Um escritório de advogados trata dados particularmente sensíveis — informação de clientes e contrapartes em litígios, muitas vezes cobrindo saúde, cadastro criminal ou situação financeira — sob uma dupla exigência: o RGPD e o sigilo profissional do Estatuto da Ordem dos Advogados (Lei n.º 145/2015). Estas duas obrigações não colidem; reforçam-se. O RGPD trata o sigilo profissional como uma salvaguarda e prevê exceções específicas a favor dele, nomeadamente no direito de acesso. Uma sociedade de advogados cumpre o RGPD quando articula corretamente o sigilo com as suas obrigações de responsável pelo tratamento, contrata devidamente a cloud jurídica e sabe responder a pedidos de acesso sem violar o segredo. Este guia percorre esses pontos.
Pontos-chave
- O sigilo profissional (Lei 145/2015) e o RGPD reforçam-se; o RGPD prevê exceções a favor do segredo.
- Dados de clientes e contrapartes exigem base de licitude e, muitas vezes, enquadramento do art. 9.º.
- A cloud e o software jurídico são subcontratantes — exigem contrato do art. 28.º.
- Um pedido de acesso não pode obrigar a revelar dados protegidos por segredo ou de terceiros.
Sigilo profissional e RGPD: complementares, não opostos
O sigilo profissional do advogado, consagrado na Lei n.º 145/2015, é uma das obrigações mais fortes do ordenamento jurídico português. O RGPD não o enfraquece — reconhece-o. O artigo 90.º do RGPD permite que os Estados-Membros estabeleçam regras específicas para conciliar os poderes das autoridades de controlo com o sigilo profissional. Na prática, o sigilo funciona como uma medida de segurança e de confidencialidade que o próprio artigo 32.º exige, e como um limite às obrigações de transparência e de acesso quando estas colidiriam com o segredo.
O advogado é, quanto aos dados que trata na sua atividade, responsável pelo tratamento. A base de licitude é tipicamente a execução do mandato (art. 6.º, n.º 1, al. b), o interesse legítimo do cliente na defesa dos seus direitos, ou o exercício de direitos em processo judicial (art. 9.º, n.º 2, al. f) quando estejam em causa categorias especiais de dados — frequente em litígios laborais, de família ou criminais.
Dados de clientes e de contrapartes
O escritório trata dados de duas categorias de pessoas com estatutos diferentes:
- Clientes: base contratual, com informação (arts. 13.º-14.º) adaptada ao contexto do mandato.
- Contrapartes e terceiros (testemunhas, peritos): os seus dados são tratados sem que sejam clientes, com base no interesse legítimo do cliente e no exercício de direitos em processo. A informação a estes titulares (art. 14.º) admite exceções quando comprometeria o exercício do direito ou o sigilo.
Ambos devem constar do registo de atividades de tratamento, com indicação da base e do enquadramento do artigo 9.º quando aplicável — o que remete para o guia sobre dados sensíveis.
Cloud e software jurídico: subcontratação
Poucos escritórios alojam os seus dados exclusivamente em servidores próprios. A gestão documental na nuvem, o software de gestão de processos, o email profissional e as ferramentas de assinatura eletrónica tratam dados por conta do escritório — são subcontratantes e exigem um contrato de subcontratação nos termos do artigo 28.º. Dada a natureza dos dados, as garantias devem ser reforçadas:
- Confidencialidade contratual alinhada com o dever de segredo.
- Cifragem e controlo de acessos.
- Localização dos dados na UE, ou garantias válidas para transferências internacionais.
- Proibição de o subcontratante aceder aos conteúdos salvo instrução.
Escolher um fornecedor que não ofereça estas garantias é, ao mesmo tempo, uma falha de RGPD e um risco de violação do sigilo. Manter o inventário de subcontratantes e os respetivos contratos atualizados é um trabalho que plataformas como a Legiscope centralizam, ligando cada fornecedor ao tratamento que suporta.
Pedidos de acesso que colidem com o segredo
Um dos pontos mais delicados é responder a pedidos de acesso. Um cliente pode exercer o direito de acesso aos seus próprios dados (art. 15.º). Mas um pedido de acesso não pode servir para:
- Aceder a dados de terceiros (a contraparte, testemunhas) — o artigo 15.º, n.º 4, protege os direitos de terceiros.
- Contornar o segredo profissional que protege comunicações e estratégia.
- Obter documentos internos de trabalho do advogado que não constituam «dados pessoais» do requerente no sentido do artigo 15.º.
A resposta a um pedido de acesso exige, por isso, um juízo cuidadoso: fornecer os dados pessoais do requerente que estão sujeitos ao direito, retendo o que é dado de terceiro ou está coberto por segredo. Documentar esse juízo protege o escritório numa eventual queixa à CNPD.
Conservação dos dossiês findos
Os dossiês findos devem ser conservados pelo prazo necessário à defesa de eventuais responsabilidades e pelos prazos legais aplicáveis, findos os quais devem ser eliminados ou anonimizados. Esta política integra-se na abordagem geral de prazos de conservação do escritório, com a fonte de cada prazo. Conservar dossiês indefinidamente «por segurança» não é conforme ao artigo 5.º, n.º 1, al. e).
Violações de dados num escritório
Um escritório de advogados é um alvo atrativo: concentra informação sensível e confidencial. Uma violação de dados — um portátil perdido, um email enviado por engano à contraparte, um acesso não autorizado ao sistema documental — desencadeia a obrigação de avaliação e, se houver risco para os titulares, de notificação à CNPD em 72 horas (art. 33.º), além de eventual comunicação aos clientes afetados (art. 34.º). Num escritório, a violação tem uma dimensão adicional: pode constituir simultaneamente uma quebra de sigilo profissional, com consequências deontológicas. Por isso, o kit mínimo de segurança do artigo 32.º — cifragem dos dispositivos, controlo de acessos, autenticação forte, formação dos colaboradores sobre email e phishing — não é opcional. Ter um procedimento interno de resposta a incidentes, que qualquer colaborador saiba acionar, é a diferença entre gerir uma violação em horas e descobri-la tarde demais para cumprir o prazo legal.
Perguntas frequentes
O sigilo profissional dispensa o advogado de cumprir o RGPD?
Não. O advogado é responsável pelo tratamento e cumpre o RGPD, mas o sigilo funciona como salvaguarda e como limite às obrigações de transparência e acesso quando estas colidiriam com o segredo. As duas obrigações reforçam-se.
A cloud jurídica é subcontratante?
Sim. Os serviços de nuvem, gestão documental e software de processos tratam dados por conta do escritório e são subcontratantes, exigindo contrato do artigo 28.º com garantias reforçadas de confidencialidade e segurança.
Um cliente pode exigir acesso a todo o processo através do direito de acesso?
Não integralmente. O direito de acesso (art. 15.º) abrange os dados pessoais do requerente, mas não os dados de terceiros (art. 15.º, n.º 4) nem o que está coberto por segredo profissional ou constitui trabalho interno do advogado. Cada pedido exige um juízo documentado.
Preciso de encarregado de proteção de dados no escritório?
Depende da dimensão e da escala do tratamento de dados sensíveis. A maioria dos escritórios pequenos não está obrigada, mas deve documentar a avaliação; sociedades maiores, que tratam dados sensíveis em larga escala, podem estar abrangidas pelo artigo 37.º.
Conclusão
Para os advogados, o RGPD e o sigilo profissional não são obrigações concorrentes, mas complementares: o segredo é, ao mesmo tempo, uma medida de segurança exigida pelo RGPD e um limite às suas obrigações de transparência e acesso. O escritório cumpre a lei quando escolhe as bases corretas para clientes e contrapartes, contrata a cloud jurídica com garantias reforçadas de confidencialidade, e responde a pedidos de acesso protegendo dados de terceiros e o segredo. O fio condutor é o registo de tratamentos: dominá-lo permite honrar o sigilo e o RGPD sem que um comprometa o outro.
Outros guias setoriais de RGPD: RGPD para contabilistas, RGPD para e-commerce e RGPD na hotelaria e turismo.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial