Proteção de Dados

RGPD para advogados e sociedades de advogados

RGPD para advogados: como articular o sigilo profissional (Lei 145/2015) com o RGPD, dados de clientes, cloud jurídica como subcontratação e pedidos de acesso.

Also available in:Français·Deutsch

Um escritório de advogados trata dados particularmente sensíveis — informação de clientes e contrapartes em litígios, muitas vezes cobrindo saúde, cadastro criminal ou situação financeira — sob uma dupla exigência: o RGPD e o sigilo profissional do Estatuto da Ordem dos Advogados (Lei n.º 145/2015). Estas duas obrigações não colidem; reforçam-se. O RGPD trata o sigilo profissional como uma salvaguarda e prevê exceções específicas a favor dele, nomeadamente no direito de acesso. Uma sociedade de advogados cumpre o RGPD quando articula corretamente o sigilo com as suas obrigações de responsável pelo tratamento, contrata devidamente a cloud jurídica e sabe responder a pedidos de acesso sem violar o segredo. Este guia percorre esses pontos.

Pontos-chave

  • O sigilo profissional (Lei 145/2015) e o RGPD reforçam-se; o RGPD prevê exceções a favor do segredo.
  • Dados de clientes e contrapartes exigem base de licitude e, muitas vezes, enquadramento do art. 9.º.
  • A cloud e o software jurídico são subcontratantes — exigem contrato do art. 28.º.
  • Um pedido de acesso não pode obrigar a revelar dados protegidos por segredo ou de terceiros.

Sigilo profissional e RGPD: complementares, não opostos

O sigilo profissional do advogado, consagrado na Lei n.º 145/2015, é uma das obrigações mais fortes do ordenamento jurídico português. O RGPD não o enfraquece — reconhece-o. O artigo 90.º do RGPD permite que os Estados-Membros estabeleçam regras específicas para conciliar os poderes das autoridades de controlo com o sigilo profissional. Na prática, o sigilo funciona como uma medida de segurança e de confidencialidade que o próprio artigo 32.º exige, e como um limite às obrigações de transparência e de acesso quando estas colidiriam com o segredo.

O advogado é, quanto aos dados que trata na sua atividade, responsável pelo tratamento. A base de licitude é tipicamente a execução do mandato (art. 6.º, n.º 1, al. b), o interesse legítimo do cliente na defesa dos seus direitos, ou o exercício de direitos em processo judicial (art. 9.º, n.º 2, al. f) quando estejam em causa categorias especiais de dados — frequente em litígios laborais, de família ou criminais.

Dados de clientes e de contrapartes

O escritório trata dados de duas categorias de pessoas com estatutos diferentes:

  • Clientes: base contratual, com informação (arts. 13.º-14.º) adaptada ao contexto do mandato.
  • Contrapartes e terceiros (testemunhas, peritos): os seus dados são tratados sem que sejam clientes, com base no interesse legítimo do cliente e no exercício de direitos em processo. A informação a estes titulares (art. 14.º) admite exceções quando comprometeria o exercício do direito ou o sigilo.

Ambos devem constar do registo de atividades de tratamento, com indicação da base e do enquadramento do artigo 9.º quando aplicável — o que remete para o guia sobre dados sensíveis.

Cloud e software jurídico: subcontratação

Poucos escritórios alojam os seus dados exclusivamente em servidores próprios. A gestão documental na nuvem, o software de gestão de processos, o email profissional e as ferramentas de assinatura eletrónica tratam dados por conta do escritório — são subcontratantes e exigem um contrato de subcontratação nos termos do artigo 28.º. Dada a natureza dos dados, as garantias devem ser reforçadas:

  • Confidencialidade contratual alinhada com o dever de segredo.
  • Cifragem e controlo de acessos.
  • Localização dos dados na UE, ou garantias válidas para transferências internacionais.
  • Proibição de o subcontratante aceder aos conteúdos salvo instrução.

Escolher um fornecedor que não ofereça estas garantias é, ao mesmo tempo, uma falha de RGPD e um risco de violação do sigilo. Manter o inventário de subcontratantes e os respetivos contratos atualizados é um trabalho que plataformas como a Legiscope centralizam, ligando cada fornecedor ao tratamento que suporta.

Pedidos de acesso que colidem com o segredo

Um dos pontos mais delicados é responder a pedidos de acesso. Um cliente pode exercer o direito de acesso aos seus próprios dados (art. 15.º). Mas um pedido de acesso não pode servir para:

  • Aceder a dados de terceiros (a contraparte, testemunhas) — o artigo 15.º, n.º 4, protege os direitos de terceiros.
  • Contornar o segredo profissional que protege comunicações e estratégia.
  • Obter documentos internos de trabalho do advogado que não constituam «dados pessoais» do requerente no sentido do artigo 15.º.

A resposta a um pedido de acesso exige, por isso, um juízo cuidadoso: fornecer os dados pessoais do requerente que estão sujeitos ao direito, retendo o que é dado de terceiro ou está coberto por segredo. Documentar esse juízo protege o escritório numa eventual queixa à CNPD.

Conservação dos dossiês findos

Os dossiês findos devem ser conservados pelo prazo necessário à defesa de eventuais responsabilidades e pelos prazos legais aplicáveis, findos os quais devem ser eliminados ou anonimizados. Esta política integra-se na abordagem geral de prazos de conservação do escritório, com a fonte de cada prazo. Conservar dossiês indefinidamente «por segurança» não é conforme ao artigo 5.º, n.º 1, al. e).

Violações de dados num escritório

Um escritório de advogados é um alvo atrativo: concentra informação sensível e confidencial. Uma violação de dados — um portátil perdido, um email enviado por engano à contraparte, um acesso não autorizado ao sistema documental — desencadeia a obrigação de avaliação e, se houver risco para os titulares, de notificação à CNPD em 72 horas (art. 33.º), além de eventual comunicação aos clientes afetados (art. 34.º). Num escritório, a violação tem uma dimensão adicional: pode constituir simultaneamente uma quebra de sigilo profissional, com consequências deontológicas. Por isso, o kit mínimo de segurança do artigo 32.º — cifragem dos dispositivos, controlo de acessos, autenticação forte, formação dos colaboradores sobre email e phishing — não é opcional. Ter um procedimento interno de resposta a incidentes, que qualquer colaborador saiba acionar, é a diferença entre gerir uma violação em horas e descobri-la tarde demais para cumprir o prazo legal.

Perguntas frequentes

O sigilo profissional dispensa o advogado de cumprir o RGPD?

Não. O advogado é responsável pelo tratamento e cumpre o RGPD, mas o sigilo funciona como salvaguarda e como limite às obrigações de transparência e acesso quando estas colidiriam com o segredo. As duas obrigações reforçam-se.

A cloud jurídica é subcontratante?

Sim. Os serviços de nuvem, gestão documental e software de processos tratam dados por conta do escritório e são subcontratantes, exigindo contrato do artigo 28.º com garantias reforçadas de confidencialidade e segurança.

Um cliente pode exigir acesso a todo o processo através do direito de acesso?

Não integralmente. O direito de acesso (art. 15.º) abrange os dados pessoais do requerente, mas não os dados de terceiros (art. 15.º, n.º 4) nem o que está coberto por segredo profissional ou constitui trabalho interno do advogado. Cada pedido exige um juízo documentado.

Preciso de encarregado de proteção de dados no escritório?

Depende da dimensão e da escala do tratamento de dados sensíveis. A maioria dos escritórios pequenos não está obrigada, mas deve documentar a avaliação; sociedades maiores, que tratam dados sensíveis em larga escala, podem estar abrangidas pelo artigo 37.º.

Conclusão

Para os advogados, o RGPD e o sigilo profissional não são obrigações concorrentes, mas complementares: o segredo é, ao mesmo tempo, uma medida de segurança exigida pelo RGPD e um limite às suas obrigações de transparência e acesso. O escritório cumpre a lei quando escolhe as bases corretas para clientes e contrapartes, contrata a cloud jurídica com garantias reforçadas de confidencialidade, e responde a pedidos de acesso protegendo dados de terceiros e o segredo. O fio condutor é o registo de tratamentos: dominá-lo permite honrar o sigilo e o RGPD sem que um comprometa o outro.

Outros guias setoriais de RGPD: RGPD para contabilistas, RGPD para e-commerce e RGPD na hotelaria e turismo.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →