Como instituições financeiras devem enfrentar as exigências da LGPD, as normas do Banco Central e o crescente escrutínio da ANPD
Por Adonis Martins Alegre·Especialista em Direito Digital e Compliance·Análise aprofundadaAtualizado 2025
O setor financeiro brasileiro vive uma paradoxo produtivo: nunca gerou tantos dados — e nunca esteve tão exposto a riscos decorrentes do mau tratamento dessas informações. A digitalização acelerada dos serviços bancários, a expansão dos meios de pagamento instantâneo e a chegada do Open Finance criaram um ecossistema em que dados pessoais e financeiros circulam em velocidade e escala sem precedente histórico.
Neste cenário, a conformidade regulatória deixou de ser uma questão meramente jurídica e passou a ocupar o centro das decisões estratégicas de bancos, fintechs, administradoras de consórcio, seguradoras e demais participantes do sistema financeiro nacional. Errar na gestão de dados, hoje, pode significar multas milionárias, suspensão de atividades, danos reputacionais irreparáveis e responsabilização civil.
Seção 01A LGPD e suas implicações para o setor financeiro
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) estabeleceu um novo paradigma no tratamento de informações pessoais no Brasil. Embora seja uma norma de aplicação geral e transversal, o setor financeiro ocupa uma posição de particular sensibilidade diante de seus comandos, pois lida cotidianamente com dados que a própria LGPD classifica como especialmente delicados ou que, por sua natureza, permitem inferências capazes de afetar direitos fundamentais.
Instituições financeiras coletam, armazenam e processam rotineiramente dados de identificação, dados cadastrais, informações sobre movimentações financeiras, histórico de crédito, localização, biometria para autenticação, dados comportamentais de uso de aplicativos e, no contexto do Open Finance, extratos e perfis de consumo compartilhados entre múltiplas instituições.
“Dados financeiros não são apenas registros contábeis — são radiografias da vida privada, dos hábitos, dos projetos e das vulnerabilidades de cada cidadão.”
— Adonis Martins Alegre
Bases legais mais utilizadas no setor
A LGPD exige que todo tratamento de dados pessoais esteja fundamentado em ao menos uma das dez bases legais previstas no artigo 7º. No setor financeiro, quatro bases se destacam pela frequência de uso e pela complexidade de sua aplicação:
- Execução de contrato: base adequada para o tratamento necessário à abertura de conta, concessão de crédito e prestação de serviços diretamente contratados. Sua aplicação, porém, não alcança usos secundários dos dados, como análises comportamentais ou ofertas de produtos não solicitados.
- Cumprimento de obrigação legal ou regulatória: fundamenta o tratamento exigido por normas do Banco Central, da CVM, do COAF e da Receita Federal — como o reporte de operações suspeitas (COAF), a identificação de clientes (KYC) e o envio de informações ao Fisco.
- Legítimo interesse: base de maior risco jurídico, pois exige teste de proporcionalidade e balanceamento entre o interesse do controlador e os direitos dos titulares. Seu uso indiscriminado por fintechs e bancos digitais tem sido alvo de crescente escrutínio.
- Consentimento: necessário para finalidades que não se encaixam nas demais bases, especialmente em marketing direcionado, compartilhamento com parceiros e tratamento de dados sensíveis como biometria e dados de saúde financeira.
Dados sensíveis no contexto financeiro
- Dados biométricos utilizados para autenticação (reconhecimento facial, digital)
- Dados de saúde que possam influenciar análise de crédito ou seguros
- Origem racial ou étnica para fins de políticas de inclusão financeira
- Convicções políticas e religiosas — relevantes para compliance ESG
- Dados de menores de idade em contas família e produtos educacionais
Direitos dos titulares e o desafio operacional
A LGPD garante aos titulares de dados um conjunto robusto de direitos: acesso, correção, portabilidade, eliminação, revogação do consentimento e oposição ao tratamento. Para o setor financeiro, o exercício desses direitos cria desafios operacionais consideráveis. Como eliminar dados de um cliente que solicita exclusão, se esses dados são também objeto de obrigação de guarda pelo Banco Central ou pelo COAF? Como atender a um pedido de portabilidade sem comprometer a segurança das informações?
A resposta exige uma arquitetura jurídica e tecnológica que identifique, para cada categoria de dado, qual é a base legal aplicável, por quanto tempo ele deve ser retido, quem pode acessá-lo e de que forma o pedido do titular pode ser atendido sem colidir com outras obrigações regulatórias.
Seção 02O marco regulatório do Banco Central do Brasil
Paralelamente à LGPD, o Banco Central do Brasil (BCB) construiu nos últimos anos um arcabouço regulatório próprio voltado à segurança cibernética e à proteção de dados das instituições supervisionadas. As principais normas formam um sistema interligado que exige atenção simultânea a múltiplas obrigações.
A política de segurança cibernética como pilar central
A Resolução BCB nº 85/2021 obriga as instituições financeiras a manterem uma política formal de segurança cibernética compatível com seu perfil de risco. Mais do que um documento estático, essa política deve ser implementada, testada e atualizada de forma contínua, com plano de ação e resposta a incidentes que inclua procedimentos de comunicação ao BCB e aos titulares afetados.
A intersecção com a LGPD é inevitável e delicada: um incidente de segurança que resulte em acesso não autorizado a dados pessoais gera obrigações simultâneas perante o BCB (notificação em até 72 horas para incidentes relevantes) e perante a ANPD (comunicação em prazo razoável, conforme regulamentação própria). A dupla janela de compliance exige protocolos internos bem desenhados e testados regularmente.
Seção 03Os principais riscos regulatórios
O setor financeiro enfrenta um mapa de riscos regulatórios que combina ameaças tradicionais — como falhas de segurança e uso inadequado de dados — com riscos emergentes, decorrentes da digitalização acelerada e do novo ambiente regulatório. Compreender esse mapa é o primeiro passo para uma gestão eficaz.
R$50MMulta máxima por infração à LGPD (2% do faturamento)
72hPrazo máximo para notificar o BCB em incidentes cibernéticos relevantes
↑340%Crescimento de ataques a instituições financeiras brasileiras (2021–2024)
63%Das fintechs brasileiras ainda carecem de DPO formalmente designado
1. Risco de inadequação de bases legais
Um dos riscos mais prevalentes e menos visíveis é o tratamento de dados sem base legal adequada ou com fundamento equivocado. É comum observar instituições financeiras amparando usos comerciais na base do “cum
