“Hackers preferem atacar os sistemas dos escritórios de advocacia que as empresas atendidas por eles para acesso à informações confidenciais”. Especialista em Direito Digital, José Colhado aponta a existência de vulnerabilidades nos sistemas e processos gerenciais de grande parte dos escritórios de advocacia, colocando em risco informações confidenciais e dados pessoais.

Prontos ou não, os escritórios têm o desafio das mudanças. Acompanhe entrevista para a Artesania Comunicação Jurídica:

Qual o impacto para o escritório de advocacia se os dados de seus clientes vazarem?

O processo de escolha e contratação de um escritório de advocacia passa pela análise de reputação da banca. Em caso de vazamento de dados, para além dos danos à imagem, podem ser impostas multas e indenizações por quebra de cláusulas e contratos de confidencialidade.

Se as informações indevidamente divulgadas se tratarem de dados pessoais, o escritório ainda poderá ser penalizado com multas que podem atingir ate 50 milhões de reais por infração ao texto legal, com base na Lei Geral de Proteção de Dados (LGPD).

O que a LGPD exige dos escritórios de advocacia?

Assim como todas as demais organizações para as quais se aplica a LGPD, o escritório deve respeitar os princípios exigidos para tratamento dos dados pessoais. Destacamos aqui o princípio da transparência, que exige a divulgação de uma Política de Privacidade disponível em linguagem clara e acessível para os titulares de dados pessoais, contendo as finalidades específicas dos tratamentos realizados, as bases legais, o tempo de retenção e compartilhamento das informações.

Os contratos com clientes, fornecedores e parceiros também deverão ser revistos para incluir cláusulas de delimitação de responsabilidades e escopo de atividades para a definição como agente de tratamento (controlador ou processador).

Para que essas e as demais atividades sejam realizadas, primeiramente o escritório necessitará realizar um assessment nos seus processos internos, identificando e mapeando as atividades de tratamento de dados (data mapping) e os gaps legais em todas as áreas da organização.

Escritórios estão preparados para a LGPD?

Advogados que não atuam em questões ligadas a tecnologia tendem a ter mais dificuldades para entender todas as nuances que envolvem o tema de Privacidade e Proteção de Dados Pessoais, ainda que a LGPD seja também aplicável para tratamentos realizados em meio físico (papel).

Mesmo os advogados especialistas na área devem contar com a parceria de uma consultoria de segurança da informação nos projetos de Privacidade e Proteção de Dados Pessoais.  De igual modo, profissionais de Segurança da Informação não possuem formação suficiente para compreender a LGPD sob a ótica do Direito e da Constituição Federal, e fazer referência às demais leis aplicáveis.

Como proteger as informações e os dados pessoais dos clientes, parceiros, associados e colaboradores?

Em que pese ser bastante comum que escritórios tenham um departamento de Tecnologia de Informação (TI), são raros os que contam com o suporte de uma empresa especializada ou uma área própria em Segurança da Informação (SI), responsável por implementar os controles necessários para se garantir a integridade, confidencialidade e disponibilidade dos dados digitais e analógicos.

Não basta instalar um antivírus e definir uma senha de login no computador para ficar protegido. Existem uma série de controles de segurança recomendados por frameworks (estruturas bases) mundialmente reconhecidos, como COBIT e ISO 27.000, 27.001 e 27.002, que devem ser minimamente implementados

Como gerenciar os riscos envolvidos no tratamento de dados pessoais?

Vazamento de dados não é o único incidente capaz de trazer prejuízos aos escritórios de advocacia. A Segurança da Informação, na sua doutrina mais clássica, divide o escopo de proteção em 3 pilares: Confidencialidade, Integridade e Disponibilidade, que podem ser atingidas em razão de erro humano, falha de sistemas e conduta maliciosa, em meio físico ou digital.

Um exemplo de erro humano capaz de causar um sério vazamento de dados pessoais é bastante comum: o advogado, desejando encaminhar uma planilha repleta de dados pessoais para o José Paulo, inicia a digitação do endereço de e-mail, mas, ao invés de enviar para o destinatário desejado, acaba enviando para o José Henrique. Essa é uma situação passível de penalidades pela LGPD.

Quais as dicas de revisão das políticas de segurança e adoção de práticas de mitigação de riscos? O que fazer se ocorrer um incidente de dados pessoais dos clientes no escritório?

O risco está baseado na probabilidade de alguma vulnerabilidade ser explorada por  uma ameaça. Como, em geral, as empresas possuem controles mais robustos de segurança da informação do que os escritórios de advocacia que os atendem, eles acabam sendo o alvo de ataques preferencial quando se deseja ter acesso a informações confidenciais, por estarem mais vulneráveis.

Na ocorrência de algum incidente de segurança da informação, para evitar a tomada de decisões equivocadas, o escritório deve socorrer ao Plano de Resposta a Incidentes. Esse documento é confeccionado levando em consideração as peculiaridades de cada escritório, mas geralmente apontando temas sobre a criação de uma cópia idêntica do ambiente no estado que se encontra, diagnóstico dos danos causados aos titulares de dados, informações confidenciais, existência de backup dos dados e integridade dos sistemas, além de apontar diretrizes sobre a comunicação do incidente para os titulares dos dados pessoais e Autoridade Nacional de Proteção de Dados (ANPD).

(créditos: Alessandro Manfredini – Artesania Comunicação Jurídica)