Geral

Proteção de Dados no Setor Financeiro e os Riscos Regulatórios

Minas Gerais1212 Mins Read

Como instituições financeiras devem enfrentar as exigências da LGPD, as normas do Banco Central e o crescente escrutínio da ANPD

Por Adonis Martins Alegre·Especialista em Direito Digital e Compliance·Análise aprofundadaAtualizado 2025

Osetor financeiro brasileiro vive uma paradoxo produtivo: nunca gerou tantos dados — e nunca esteve tão exposto a riscos decorrentes do mau tratamento dessas informações. A digitalização acelerada dos serviços bancários, a expansão dos meios de pagamento instantâneo e a chegada do Open Finance criaram um ecossistema em que dados pessoais e financeiros circulam em velocidade e escala sem precedente histórico.

Neste cenário, a conformidade regulatória deixou de ser uma questão meramente jurídica e passou a ocupar o centro das decisões estratégicas de bancos, fintechs, administradoras de consórcio, seguradoras e demais participantes do sistema financeiro nacional. Errar na gestão de dados, hoje, pode significar multas milionárias, suspensão de atividades, danos reputacionais irreparáveis e responsabilização civil.

Seção 01A LGPD e suas implicações para o setor financeiro

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) estabeleceu um novo paradigma no tratamento de informações pessoais no Brasil. Embora seja uma norma de aplicação geral e transversal, o setor financeiro ocupa uma posição de particular sensibilidade diante de seus comandos, pois lida cotidianamente com dados que a própria LGPD classifica como especialmente delicados ou que, por sua natureza, permitem inferências capazes de afetar direitos fundamentais.

Instituições financeiras coletam, armazenam e processam rotineiramente dados de identificação, dados cadastrais, informações sobre movimentações financeiras, histórico de crédito, localização, biometria para autenticação, dados comportamentais de uso de aplicativos e, no contexto do Open Finance, extratos e perfis de consumo compartilhados entre múltiplas instituições.

“Dados financeiros não são apenas registros contábeis — são radiografias da vida privada, dos hábitos, dos projetos e das vulnerabilidades de cada cidadão.”

— Adonis Martins Alegre

Bases legais mais utilizadas no setor

A LGPD exige que todo tratamento de dados pessoais esteja fundamentado em ao menos uma das dez bases legais previstas no artigo 7º. No setor financeiro, quatro bases se destacam pela frequência de uso e pela complexidade de sua aplicação:

  • Execução de contrato:base adequada para o tratamento necessário à abertura de conta, concessão de crédito e prestação de serviços diretamente contratados. Sua aplicação, porém, não alcança usos secundários dos dados, como análises comportamentais ou ofertas de produtos não solicitados.
  • Cumprimento de obrigação legal ou regulatória:fundamenta o tratamento exigido por normas do Banco Central, da CVM, do COAF e da Receita Federal — como o reporte de operações suspeitas (COAF), a identificação de clientes (KYC) e o envio de informações ao Fisco.
  • Legítimo interesse:base de maior risco jurídico, pois exige teste de proporcionalidade e balanceamento entre o interesse do controlador e os direitos dos titulares. Seu uso indiscriminado por fintechs e bancos digitais tem sido alvo de crescente escrutínio.
  • Consentimento:necessário para finalidades que não se encaixam nas demais bases, especialmente em marketing direcionado, compartilhamento com parceiros e tratamento de dados sensíveis como biometria e dados de saúde financeira.

Dados sensíveis no contexto financeiro

  • Dados biométricos utilizados para autenticação (reconhecimento facial, digital)
  • Dados de saúde que possam influenciar análise de crédito ou seguros
  • Origem racial ou étnica para fins de políticas de inclusão financeira
  • Convicções políticas e religiosas — relevantes para compliance ESG
  • Dados de menores de idade em contas família e produtos educacionais

Direitos dos titulares e o desafio operacional

A LGPD garante aos titulares de dados um conjunto robusto de direitos: acesso, correção, portabilidade, eliminação, revogação do consentimento e oposição ao tratamento. Para o setor financeiro, o exercício desses direitos cria desafios operacionais consideráveis. Como eliminar dados de um cliente que solicita exclusão, se esses dados são também objeto de obrigação de guarda pelo Banco Central ou pelo COAF? Como atender a um pedido de portabilidade sem comprometer a segurança das informações?

A resposta exige uma arquitetura jurídica e tecnológica que identifique, para cada categoria de dado, qual é a base legal aplicável, por quanto tempo ele deve ser retido, quem pode acessá-lo e de que forma o pedido do titular pode ser atendido sem colidir com outras obrigações regulatórias.

Seção 02O marco regulatório do Banco Central do Brasil

Paralelamente à LGPD, o Banco Central do Brasil (BCB) construiu nos últimos anos um arcabouço regulatório próprio voltado à segurança cibernética e à proteção de dados das instituições supervisionadas. As principais normas formam um sistema interligado que exige atenção simultânea a múltiplas obrigações.

Norma Conteúdo principal Aplicação Risco
Resolução BCB nº 85/2021 Política de segurança cibernética e plano de ação para incidentes Todas as IFs autorizadas pelo BCB Alto
Resolução BCB nº 4.893/2021 Requisitos mínimos de segurança para serviços de TI e nuvem Bancos e IFs de médio e grande porte Alto
Resolução Conjunta nº 1/2020 Compartilhamento de dados no Open Finance — requisitos técnicos e jurídicos Participantes do ecossistema Open Finance Crítico
Circular BCB nº 3.978/2020 Política de prevenção à lavagem de dinheiro e financiamento ao terrorismo Todas as IFs autorizadas pelo BCB Médio
Instrução Normativa BCB nº 99/2021 Critérios de classificação de incidentes cibernéticos relevantes Todas as IFs autorizadas pelo BCB Alto

A política de segurança cibernética como pilar central

A Resolução BCB nº 85/2021 obriga as instituições financeiras a manterem uma política formal de segurança cibernética compatível com seu perfil de risco. Mais do que um documento estático, essa política deve ser implementada, testada e atualizada de forma contínua, com plano de ação e resposta a incidentes que inclua procedimentos de comunicação ao BCB e aos titulares afetados.

A intersecção com a LGPD é inevitável e delicada: um incidente de segurança que resulte em acesso não autorizado a dados pessoais gera obrigações simultâneas perante o BCB (notificação em até 72 horas para incidentes relevantes) e perante a ANPD (comunicação em prazo razoável, conforme regulamentação própria). A dupla janela de compliance exige protocolos internos bem desenhados e testados regularmente.

Seção 03Os principais riscos regulatórios

O setor financeiro enfrenta um mapa de riscos regulatórios que combina ameaças tradicionais — como falhas de segurança e uso inadequado de dados — com riscos emergentes, decorrentes da digitalização acelerada e do novo ambiente regulatório. Compreender esse mapa é o primeiro passo para uma gestão eficaz.

R$50MMulta máxima por infração à LGPD (2% do faturamento)

72hPrazo máximo para notificar o BCB em incidentes cibernéticos relevantes

↑340%Crescimento de ataques a instituições financeiras brasileiras (2021–2024)

63%Das fintechs brasileiras ainda carecem de DPO formalmente designado

1. Risco de inadequação de bases legais

Um dos riscos mais prevalentes e menos visíveis é o tratamento de dados sem base legal adequada ou com fundamento equivocado. É comum observar instituições financeiras amparando usos comerciais na base do “cumprimento de obrigação legal” — quando, na realidade, a norma regulatória não exige aquele tratamento específico — ou utilizando o “legítimo interesse” sem realizar o necessário teste de proporcionalidade e balanceamento.

2. Risco de vazamento e incidente de segurança

Os incidentes de segurança que resultam em exposição de dados pessoais representam o risco mais imediato e de maior visibilidade pública. Além das sanções da ANPD e do BCB, uma violação de dados no setor financeiro pode gerar ações coletivas de consumidores, danos reputacionais de longo prazo e perda de confiança no mercado. O custo médio de um vazamento de dados no setor financeiro no Brasil supera R$ 6 milhões, considerando notificação, investigação, remediação e litígio.

3. Risco de terceiros e cadeia de fornecedores

Bancos e fintechs dependem de uma rede extensa de prestadores de serviços — processadoras de pagamento, bureaus de crédito, provedores de nuvem, empresas de análise antifraude, parceiros de co-branded. A LGPD estabelece que o controlador responde solidariamente pelo tratamento inadequado realizado pelo operador em seu nome. Cláusulas contratuais de proteção de dados, auditorias de fornecedores e due diligence de privacidade são instrumentos indispensáveis — e ainda subutilizados no mercado brasileiro.

4. Risco de marketing baseado em dados

O uso de dados transacionais e comportamentais para ofertas personalizadas de produtos financeiros — crédito, investimentos, seguros — é uma prática disseminada e altamente eficaz comercialmente. Contudo, quando realizado sem base legal adequada ou sem transparência ao titular, configura infração à LGPD. O risco é agravado pelo uso de algoritmos de machine learning cujos critérios de decisão são opacos, o que pode ainda gerar alegações de discriminação algorítmica.

Fatores agravantes de risco regulatório

  • Ausência ou designação meramente formal de Encarregado de Dados (DPO)
  • Falta de Registro de Operações de Tratamento (ROPA) atualizado
  • Política de privacidade genérica e desconectada das operações reais
  • Ausência de Relatório de Impacto à Proteção de Dados (RIPD) em projetos de alto risco
  • Retenção de dados por prazo indefinido ou superior ao necessário
  • Transferência internacional sem cláusulas contratuais padrão ou mecanismo aprovado pela ANPD

Seção 04O papel da ANPD e o poder sancionatório

A Autoridade Nacional de Proteção de Dados (ANPD), autarquia federal criada para fiscalizar o cumprimento da LGPD, passou por uma transformação relevante em 2023, quando sua natureza jurídica foi consolidada como autarquia especial, dotada de maior autonomia administrativa e orçamentária. Essa mudança sinalizou ao mercado que a era da tolerância e das orientações pedagógicas chegava ao fim.

A ANPD pode aplicar sanções que variam da advertência à multa simples de até 2% do faturamento bruto da empresa no último exercício, limitada a R$ 50 milhões por infração. Pode ainda determinar a publicização da infração, a suspensão parcial do banco de dados e, em casos extremos, a proibição total do tratamento de dados. Embora o setor financeiro não seja o único alvo, ele concentra o maior volume de dados pessoais sensíveis do país — e, portanto, é observado com atenção especial.

“A questão não é se sua instituição será fiscalizada, mas quando — e se estará preparada para demonstrar que a proteção de dados é uma prioridade real, não apenas declarada.”

— Adonis Martins Alegre

A dupla supervisão: ANPD e BCB

Uma das particularidades do setor financeiro é a sujeição simultânea a duas autoridades regulatórias com competências sobrepostas em matéria de dados: a ANPD e o BCB. A Resolução Conjunta nº 1/2020 é o principal instrumento de coordenação entre essas esferas no contexto do Open Finance, mas lacunas persistem quanto à atribuição de competência em casos de incidentes cibernéticos com impacto sobre dados pessoais.

Instituições que enfrentam processos sancionatórios simultâneos nas duas esferas podem se deparar com obrigações contraditórias — como o dever de sigilo bancário imposto pelo BCB e o dever de transparência exigido pela ANPD. Navegar por essa tensão regulatória exige assessoria jurídica especializada e protocolos internos previamente desenhados.

Seção 05Open Finance e os novos desafios de privacidade

O Open Finance — sistema regulamentado pelo BCB que permite o compartilhamento padronizado de dados financeiros entre instituições, mediante consentimento do cliente — representa, ao mesmo tempo, a maior oportunidade de inovação e o maior desafio de privacidade já enfrentados pelo setor financeiro brasileiro.

O modelo é simples em sua concepção: o cliente autoriza que sua instituição de origem compartilhe seus dados com outra instituição participante, que passa a oferecer produtos e serviços personalizados com base nessas informações. Na prática, porém, o sistema cria uma teia de responsabilidades compartilhadas — quem é o controlador dos dados? Quem responde por uma violação ocorrida na jornada de compartilhamento?

  • Qualidade e granularidade do consentimento:o consentimento para compartilhamento no Open Finance deve ser específico, informado e destacado dos demais termos. O risco de “consent fatigue” — em que o cliente clica em “autorizar” sem compreender o alcance da permissão — é real e juridicamente relevante.
  • Finalidade limitada:os dados recebidos por uma instituição receptora só podem ser usados para a finalidade declarada no momento do consentimento. Usar dados de Open Finance para cross-sell não previsto configura desvio de finalidade.
  • Revogação e seus efeitos:o cliente pode revogar o consentimento a qualquer momento, mas a instituição receptora não é obrigada a eliminar imediatamente os dados já processados — gera-se uma zona cinzenta que a regulamentação ainda não resolveu completamente.
  • Responsabilidade das APIs:vulnerabilidades nas interfaces de programação utilizadas para o tráfego de dados são um vetor de ataque prioritário. A responsabilidade pelo design seguro das APIs recai sobre as próprias instituições participantes.

Seção 06Boas práticas de compliance e governança de dados

A conformidade regulatória em proteção de dados não é um projeto com data de encerramento — é uma prática contínua que exige estrutura, cultura organizacional e investimento sustentado. A seguir, apresentam-se os pilares fundamentais de um programa robusto de governança de dados para o setor financeiro.

Mapeamento e inventário de dados

O ponto de partida de qualquer programa sério de privacidade é o conhecimento preciso de quais dados são coletados, por quem, com qual finalidade, em quais sistemas, por quanto tempo e com quem são compartilhados. O Registro de Operações de Tratamento (ROPA, na sigla em inglês) é o instrumento central desse mapeamento e deve ser mantido atualizado de forma dinâmica, especialmente em organizações que lançam novos produtos frequentemente.

Privacy by Design e Privacy by Default

Previstos expressamente na LGPD, os princípios de privacidade desde a concepção (Privacy by Design) e privacidade como configuração padrão (Privacy by Default) impõem que a proteção de dados seja incorporada já na fase de desenvolvimento de produtos, sistemas e processos — e não como uma camada adicional aplicada a posteriori. Para o setor financeiro, isso significa incluir avaliações de privacidade nos processos de desenvolvimento de software, nas aquisições de tecnologia e nos lançamentos de novos produtos.

Programa de treinamento e cultura de privacidade

A maioria dos incidentes de dados tem componente humano — seja um erro de configuração, um e-mail enviado para o destinatário errado ou uma credencial comprometida por phishing. Investir em treinamento contínuo de colaboradores, adaptado às funções e ao nível de acesso de cada equipe, é uma das medidas com maior retorno em termos de redução de risco.

Checklist de compliance — Ações prioritárias

  • Designar Encarregado de Dados (DPO) com autonomia real e canal público de contato
  • Elaborar e manter atualizado o ROPA com todas as operações de tratamento
  • Revisar e atualizar políticas de privacidade para linguagem clara e acessível
  • Implementar processo formal de resposta a solicitações de titulares (DSAR)
  • Conduzir RIPD para projetos que envolvam dados sensíveis ou tratamento em larga escala
  • Auditar contratos com fornecedores e inserir cláusulas de proteção de dados (DPA)
  • Estabelecer plano de resposta a incidentes com simulações periódicas
  • Implementar minimização de dados e períodos de retenção definidos
  • Garantir mecanismos adequados para transferências internacionais de dados

Conclusão: compliance como vantagem competitiva

A proteção de dados no setor financeiro brasileiro transitou definitivamente da esfera do cumprimento formal para o centro da estratégia de negócios. As instituições que compreenderem essa mudança — e que investirem na construção de programas robustos de governança de dados — não apenas reduzirão sua exposição a riscos regulatórios, mas construirão um ativo de confiança que se torna, progressivamente, um diferencial competitivo real.

O dado, bem tratado, é um ativo. Mal gerido, é um passivo. E no setor financeiro, onde a confiança é a matéria-prima de todo produto e serviço, a proteção adequada das informações dos clientes deixou de ser uma opção e tornou-se uma condição de sobrevivência no longo prazo.

Reguladores mais ativos, consumidores mais conscientes e parceiros de negócio mais exigentes: o ambiente de compliance de dados apenas se tornará mais rigoroso nos próximos anos. A pergunta que cada executivo e conselheiro do setor financeiro deveria se fazer não é “quanto custa implementar um programa de proteção de dados?” — mas sim “quanto custará não tê-lo quando a crise chegar?”

Adonis Martins Alegre

Especialista em Direito Digital, Proteção de Dados e Compliance Financeiro. Atua na intersecção entre regulação, tecnologia e estratégia corporativa, com foco em instituições financeiras, fintechs e empresas da economia digital. Membro de grupos de trabalho em privacidade e segurança da informação.

By Minas Gerais

Veja Também!

Siga-nos no Instagram