Setorial12 min de leitura

LGPD para Fintechs: Open Finance, PIX e Dados Financeiros

Equipe Confidata·
Compartilhar

O setor financeiro brasileiro opera sob uma das mais densas camadas regulatórias do mundo. Além da LGPD, fintechs e instituições financeiras respondem a normas do Banco Central do Brasil (BACEN) e, dependendo da atividade, da Comissão de Valores Mobiliários (CVM) e da Superintendência de Seguros Privados (SUSEP). No campo de proteção de dados, essa sobreposição cria obrigações complementares — algumas que reforçam a LGPD, outras que criam tensões que precisam ser gerenciadas.

LGPD e regulação do BACEN: complementaridade, não conflito

O BACEN possui regulamentação própria sobre segurança da informação e cibersegurança para instituições financeiras — a Resolução CMN Nº 4.893/2021, publicada em 26 de fevereiro de 2021. Essa norma substituiu a anterior Resolução 4.658/2018 e exige que as instituições mantenham:

  • Política de segurança cibernética com base em princípios de confidencialidade, integridade e disponibilidade
  • Plano de ação e resposta a incidentes cibernéticos
  • Relatório anual sobre implementação do plano e efetividade das ações
  • Comunicação ao BACEN de contratações relevantes de processamento em nuvem (em até 10 dias após a contratação)

A relação LGPD-BACEN é de complementaridade: a LGPD estabelece os direitos dos titulares e os princípios de proteção de dados pessoais; a regulação do BACEN define requisitos técnicos e organizacionais específicos para o setor. A conformidade com a Resolução CMN 4.893/2021 geralmente já atende ou supera os requisitos técnicos de segurança da LGPD — mas não substitui as obrigações de transparência, base legal e direitos dos titulares que são exclusivas da LGPD.

Open Finance e privacidade

O Open Finance no Brasil é regulamentado pela Resolução Conjunta Nº 1, de 4 de maio de 2020 (BCB + CMN), com detalhamentos técnicos pela Resolução BCB Nº 32/2020 e normativas subsequentes. O sistema permite o compartilhamento de dados financeiros entre instituições mediante consentimento do cliente.

Do ponto de vista da LGPD:

Base legal: O compartilhamento no Open Finance tem como base o consentimento (Art. 7º, I) — o cliente autoriza explicitamente quais dados compartilha, com quem e por qual finalidade.

Validade: O consentimento no Open Finance tem validade máxima de 12 meses, renovável. O cliente pode revogar a qualquer momento, com efeito imediato para novos compartilhamentos.

Granularidade: O consentimento deve ser específico por tipo de dado (conta corrente, investimentos, câmbio, seguros) e por instituição destinatária — não é possível obter um consentimento genérico "para compartilhar com qualquer instituição".

Tensão prática: A regulação do BACEN para Open Finance tem requisitos de consentimento próprios, que em muitos aspectos são mais específicos do que a LGPD exige. A questão é se o consentimento obtido conforme as regras do Open Finance satisfaz os requisitos da LGPD. A posição predominante é que sim — o consentimento regulatório do Open Finance é uma forma qualificada de consentimento LGPD.

PIX e proteção de dados

O PIX tratou dados pessoais em grande escala desde seu lançamento em novembro de 2020. As chaves PIX podem incluir CPF, CNPJ, e-mail, telefone ou chave aleatória (EVP — Endereço Virtual de Pagamento). As chaves do tipo CPF, e-mail e telefone são dados pessoais protegidos pela LGPD; a chave CNPJ tipicamente não é (identifica pessoa jurídica).

A chave aleatória (EVP) foi criada exatamente para permitir que usuários que não queiram associar seus dados pessoais ao recebimento de transferências possam usar o PIX sem expor CPF, telefone ou e-mail.

Incidentes no PIX: A Resolução BCB Nº 342/2023 estabeleceu que instituições participantes do PIX são obrigadas a notificar o Banco Central e os titulares de contas afetadas em caso de vazamento de dados pessoais na infraestrutura do PIX. Essa obrigação é paralela — e às vezes mais exigente — à obrigação de notificação à ANPD prevista no Art. 48 da LGPD e na Resolução Nº 15/2024. Fintechs e bancos precisam ter um processo que contemple ambas as notificações simultaneamente, com prazos e formatos distintos.

Dados financeiros não são dados sensíveis — mas exigem cuidado redobrado

A LGPD não inclui "dados financeiros" no rol de dados sensíveis do Art. 11. Dados de conta bancária, saldo, histórico de transações, limite de crédito e score não são, em si, dados sensíveis no sentido técnico da lei.

Isso não significa tratamento sem cuidado especial. Os dados financeiros:

  • Frequentemente revelam informações indiretamente sensíveis: padrões de compra indicam condição de saúde, crença religiosa, orientação política
  • Estão sujeitos ao sigilo bancário (Lei Complementar Nº 105/2001) — proteção específica que convive com a LGPD
  • São alvos prioritários de ataques e vazamentos, o que eleva o risco residual
  • Quando usados para perfis de crédito e scoring, ativam o Art. 20 da LGPD (ver seção abaixo)

Scoring de crédito e o Art. 20 da LGPD: decisões automatizadas

O Art. 20 da LGPD é um dos artigos com maior impacto operacional para o setor financeiro. Ele estabelece que o titular tem o direito de:

  1. Solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado de dados pessoais que afetem seus interesses — incluindo decisões que definam perfis pessoais, profissionais, de consumo, de crédito ou comportamentais
  2. Obter informações sobre os critérios e procedimentos utilizados na decisão automatizada, quando solicitado

Para fintechs e bancos que usam modelos de scoring de crédito, isso significa:

  • Ter um canal para revisão humana das decisões automatizadas de crédito quando o cliente solicitar
  • Ser capaz de informar os critérios do modelo de scoring (não necessariamente revelar o modelo completo, mas fornecer informações suficientes para compreensão da decisão)
  • Não poder alegar que a complexidade do modelo algorítmico impede a explicação — a LGPD não aceita "caixa preta" irrecorrível

Atenção: O uso de dados de birôs de crédito (Serasa, Boa Vista, SPC Brasil) para compor modelos de scoring envolve o tratamento de dados pessoais obtidos de terceiros. O titular desses dados tem direito de saber que seus dados de birô foram usados para uma decisão de crédito — o que exige transparência na política de privacidade e no processo de comunicação da decisão.

KYC, PLD/FT e LGPD: quando a obrigação legal prevalece

O processo de KYC (Know Your Customer) e os relatórios ao COAF (Conselho de Controle de Atividades Financeiras) para prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD/FT) têm base em obrigações legais específicas — Lei Nº 9.613/1998 e regulamentações do BACEN e COAF.

Base legal LGPD: Art. 7º, II — cumprimento de obrigação legal ou regulatória. O titular não pode se opor ao tratamento de dados pessoais exigido por lei para KYC ou para relatórios de PLD/FT.

Retenção: As obrigações de PLD/FT tipicamente exigem retenção de registros por 5 anos (Lei 9.613/1998, Art. 10, §2º) — e podem ser mais extensas dependendo da regulamentação setorial. Essa obrigação prevalece sobre eventuais pedidos de eliminação do titular.

Transparência: Mesmo quando o tratamento é obrigatório por lei, a LGPD exige que o titular seja informado sobre o tratamento — especialmente sobre o compartilhamento com o COAF, que é uma transferência de dados a terceiros com fins regulatórios.

Requisito de DPO: o regime simplificado e as fintechs

Fintechs enquadradas como startups (até R$ 16 milhões de receita anual, conforme LC 182/2021) teoricamente poderiam se beneficiar do regime simplificado da Resolução Nº 2/2022. Na prática, a maioria das fintechs realiza tratamento de alto risco, o que afasta o regime simplificado.

Uma fintech com tratamento de alto risco é aquela que:

  • Usa modelos algorítmicos de scoring ou aprovação de crédito (decisão automatizada)
  • Realiza verificação de identidade biométrica no onboarding (dados biométricos)
  • Trata dados financeiros em larga escala
  • Oferece produtos financeiros para crianças e adolescentes

Para essas fintechs, o DPO formal (Encarregado de Dados), o ROPA completo e o RIPD são obrigatórios — independentemente do faturamento.

Checklist para fintechs e instituições financeiras

Bases legais e políticas:

  • Base legal mapeada para cada atividade de tratamento (KYC, scoring, Open Finance, marketing)?
  • Política de privacidade atualizada com informações sobre Open Finance e PIX?
  • Consentimento para Open Finance implementado conforme requisitos da Resolução Conjunta 1/2020?

Decisões automatizadas (Art. 20):

  • Canal para revisão humana de decisões de crédito automatizadas disponível?
  • Capacidade técnica de informar os critérios usados na decisão de scoring quando solicitado?
  • Comunicação ao cliente sobre a natureza automatizada da decisão quando aplicável?

Segurança (convergência LGPD + Resolução CMN 4.893/2021):

  • Política de segurança cibernética formalizada e alinhada à Resolução CMN 4.893/2021?
  • Plano de resposta a incidentes que contemple notificação ao BACEN e à ANPD?
  • Prazos de notificação (BACEN via Res. BCB 342/2023 e ANPD via Res. 15/2024) mapeados?

Open Finance e PIX:

  • Processo de revogação de consentimento do Open Finance funcionando em tempo real?
  • Chaves PIX e os dados pessoais a elas associados mapeados no ROPA?
  • Procedimento para incidentes envolvendo dados do PIX com notificação dupla (BACEN + ANPD)?

Conclusão

A conformidade LGPD no setor financeiro é mais complexa do que em outros setores — não por exigir mais, mas por exigir coordenação com múltiplas regulações sobrepostas. O risco de focar apenas na LGPD e ignorar as normas do BACEN (e vice-versa) é deixar lacunas que cada regulador pode explorar de forma independente.

A abordagem eficiente é mapear as obrigações em conjunto: identificar onde LGPD e regulação do BACEN convergem (segurança, notificação de incidentes), onde há especificidades de cada uma (direitos dos titulares são exclusivamente LGPD; relatórios de cibersegurança são exclusivamente BACEN), e construir processos que satisfaçam as duas exigências simultaneamente.

O Confidata inclui ROPA com categorias específicas para dados financeiros e módulo de gestão de incidentes com suporte a notificações simultâneas à ANPD e a outros reguladores setoriais, com prazos e formatos diferenciados por destinatário.

Compartilhar
#LGPD fintech#dados financeiros LGPD#Open Finance privacidade#PIX LGPD#decisões automatizadas crédito#BACEN LGPD#scoring algorítmico

Artigos relacionados

LGPD para ONGs e Fundações: Guia de Adequação [2026]Setorial · 13 minLGPD para associações, ONGs e o terceiro setorSetorial · 11 minLGPD na indústria: dados de IoT, supply chain e manufaturaSetorial · 12 minLGPD no setor imobiliário: corretoras, construtoras e condomíniosSetorial · 12 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista