A menos de um ano do início da vigência da Lei Geral de Proteção de Dados[1] muitas questões se encontram pendentes, o que se justifica diante da ausência de regulamentação pela autoridade competente[2] e jurisprudência sobre o tema – por óbvio, a lei sequer está em vigor, havendo, ainda, muito o que se definir.
Fato é que a lei se aplica a todos aqueles que, de alguma forma, tratem dados pessoais – chamados pela norma de “agentes de tratamento”, tendo como espécies o “controlador” e o “operador” de dados pessoais. No âmbito das pessoas jurídicas, praticamente toda empresa está sujeita ao rigor da norma, independentemente do seu ramo, porte ou natureza.
Nesse aspecto, é certo dizer, num primeiro momento, que advogados e escritórios de advocacia também se sujeitam ao cumprimento da lei. Afinal, a atividade advocatícia lida, necessariamente, com dados pessoais. Trata-se de verdadeira função de representação, na qual é exercida a defesa de direitos e interesses alheios.
Pois bem. Nesse momento, os leitores advogados podem estar questionando: “e agora? Terei que pedir o consentimento de todos os meus clientes? Precisarei adicionar cláusulas contratuais específicas? E quanto à utilização dos dados em face de quem irei postular?” “Precisarei indicar um encarregado?” “A ANPD irá fiscalizar minhas atividades?”
Em primeiro lugar, não se pode olvidar que a obtenção do consentimento do titular nem sempre é exigida (assunto que versei em artigo próprio[3]). Nessa esteira, a LGPD autoriza o tratamento de dados pessoais quando necessário para execução de contratos (artigo 7º, inciso V) e para o exercício regular de direitos em processo judicial, administrativo ou arbitral (artigo 7º, inciso VI), hipótese em que a lei também estabelece para o tratamento de dados pessoais sensíveis (artigo 11, inciso II, alínea “d”).
Adiante, outra relevante questão diz respeito à nomeação do encarregado (famoso “DPO”[4]). Numa análise perfunctória e literal do que dispõe a norma, entende-se que todo controlador de dados pessoais terá que indicar um encarregado. Entretanto, a lei é omissa em diversos pontos acerca desse personagem, sendo que as lacunas se agravaram quando dos vetos presidenciais.
Portanto, é plausível (e esperado) que a ANPD proceda à regulamentação da figura do encarregado de maneira muito mais acentuada, inclusive delimitando as hipóteses de dispensa da necessidade de sua indicação pelo controlador, casos em que o operador deverá indicá-lo, requisitos e condições de atribuição do cargo, indicação de terceiros para a função (“DPO as a service”), entre outros tópicos.
Ademais, começa a ganhar força o raciocínio no sentido da não aplicação da LGPD ao tratamento de dados pessoais realizado no exercício regular da atividade advocatícia, tendo em vista a natureza sui generis da Ordem dos Advogados do Brasil (OAB), entendimento do Supremo Tribunal Federal (STF)[5] utilizado pela OAB como defesa da não sujeição do órgão de classe ao controle do Tribunal de Contas da União (TCU)[6].
Soma-se a isso o direito à inviolabilidade dos escritórios de advocacia e instrumentos de trabalho do advogado – mesmo direito que exige ordem judicial específica, fundamentada em indícios de autoria e materialidade da prática de crime pelo advogado, para busca e apreensão no respectivo escritório (artigo 7º, inciso II, c/c § 6º, da Lei nº 8.906/1994).
Aliás, o sigilo profissional é princípio inerente à profissão de advogado (artigo 25 e ss., do Código de Ética e Disciplina da OAB). Diante desses e outros fatores, demonstra-se defensável a tese de que somente a OAB é competente para fiscalizar os profissionais inscritos no órgão, afastando a possibilidade de controle pela ANPD.
Em todo caso, não causará espanto a sobrevinda de regulamentação específica, pela ANPD, quanto à aplicação da LGPD aos advogados e escritórios de advocacia, o que certamente há de gerar inúmeros debates a respeito da escolha do modelo mais adequado.
Independentemente do desfecho dessas discussões, o espectro da LGPD vai além de meras disposições legais, abarcando uma verdadeira mudança de paradigmas e criação de uma cultura de privacidade, incumbindo aos nobres causídicos, no exercício de suas atividades, a observância dos fundamentos e princípios de proteção de dados e a garantia dos direitos dos titulares – afinal, os clientes são o maior patrimônio do advogado.
-----
[2] Autoridade Nacional de Proteção de Dados (ANDP)
[4] Data Protection Officer
[5] Ação Direta de Inconstitucionalidade nº 3.026/DF
[6] Reclamação nº 32.924 c/c Mandado de Segurança nº 36.376