Começar →

DIREITO · COMPLIANCE

LGPD em escritórios de advocacia: riscos e primeiros passos

14 DE JUNHO DE 2026 · 5 MIN DE LEITURA

Poucos negócios concentram tanto dado pessoal e sensível quanto um escritório de advocacia — e quase nenhum sabe ao certo onde esse dado está. É aí que mora o risco de LGPD, e é por aí que começa a adequação.

Um escritório de advocacia de médio porte guarda mais dado sensível do que a maioria das empresas que atende. Nome, CPF, endereço, salário, histórico médico, situação financeira, condenações, conflitos familiares — tudo isso entra com o cliente e fica. A LGPD em escritórios de advocacia não é um detalhe de compliance: é uma questão estrutural, porque o dado sensível é a matéria-prima do trabalho.

O problema raro é o escritório não saber que a LGPD existe. O problema comum é não saber onde os dados estão. Quando ninguém consegue responder "quais dados pessoais nós temos e em quantos lugares", não há política que se sustente — ela vira um PDF que ninguém segue.

Por que a LGPD em escritórios de advocacia é um caso sensível

Três características empilham o risco. A primeira é o volume e a natureza do dado: processos trazem informação de saúde, financeira, criminal e familiar — exatamente as categorias que a LGPD chama de sensíveis e trata com mais rigor.

A segunda é que esse dado costuma estar espalhado. Um mesmo caso aparece no e-mail do advogado, numa pasta de rede, no sistema jurídico, numa planilha de controle e em mensagens de WhatsApp com o cliente. Cada cópia é mais uma superfície de risco que ninguém está vigiando.

A terceira é o sigilo profissional, que muita gente confunde com proteção de dados. Sigilo é dever de não revelar. LGPD é dever de proteger e organizar. Os dois somam — e o sigilo, sozinho, não impede que um dado vaze de uma pasta com acesso aberto a todo o escritório.

O escritório raramente vaza dado por má-fé. Vaza porque o dado estava em todo lugar, acessível a quase todo mundo, e ninguém sabia que estava ali.

Os riscos mais comuns na prática

Antes de pensar em política e em jargão jurídico, vale olhar onde o risco real aparece no dia a dia do escritório:

  • Dado espalhado. O mesmo caso vive em e-mail, planilha e WhatsApp, sem que ninguém saiba qual é a versão oficial nem quantas cópias existem.
  • Acesso amplo demais. Estagiário, financeiro e secretaria enxergam pastas que não deveriam. Acesso por padrão "todo mundo vê tudo" é o erro mais frequente.
  • Ex-colaborador com acesso. A pessoa saiu, mas o login continua ativo, o e-mail ainda recebe, a pasta na nuvem segue compartilhada.
  • Terceiros sem contrato. Contabilidade, TI terceirizada, correspondente e ferramenta de nuvem processam dado do cliente sem nenhum acordo que defina o que podem fazer com ele.
  • Sem plano para incidente. Quando um notebook é roubado ou um e-mail é invadido, ninguém sabe o que fazer, quem avisar nem em quanto tempo.

Nenhum desses pontos é jurídico na origem. São problemas de organização de TI e de processo — e é por isso que dá para tratá-los antes mesmo de fechar a interpretação legal de cada base.

Primeiros passos concretos

A adequação não começa por um documento bonito. Começa por enxergar a própria casa. Na ordem que costuma funcionar:

  • Mapear o que existe e onde está. Levantar quais dados pessoais o escritório guarda e em que sistemas, pastas, e-mails e planilhas eles vivem. Esse inventário é a base de tudo.
  • Definir base legal e finalidade. Para cada tipo de dado, saber por que ele está sendo tratado e com que respaldo. Aqui entra a leitura jurídica — não tente adivinhar a base.
  • Restringir acesso. Quem precisa ver o quê. Acesso mínimo necessário, revisado quando alguém entra, muda de função ou sai.
  • Escrever política e plano de incidente. Regras claras de uso e descarte, e um passo a passo para quando algo der errado — quem decide, quem comunica, em quanto tempo.
  • Treinar a equipe. A maior parte dos vazamentos é humana. A política só vale se o estagiário e a secretaria souberem o que podem e o que não podem fazer com o dado.

Repare que a maioria desses passos é de tecnologia e processo, não de redação jurídica. Mapear, restringir acesso e fechar contratos com terceiros é organização — e organização é o que se diagnostica primeiro. A interpretação fina da lei vem em cima de um inventário que já existe.

Compliance começa por saber onde o dado está

O pilar de Compliance do diagnóstico da M2 mapeia onde os dados do escritório estão e o que priorizar para reduzir risco.

Ver a consultoria jurídica →

Onde isso entra no diagnóstico

No diagnóstico de TI para escritórios, a LGPD não é tratada de forma isolada. Ela aparece no cruzamento de quatro pilares: Dados (onde a informação está e como flui), Software (que sistemas tocam o dado), Infraestrutura (como está guardado e protegido) e Compliance (o que a lei exige). O que prioriza é a relação entre risco e esforço.

Por isso o ponto de partida é sempre o mesmo: o mapa. Sem ele, o escritório investe em política antes de saber que o problema real é uma pasta aberta ou um ex-sócio com acesso à nuvem. Com ele, dá para atacar primeiro o que reduz mais risco com menos esforço. Quem quiser ver o método completo encontra o caminho na visão geral do diagnóstico de TI e na página da consultoria jurídica.

Uma ressalva que precisa ficar clara: este texto é informativo e trata da organização de TI e de processos. Não é parecer nem consultoria jurídica, e não substitui a orientação de quem é especialista em LGPD. A M2 diagnostica e prioriza o lado de tecnologia e processo — a leitura jurídica da lei é trabalho do escritório e de seus especialistas.

Perguntas frequentes

Sigilo profissional já não cobre a proteção de dados do cliente?

Não. O sigilo profissional é um dever ético sobre o conteúdo da relação com o cliente; a LGPD trata de como o dado pessoal é coletado, armazenado, acessado e descartado. Os dois somam: o sigilo diz que você não pode revelar, a LGPD diz que você precisa proteger e organizar. Um escritório pode estar cumprindo o sigilo e ainda assim ter um problema de LGPD por acesso amplo demais ou dado espalhado.

Por onde começar a adequação à LGPD no escritório?

Pelo mapeamento: descobrir quais dados pessoais o escritório tem e onde eles estão — e-mail, pastas, sistema, planilhas, WhatsApp. Sem esse inventário, qualquer política vira teoria. Com ele, dá para definir base legal e finalidade, restringir acesso e priorizar o que reduz mais risco primeiro.

Este conteúdo substitui orientação jurídica sobre LGPD?

Não. Este texto é informativo e trata da organização de TI e processos — como o dado está guardado, quem acessa e como o escritório responde a um incidente. A interpretação jurídica da LGPD, das bases legais e dos deveres específicos exige orientação de quem é especialista no tema. A M2 diagnostica e prioriza o lado de tecnologia e processo; não presta serviço jurídico.