PDF na nuvem: Análise dos riscos jurídicos das ferramentas gratuitas

A rotina é universal entre advogados brasileiros. Recebe-se uma procuração assinada por foto. É preciso converter para PDF. Abre-se o navegador, digita-se "converter imagem para PDF" e o primeiro resultado é o iLovePDF. Sobe-se o arquivo, espera-se três segundos, baixa-se o resultado. Operação concluída em menos de um minuto. Aparentemente, nada aconteceu além da conversão técnica de um arquivo.

Na prática, o que ocorreu é tecnicamente outra coisa, e juridicamente outra ainda. Esta análise pretende examinar, sob a ótica da LGPD, do Estatuto da Advocacia e do direito ao sigilo profissional, o que se passa quando documentos contendo dados pessoais de clientes são submetidos a ferramentas gratuitas de manipulação documental hospedadas em servidores estrangeiros.

O que acontece tecnicamente

iLovePDF Ltd, a empresa por trás da ferramenta homônima, está sediada em Barcelona, Espanha. SmallPDF AG opera a partir de Zurique, Suíça. Outras ferramentas similares, igualmente populares no Brasil, têm infraestrutura nos Estados Unidos. Todas operam pelo mesmo modelo técnico: o arquivo é transmitido do navegador do usuário para servidores de processamento, ali é manipulado, e o resultado é disponibilizado para download.

Durante esse processo, o documento existe simultaneamente em três localizações: no dispositivo do usuário, em trânsito pela internet, e armazenado, ainda que temporariamente, na infraestrutura do prestador. Os termos de uso dessas plataformas costumam estabelecer prazos de retenção que variam de duas horas a sete dias, durante os quais o arquivo permanece acessível na infraestrutura do prestador.

A ferramenta cumpre o que prometeu. Mas o documento, durante um intervalo não desprezível de tempo, esteve sob controle técnico de terceiro estrangeiro.

A dimensão da lei Geral de Proteção de Dados

O art. 33 da lei 13.709/18 estabelece que a transferência internacional de dados pessoais somente é permitida para países que proporcionem grau de proteção adequado, mediante cláusulas contratuais específicas ou em hipóteses excepcionais expressamente listadas. A Autoridade Nacional de Proteção de Dados emitiu, em agosto de 2024, a Resolução CD/ANPD 19/24, regulamentando o instituto e estabelecendo procedimentos de adequação que a maioria das ferramentas gratuitas, evidentemente, não cumpre.

A configuração jurídica é direta. O advogado, ao operar dados pessoais de cliente, atua como controlador ou operador, conforme o contexto. Ao submeter esses dados a ferramenta de terceiro sediado no exterior, realiza transferência internacional. Não havendo base legal específica, e não estando o cliente formal e expressamente informado sobre tal transferência, configura-se, em tese, hipótese de tratamento inadequado.

O sigilo profissional sob o Estatuto da Advocacia

O art. 7º, inciso II, da lei 8.906/1994 declara invioláveis o escritório ou local de trabalho do advogado, bem como seus instrumentos de trabalho e sua correspondência escrita, eletrônica, telefônica e telemática, desde que relativas ao exercício da advocacia. O art. 34, inciso VII, do mesmo diploma, qualifica como infração disciplinar violar, sem justa causa, sigilo profissional.

O Código de Ética e Disciplina da Ordem dos Advogados do Brasil, em seu art. 35, dispõe que o advogado deve guardar sigilo dos fatos de que tomar conhecimento no exercício da profissão. Não há, no texto, distinção entre meio físico e meio digital, nem entre processamento local e processamento remoto.

A questão se torna especialmente relevante quando se considera que documentos submetidos a ferramentas de PDF tipicamente contêm dados pessoais sensíveis: petições com qualificação completa de partes, procurações com CPF e endereço residencial, contratos com informações patrimoniais, prontuários médicos em ações de saúde, declarações de imposto de renda em ações cíveis.

Não se trata, portanto, de hipótese hipotética de violação. Trata-se de transferência cotidiana, em massa, de dados sensíveis para servidores estrangeiros, sem base legal específica e sem ciência inequívoca do cliente.

A dimensão do Cloud Act

Para ferramentas com infraestrutura sob jurisdição norte-americana, soma-se ainda o efeito do Clarifying Lawful Overseas Use of Data Act (Cloud Act), legislação federal dos Estados Unidos sancionada em 2018. O dispositivo autoriza autoridades americanas a requisitar dados armazenados sob controle de empresas norte-americanas, independentemente do local físico do armazenamento.

A consequência prática é que documento de cliente brasileiro, processado em ferramenta gratuita americana, pode tecnicamente ser objeto de requisição por autoridade dos Estados Unidos. A hipótese é remota na prática cotidiana, mas existe juridicamente, e merece consideração no contexto de processos sensíveis envolvendo, por exemplo, operações empresariais com componente internacional.

Arquitetura técnica como solução

Existem duas categorias de solução para o problema descrito.

A primeira é o processamento local, em que a manipulação do PDF ocorre integralmente no computador do usuário, sem transmissão a servidores externos. Aplicativos desktop tradicionais (Adobe Acrobat, Foxit, alternativas livres) operam dessa forma, e a manipulação documental neles é tecnicamente equivalente, do ponto de vista do sigilo profissional, à manipulação de um documento físico no escritório.

A segunda é a contratação de ferramentas em nuvem com infraestrutura adequada à legislação brasileira, contrato de tratamento de dados pessoais (DPA) explícito, retenção zero e processamento em jurisdição brasileira. Soluções jurídicas especializadas, como a Locus.IA, operam nesse modelo, com a particularidade adicional de anonimização local antes de qualquer transmissão e cláusula contratual de retenção zero, o que torna o Cloud Act inaplicável por ausência de "stored content" sobre o qual incidir.

A escolha entre essas alternativas deve considerar o perfil do escritório, a sensibilidade dos dados manipulados e o nível de conformidade desejado.

Conclusão

A manipulação documental rotineira em ferramentas gratuitas de nuvem é prática profissional disseminada que merece reexame à luz da LGPD do Estatuto da Advocacia e do dever de diligência. Não se trata, evidentemente, de demonizar ferramentas que cumprem função técnica legítima. Trata-se de reconhecer que o uso profissional, no contexto da advocacia, exige consideração jurídica que ultrapassa o critério da conveniência.

Cabe ao profissional a escolha de instrumentos compatíveis com sua missão constitucional de defesa do interesse do cliente, no qual o sigilo é elemento essencial e não disponível. A escolha do meio é, em última análise, parte do dever de diligência, e está, portanto, sujeita ao mesmo padrão de cuidado que se exige para qualquer outro aspecto do exercício profissional.