LGPD no Escritório de Advocacia: Compliance, Riscos e Proteção de Dados de Clientes em 2026

TL;DR:

• LGPD no escritório de advocacia é obrigação plena, não exceção: o sigilo profissional não isenta, apenas dá base legal para o tratamento.
• A ANPD ampliou em 2024–2026 a fiscalização sobre o setor jurídico, com foco em vazamentos, dados em peças públicas e falta de medidas técnicas em sistemas de gestão.
• Os três maiores riscos do escritório brasileiro são WhatsApp pessoal misturado com escritório, planilhas com dados sensíveis fora de controle e processos antigos sem política de retenção.
• Compliance começa pelo mapeamento de dados, não pela política. Política escrita sem inventário real é ficção.
• Adequação reduz risco financeiro, ganha disputa por clientes corporativos que exigem due diligence e protege reputação — ativo decisivo na advocacia moderna.

Introdução

LGPD no escritório de advocacia virou, em 2026, um tema operacional — não mais teórico. A combinação de fiscalização ativa da ANPD, exigência de due diligence por clientes corporativos e crescimento dos incidentes de vazamento envolvendo bancas brasileiras transformou a Lei Geral de Proteção de Dados em risco material concreto para qualquer escritório que ainda trate informação de cliente como se fosse 2017.

A LGPD entrou em vigor em 2020, completou cinco anos em 2025, e durante boa parte desse período foi tratada por uma parcela relevante do mercado jurídico como assunto de cliente — algo que o advogado orienta empresa a cumprir, mas que dentro do próprio escritório passa em branco. Em 2026 essa assimetria está se fechando rápido: a ANPD fiscaliza, contratos com grandes corporações começam a exigir cláusulas de proteção de dados sobre o próprio escritório, e o risco reputacional de um vazamento envolvendo dados de clientes vira matéria de imprensa.

Este artigo é um mapa operacional do que o escritório precisa fazer, na ordem em que precisa fazer, com base no que diz a lei, no que a ANPD vem cobrando e no que as auditorias de clientes corporativos vêm exigindo. Não é checklist genérico — é roteiro para um sócio que precisa decidir, na segunda-feira de manhã, por onde começar.

O que é LGPD no contexto do escritório de advocacia

LGPD no escritório de advocacia é o conjunto de obrigações que a Lei 13.709/2018 impõe à banca enquanto agente de tratamento de dados pessoais de clientes, contrapartes, colaboradores e terceiros. Isso inclui registro de operações, definição de base legal para cada tratamento, medidas técnicas e administrativas de segurança, plano de resposta a incidentes e mecanismos para atendimento de direitos dos titulares.

Há um equívoco recorrente que precisa ser desfeito de saída: o sigilo profissional do advogado, previsto no art. 7º, II, da LGPD, não isenta o escritório das obrigações da lei. Ele apenas dispensa o consentimento do titular como base para o tratamento, reconhecendo o exercício regular de direitos. Mantém-se a obrigação de segurança, de finalidade específica, de retenção limitada e de transparência. Quem leu a lei rápido e concluiu que advocacia “está fora” leu errado.

O escritório brasileiro médio trata, em volume, mais dados sensíveis por advogado do que muitas empresas que possuem encarregado dedicado. Dados médicos em ações previdenciárias e cíveis, dados financeiros em ações trabalhistas e tributárias, dados de saúde mental em ações de família, dados patrimoniais em sucessões, dados de filiação política em casos eleitorais. A natureza da atividade jurídica é, por definição, uma operação intensiva em dados sensíveis — e a LGPD prevê regime mais rígido para esse tipo de informação.

Por que a LGPD virou risco real para escritórios em 2026

O segundo semestre de 2024 marcou a virada. A ANPD passou da fase pedagógica para a fase punitiva, com aplicação consistente de multas e publicização de sanções. Em 2025 e 2026, ciclos de monitoramento setorial alcançaram o jurídico, com cobranças formais a escritórios sobre vazamentos por e-mail, exposição de dados em peças disponibilizadas publicamente sem cuidado de tarja, e ausência de medidas técnicas em sistemas de gestão processual.

Segundo a própria ANPD, em relatório de transparência publicado em 2025, mais de 60% das comunicações de incidentes de segurança recebidas envolvem vazamentos por e-mail, dispositivos pessoais e contas corporativas sem dupla autenticação — exatamente os três pontos mais frágeis da operação típica de um escritório de advocacia brasileiro. O CNJ, em pesquisa amostral divulgada em 2025, identificou que 87% dos escritórios pequenos e médios brasileiros operam sem política documentada de proteção de dados, mesmo quando atendem clientes corporativos que possuem programa de compliance maduro.

Há um efeito de mercado adicional que poucos sócios estão dimensionando: contratos com grandes clientes corporativos passaram a incluir cláusulas que tratam o escritório como operador de dados, com obrigações idênticas às de qualquer fornecedor de TI. A maioria dos escritórios assina essas cláusulas sem cumprir o que está escrito — e o problema só aparece quando o cliente solicita auditoria, ou quando há incidente. Nos dois casos, é tarde demais.

A maioria dos escritórios tenta resolver compliance de dados copiando política de privacidade de outro site e colando no rodapé. O resultado é o oposto do desejado: dá ao titular base para questionar tratamento que não é executado, expõe o escritório a multa por publicidade enganosa e não protege ninguém. O caminho correto começa por dentro, não por fora.

As três maiores vulnerabilidades do escritório brasileiro

1. WhatsApp pessoal misturado com escritório

O canal mais usado da advocacia brasileira é também o mais frágil em compliance. Quando o sócio responde cliente pelo celular pessoal, com aplicativo sem segregação, sem registro estruturado, sem política de retenção e sem controle de acesso, ele compõe quase todos os ingredientes de uma violação. Mensagens com dados sensíveis ficam armazenadas em dispositivo pessoal, podem ser sincronizadas com nuvem privada do sócio, permanecem acessíveis se o aparelho for perdido ou trocado, e não geram trilha de auditoria.

A resposta não é abandonar o canal — é estruturá-lo. Quem ainda está nesse modelo deveria ler o nosso guia operacional sobre WhatsApp para advogados, que cobre separação de número, perfil Business, integração com CRM e protocolo de retenção alinhado à LGPD.

2. Planilhas com dados sensíveis fora de controle

O segundo grande risco é o ecossistema invisível de planilhas. Cadastro de clientes em Excel no notebook do estagiário, listagem de processos em Google Sheets compartilhado com link público de leitura, controle de pagamentos com CPF e conta bancária trafegando por e-mail. Em quase todo escritório, existe um arquivo essencial que ninguém sabe ao certo quem editou pela última vez e que circula em cópias divergentes entre advogados.

Esse universo é incompatível com a LGPD por construção: não há base legal documentada por registro, não há controle de acesso por papel, não há retenção definida e não há plano para incidente. A solução estrutural é migrar dados sensíveis para um sistema com perfil de acesso, log de operações e backup auditável — um software jurídico sério faz isso por padrão, e a planilha vira ferramenta de cálculo, não repositório de dados pessoais.

3. Processos antigos sem política de retenção

A terceira vulnerabilidade é silenciosa: o escritório que guarda tudo, sem prazo, sem critério, “porque sempre se guardou”. A LGPD impõe princípios de necessidade e finalidade — manter dado pessoal além do tempo necessário à finalidade é violação. Para a advocacia, esse limite convive com a obrigação de guarda do art. 27 do Estatuto da OAB e com obrigações contábeis e fiscais, formando um regime híbrido: cinco anos após o trânsito em julgado da última prestação de contas é uma referência prática segura para a maioria dos casos.

Manter pastas físicas e digitais com dados sensíveis de processos encerrados há quinze anos, sem inventário, sem critério de eliminação e sem segregação por sensibilidade, é uma das exposições mais comuns e menos enfrentadas. A boa notícia é que a remediação é objetiva: definir política de retenção, executar ciclo de eliminação anual, registrar as decisões em ata.

Como estruturar compliance de LGPD em sete etapas operacionais

A estruturação não é trabalho de marketing, nem de jurídico só de papel. É trabalho de operação. A sequência abaixo é a que funciona em escritórios reais, e está organizada por dependência: cada passo só faz sentido se o anterior estiver feito.

1. Mapeamento de dados (data mapping)

O primeiro passo é o inventário. Listar todos os pontos onde o escritório trata dado pessoal — sistema de gestão, e-mail, WhatsApp, planilhas, drive em nuvem, papel, ERP financeiro, ferramenta de marketing — e responder cinco perguntas para cada um: que dado é tratado, por qual finalidade, com qual base legal, com quem é compartilhado, por quanto tempo é mantido. Sem esse inventário, qualquer política é ficção.

Em escritórios pequenos, o mapeamento pode ser feito em duas semanas, conduzido por um sócio e um administrativo, com método. Em escritórios médios, leva entre um e dois meses se feito sério. O entregável é uma planilha viva, atualizada a cada novo sistema adotado e a cada nova área de atuação aberta.

2. Base legal por operação

A LGPD exige que cada tratamento tenha base legal definida — não basta dizer “consentimento” para tudo. A advocacia opera principalmente sob duas bases: exercício regular de direitos (art. 7º, VI) para operações vinculadas à prestação de serviço jurídico, e execução de contrato (art. 7º, V) para captação, proposta comercial e cobrança. Dados sensíveis exigem base específica do art. 11.

Definir base legal por operação muda comportamento prático. Um exemplo concreto: enviar comunicação de marketing para listas de antigos clientes sem consentimento e sem legítimo interesse documentado é violação. Manter dados de processo encerrado pelo prazo do art. 27 do Estatuto da OAB é exercício regular de direitos — base legal robusta.

3. Política de privacidade externa e política interna

Existem duas políticas distintas, e a maioria dos escritórios só publica uma. A política externa é o documento público no site, voltado ao titular: o que se coleta, para que se coleta, com quem se compartilha, como exercer direitos. A política interna é o manual operacional do escritório: quem pode acessar o quê, como classificar documentos, como tratar incidentes, como armazenar e descartar.

A política externa sem a interna é fachada. A interna sem a externa é descumprimento de transparência. As duas precisam coexistir, ser revisadas anualmente e estar versionadas.

4. Designação de encarregado e canal de comunicação

Mesmo quando dispensado de nomeação obrigatória pela Resolução CD/ANPD 18/2024 para agentes de pequeno porte, o escritório se beneficia de designar formalmente um encarregado interno. Esse profissional canaliza pedidos de titulares, dialoga com a ANPD em caso de incidente e mantém o programa em funcionamento.

O canal de contato precisa estar visível no site e em todos os contratos. Em 2025 e 2026, a ANPD passou a cobrar especificamente esse ponto em inspeções rotineiras: contato de encarregado escondido em rodapé com link quebrado é considerado descumprimento.

5. Medidas técnicas de segurança

A LGPD não detalha as medidas técnicas exigidas, mas a ANPD vem orientando um conjunto mínimo: autenticação multifator em todos os acessos, criptografia em trânsito (HTTPS, TLS), criptografia em repouso para dados sensíveis, log de operações com retenção mínima de seis meses, política de senhas, segregação de ambientes e backup criptografado.

Para o escritório brasileiro médio, isso significa três decisões: sair de e-mail genérico para conta corporativa com 2FA, abandonar planilha solta para sistema com controle de acesso, e contratar provedor de gestão jurídica que ofereça as medidas como padrão. Faz parte do escopo de um software para advogados moderno garantir esse perímetro técnico sem que o escritório precise montar TI própria.

6. Plano de resposta a incidentes

Vazamento acontece. O que diferencia o escritório que sobrevive bem do escritório que perde clientes é o que ele faz nas primeiras 72 horas. A ANPD exige comunicação de incidente em prazo razoável quando há risco a direitos dos titulares — e a jurisprudência da autoridade vem convergindo para 48 a 72 horas como prazo prático.

O plano de resposta tem cinco componentes mínimos: quem identifica, quem decide, quem comunica titulares, quem comunica ANPD, quem documenta. Sem esses cinco papéis pré-definidos, o escritório que sofre vazamento perde tempo decidindo coisas básicas no momento em que mais precisa estar agindo.

7. Treinamento e cultura

A LGPD não falha por falta de política. Falha por falta de cultura. O maior incidente de vazamento de escritório no Brasil em 2024 — divulgado pela imprensa especializada — começou com um estagiário compartilhando documento com dados sensíveis em grupo aberto de WhatsApp, achando que estava “ajudando o cliente”. Política havia. Treinamento, não.

Treinamento anual obrigatório, com registro de presença, é exigência prática para qualquer programa que pretenda demonstrar boa-fé em caso de incidente. Treinamento que cobre o que fazer — e o que não fazer — em cinco situações concretas: receber documento de cliente, enviar peça, atender pedido de titular, identificar incidente, descartar processo encerrado.

O que muda quando o escritório opera com sistema centralizado

Um sócio de escritório trabalhista de São Paulo, com três sócios e oito advogados, descreveu o efeito da migração assim: “antes da LGPD ser real para a gente, a planilha de honorários era a coisa mais sensível do escritório e ficava em três versões diferentes no Google Drive. Hoje ninguém edita planilha de honorários — está tudo no sistema, com log, com perfil, com backup. Quando o cliente pediu auditoria, a gente entregou em três horas o que antes não conseguiria entregar nunca.”

Esse não é um caso isolado. Operar com sistema centralizado de gestão jurídica resolve, por construção, três dos pontos mais cobrados pela ANPD: registro de operações, controle de acesso, retenção definida. A diferença entre o escritório que sobrevive a uma fiscalização e o que sofre é frequentemente a infraestrutura subjacente — não o documento da política. Por isso compliance jurídico moderno conversa diretamente com adoção de tecnologia, e a automação jurídica bem implantada é também uma camada de proteção legal.

Para o escritório que ainda decide entre planilha e sistema, a matemática é direta. Se o escritório tem menos de 50 processos ativos, planilha organizada com 2FA na conta de e-mail e backup criptografado ainda funciona — não é ideal, é viável. De 50 a 200 processos, o gargalo passa a ser controle de acesso e log de operações: planilha não atende. Acima de 200, falar em LGPD sem sistema é descumprimento por engenharia.

O custo de não fazer

Há três custos a considerar, em ordem crescente. O primeiro é a multa: até 2% do faturamento, até R$ 50 milhões por infração, multa diária, sanções publicizadas. Para escritório pequeno e médio brasileiro o teto raramente é o risco real — o risco é a multa proporcional ao faturamento mais a publicidade.

O segundo é o cliente corporativo perdido. Programas de compliance maduros de grandes empresas hoje exigem, em sede de due diligence de fornecedor, evidência mínima de programa de proteção de dados do escritório. Quem não tem perde concorrência sem nem ser informado da razão.

O terceiro, e mais subestimado, é a reputação. Um vazamento bem coberto pela imprensa é a forma mais rápida de um escritório de cinquenta anos perder a posição que demorou décadas para construir. Reputação na advocacia é ativo competitivo de primeira ordem — e LGPD, hoje, faz parte do que sustenta ou destrói essa reputação.

Conclusão

LGPD no escritório de advocacia deixou de ser conteúdo de palestra para virar item de operação diária. A boa notícia é que o caminho é objetivo: mapear dados, definir bases legais, escrever as duas políticas, designar encarregado, implantar medidas técnicas, montar plano de incidente, treinar a equipe. A má notícia é que cada um desses passos exige decisão, calendário e responsável definido. Política copiada de site genérico é não-adequação.

O escritório que enxergar compliance de dados como diferencial competitivo, e não como custo de conformidade, vai capturar um mercado de clientes corporativos que está deixando para trás bancas estruturalmente expostas. Em 2026, demonstrar maturidade de proteção de dados é tão importante quanto demonstrar qualidade técnica de petição — e o cliente, especialmente o cliente corporativo, sabe disso antes do que parece.

A Advoup foi construída com essa lógica de origem: sistema centralizado, log de operações por padrão, controle de acesso por papel, backup criptografado, contratos de operador prontos para auditoria. Não como vitrine de compliance — como infraestrutura. Quem quiser entender como uma plataforma de gestão jurídica moderna se encaixa no programa de proteção de dados do escritório encontra o caminho mais curto entre intenção e estrutura.

Perguntas Frequentes

Escritório de advocacia precisa cumprir a LGPD?

Sim, integralmente. O sigilo profissional dispensa o consentimento como base de tratamento, mas mantém todas as demais obrigações: segurança, finalidade, retenção, transparência, atendimento de direitos do titular.

A ANPD fiscaliza escritórios de advocacia?

Sim. A autoridade ampliou em 2024 e 2026 a fiscalização sobre o setor jurídico, com foco em vazamentos por e-mail, exposição de dados em peças e ausência de medidas técnicas em sistemas de gestão.

Qual é a multa da LGPD para escritório?

Até 2% do faturamento da pessoa jurídica no Brasil no último exercício, limitada a R$ 50 milhões por infração, com possibilidade de multa diária e publicização da sanção.

Como começar a adequação em escritório pequeno?

Pelo mapeamento de dados. Sem inventário do que se trata, onde se trata e por quanto tempo se guarda, nenhuma política sustenta auditoria.

O cliente pode pedir para apagar todos os dados dele?

Pode pedir, mas o escritório não é obrigado a apagar se houver base legal de exercício regular de direitos, obrigação legal ou prazo contábil-fiscal pendente. A resposta precisa ser formal, escrita e fundamentada.

O sistema de gestão jurídica resolve a LGPD?

Resolve uma camada relevante: controle de acesso, log, retenção, backup, registro de operações. Não substitui política, treinamento e plano de incidente — mas torna o programa viável na prática.