética), salvo em defesa própria (art. 27, Código de Ética). Nesse sentido, mesmo havendo consentimento do titular, o advogado possui certas restrições éticas e morais quanto ao tratamento dos dados pessoais.

Em contrapartida, porém, a Lei 8.906/1994 e o Código de Ética dispõem sobre o dever de sigilo profissional de maneira bastante genérica, determinando apenas que o advogado mantenha em segredo toda e qualquer informação que venha a ter acesso a respeito dos seus clientes. Não há regras específicas sobre quais dados o advogado pode acessar, por quanto tempo, em que condições deve guardá-los, entre tantas outras regras agora trazidas pela LGPD.

Dentre essas regras, constata-se a necessidade de enquadramento do advogado como controlador ou operador dos dados, para fins de determinação dos limites de sua responsabilidade.

No que tange aos dados pessoais coletados fora do exercício do core business do escritório, não há muita dúvida quanto à natureza do tratamento. Dados recebidos, por exemplo, para a execução de contratos com fornecedores, na relação de trabalho com colaboradores ou para controle de acesso às suas dependências, são tratados na condição de controlador.

A grande dúvida fica para os dados tratados no próprio exercício da profissão, na prestação direta do serviço de advocacia.

É bastante comum que, ao consultar um advogado, o cliente relate fatos e lhe entregue diversos documentos, dos quais muitos podem vir a se mostrar absolutamente desnecessários à execução do trabalho. Até aqui, não havia maiores problemas em receber todas essas informações, desde que fossem mantidas em sigilo. Agora, com as regras da LGPD em vigor, em especial os princípios da adequação, da necessidade e da transparência, o advogado passa a ter a obrigação de identificar quais dados serão necessários para a execução do trabalho, orientando o cliente a não encaminhar informações desnecessárias e, no limite, devolvendo ou eliminando imediatamente de sua base os dados considerados dispensáveis.

Tem se tornado cada vez mais frequente, por exemplo, principalmente por empresas multinacionais, o procedimento de riscada de informações pessoais - o chamado redacting - justamente para evitar o acesso de parte a parte de dados considerados desnecessários para a finalidade do trabalho que está sendo executado.

Esse é um enorme desafio, pois a proteção do dado pessoal não está na cultura do brasileiro, não faz parte do nosso mind set, diferentemente do que ocorre em outros locais, como na Comunidade Europeia, em que existe a consciência da importância na preservação do dado pessoal pelo menos desde a década de 1970.

Daqui em diante, portanto, o advogado deverá ter enorme cuidado com que dados está recebendo do cliente, se eles serão úteis para a prestação do serviço, se está claro para o cliente como esses dados serão tratados. Isso tudo será muito importante para definir os limites da responsabilidade do advogado.

Nesse contexto, assume grande relevância a definição do papel do advogado como controlador ou operador de dados pessoais. Isso terá grande impacto na sua responsabilidade, visto que o operador realiza o tratamento do dado em nome e nos limites daquilo que for determinado pelo controlador, a quem, por sua vez, competem as decisões referentes a esse tratamento. Assim, enquanto controlador, o advogado terá uma responsabilidade mais abrangente, pois caberá a ele definir todos os aspectos relacionados aos dados recebidos para tratamento.

Na Comunidade Europeia, por exemplo, a tendência tem sido considerar escritórios, via de regra, como controladores. Mesmo antes do advento da General Data Protection Regulation, fonte de inspiração da nossa LGPD, o denominado Article 29 Working Party¹ já se posicionava no sentido de que, se o prestador do serviço exerce uma atividade tradicional e de expertise profissional que lhe imponha definir o propósito e os meios de tratamento, aquela determinada expertise em geral define o prestador do serviço como um controlador.

Na Opinião 1/2010, a Working Party analisou especificamente o caso dos advogados atuando em juízo, concluindo que estes são controladores. O argumento foi de que a instrução que o cliente dá ao advogado não é para tratar o dado, mas para representar seus interesses em juízo. O tratamento do dado seria uma atividade auxiliar, a ser total ou pelo menos parcialmente determinada pelo advogado, dentro da sua independência profissional e funcional, portanto sem ingerência do cliente.

A United Kingdom Information Commissioner's Office, Agência de Informações do Reino Unido, chegou a conclusão similar, entendendo que o advogado deve ser considerado controlador: (i) quando receber dados pessoais sobre terceiros para assessorar o cliente em relação a seus direitos; e (ii) quando o cliente tiver pouco discernimento acerca de como os dados serão tratados no curso da representação profissional pelo advogado.

Posições semelhantes podem ser encontradas em manifestações de órgãos de outros países da Comunidade Europeia, inclusive de ordens de advogados, como na França, na Alemanha e na Itália.

O Conselho Europeu de Proteção de Dados, embora não tenha uma diretiva específica sobre o papel de advogados, divulgou recentemente, em setembro, o Guia 7/20 sobre conceitos de controlador e operador, estabelecendo em seu item 33 que o controlador é aquele que determina o porquê do tratamento do dado, ou seja, qual a finalidade do tratamento e como esta será atingida. A orientação se mostra alinhada com o racional adotado pela Working Party e pela UK ICO em relação a escritórios de advocacia, que leva em consideração a independência com que o advogado atua no exercício da profissão.

Vale destacar, contudo, que muitos desses órgãos ressalvam situações em que advogados podem, eventualmente, ser considerados operadores, por exemplo em contratações para revisão de documentos, com base em objetivos/premissas específicas, ou com base em métodos/formas específicas de tratamento.

A experiência europeia aplica-se à nossa realidade: no Brasil, à luz da LGPD, advogados devem ser preponderantemente caracterizados como controladores, sem prejuízo de, em determinadas situações, serem considerados operadores.

Assim, para alguns trabalhos mais específicos, como análise de contratos e due diligences, os advogados podem ser considerados operadores, conforme recebam diretrizes específicas para o tratamento dos dados. Outra hipótese é a do correspondente, que, mesmo atuando em juízo, pode ser considerado mero operador quando tiver um escopo específico de trabalho e conforme orientações recebidas do escritório contratante.

No geral, porém, os advogados devem ser considerados controladores, já que boa parte da própria execução do trabalho e da expertise do advogado estará na definição de como tratar o dado, eventualmente até por imposição legal e como forma de assegurar a sua independência profissional: atuações em juízo, opiniões legais, auxílio em grandes operações; nesses casos haverá inegável controle do advogado sobre o tratamento do dado.

A depender do perfil do cliente, quando este tiver hipossuficiência técnica sobre o tratamento dos dados (por exemplo, empresas de grande porte, com departamentos jurídicos estruturados, que participam ativamente do trabalho terceirizado para um escritório, ou mesmo pessoas físicas com conhecimento técnico-jurídico que lhes deixe em pé de igualdade com o advogado), pode-se cogitar de ambas as partes serem controladoras, mas jamais em regime de co-controladoria, já que, como dito, o advogado deve manter sua independência profissional, tendo a palavra final em relação ao tratamento dos dados sob seu controle.

Estas são apenas primeiras impressões sobre o tema. Ainda há muito a discutir e que nesse momento, com a LGPD recém em vigor, sem autoridade formalmente constituída e sem jurisprudência, estamos num terreno de enorme incerteza, por isso todo cuidado é pouco e os advogados devem agir com extrema cautela no tratamento de dados de seus clientes.

__________

1 Grupo de trabalho independente que atuou por mais de 20 anos, formado a partir do art. 29 da Diretiva 95/46 de 1996, lidando com as questões relacionadas à proteção de dados pessoais e privacidade até a entrada em vigor da GDPR, quando foi substituída pelo European Data Protection Board, o Conselho Europeu de Proteção de Dados, atualmente em atividade.