LGPD e a governança da informação em escritórios de advocacia
É comum ter milhões de textos armazenados nas redes internas dos escritórios de advocacia e que estão simplesmente organizados sob o conceito de pastas eletrônicas, dificultando enormemente sua catalogação para os efeitos da lei.
quinta-feira, 20 de fevereiro de 2020
Atualizado às 11:32
A poucos meses da entrada em vigor da lei brasileira de Proteção de Dados Pessoais há uma enxurrada de artigos sobre principalmente os aspectos legais envolvendo todas as empresas e especialmente escritórios de advocacia. Estes últimos contém uma quantidade enorme de informações de seus clientes por conta, obviamente, de suas atividades e a maioria dele já protegida pelo próprio sigilo da profissão e às vezes por sigilo de justiça.
Meu objetivo nesta discussão não é continuar a discorrer sobre a abrangência da lei e suas consequências para quem não a obedecer e sim discutir como se pode garantir na prática a sua aplicação e para isso, volto num tema que tenho batalhado há anos que é a Governança da Informação.
Quando focamos nossa atenção sobre os dados existentes em sistemas estruturados, armazenados em bases de dados do tipo SQL, ORACLE, SAP, etc. que são normalmente a estrutura de todos sistemas de ERP ("Enterprse Resource Planning") o desafio é relativamente tranquilo. Como o próprio nome diz, são sistemas estruturados onde existem claramente os locais (campos) onde estão localizados os dados ou informações as quais devem ser tratadas.
Campos do tipo nome, endereço, telefone, e-mail, CPF/CNPJ, etc., são praticamente obrigatórios nesses sistemas, mas a abrangência vai muito além disso, envolvendo nomes de contatos (para mailing lists, por exemplo), informações de saúde, outras partes, fornecedores e muitos outros e repetindo, sabemos exatamente onde estão, pois estão em bancos de dados relacionais. Dependendo da empresa, outras características também estão arquivadas (como por exemplo hábitos de compras para empresas de comercio eletrônico) e que não são o foco desta discussão.
O desafio mais crítico aparece quando nos deparamos com a massa de informações contida nos textos, imagens, vídeos, ou seja, a sua grande maioria e que não sabemos como encontrá-las para dar-lhes o devido tratamento que a lei exige. É bastante comum termos vários milhões de textos armazenados nas redes internas dos escritórios de advocacia (na sua grande maioria compostos por arquivos de e-mails e de Office ou equivalente) e que estão simplesmente organizados sob o conceito de pastas eletrônicas, dificultando enormemente sua catalogação para os efeitos da lei.
A adoção de um sistema de gestão eletrônica de documentos (GED) associado a um sistema inteligente de busca deixa de ser uma simples opção de melhoria de performance para tornar-se uma obrigação mínima necessária.
Além se saber onde estão os documentos e os seus respectivos conteúdos, restam ainda vários outros desafios, tais como:
a. Como fazer a "despersonalização" dos documentos, de modo que ao acessá-los, as características individuais não sejam expostas? Imaginem documentos que fazem parte de processos litigiosos onde características intimas dos envolvidos podem ter sido expostas...
b. Como tratar a segurança dos documentos? É bastante comum em vários escritórios a utilização do conceito que todo advogado interno, em princípio, pode ser envolvido a qualquer momento em um determinado assunto e por esse motivo pode ter acesso a qualquer documento existente internamente.
c. Como tratar a segurança geral da rede interna? A quem delegar a responsabilidade de ter as senhas de "administrador" (aquela senha que normalmente o pessoal de TI tem e dá acesso irrestrito a tudo)? Quais deverão ser as precauções a serem tomadas nesse sentido?
d. Como deverá ser definida a temporalidade dos documentos? (tema bastante menosprezado nos escritórios de advocacia). Após o término do período, o que fazer com esses documentos, obviamente seguindo o que manda a lei?
e. Quais são exatamente as informações de uma determinada pessoa estão armazenadas e quais devem ser tratadas conforme a lei?
f. Como garantir que "aquelas e somente aquelas informações" de uma determinada pessoa estão guardadas internamente? E onde estão?
g. Como garantir que as informações pessoais existentes não possam ser utilizadas por integrantes internos sem o conhecimento da empresa?
h. Quais as precauções jurídicas devem ser adotadas na prevenção? Termos de responsabilidade?
i. Quais os procedimentos técnicos e jurídicos a serem tomados num eventual vazamento de informação?
Provavelmente existem mais uma dezena de outros exemplos e preocupações impactados pela nova lei, mas a conclusão onde quero chegar é que além do "DPO" (Data Privacy Officer) que será necessário para gerir esses desafio, também deverão fazer parte da equipe um bom gestor de TI (diretor ou gerente dependendo da envergadura do escritório) e também um ótimo gestor de informações, que pode variar entre um gerente de CEDOC até a existência de um "CKO" (Chief Knowledge Officer), mantendo a mesma observação anterior.
___________________________________________________________________________
*José Paulo Graciotti é consultor e sócio da GRACIOTTI Assessoria Empresarial.