Como coletar e armazenar dados de Perfil do Investidor (Suitability) sob a LGPD

Escrito por Maria Andrade, advogada especialista em proteção de dados para empresas de tecnologia e fintechs na NDM Advogados.

Há mais de 10 anos oferecemos assessoria jurídica e contábil completa para empresas tech crescerem com segurança e poderem focar no que importa.

Atualizado em 28/01/2026

No mercado financeiro brasileiro, a coleta de dados para a análise de Suitability (Perfil do Investidor) é uma obrigação regulatória determinada pela Resolução CVM 30, porém, o uso dessas informações precisa, também, seguir as regras da Lei Geral de Proteção de Dados (LGPD), criando um desafio para assessorias e consultorias de: como ser rigoroso na análise de risco sem ferir a privacidade do cliente?

Neste artigo, detalhamos as melhores práticas para coletar e armazenar dados financeiros e pessoais para a formação do perfil do investidor (suitability) com segurança e transparência.

1. O triângulo regulatório: LGPD, CVM e ANBIMA

Para as instituições do mercado de capitais, a conformidade exige o atendimento a três pilares fundamentais:

• LGPD (Lei nº 13.709/2018): Define como os dados pessoais devem ser tratados.
• Resolução CVM 30: Obriga a verificação da adequação do produto ao perfil do cliente antes de qualquer recomendação.
• Código ANBIMA de Distribuição (Art. 11): Exige procedimentos escritos e controles internos rigorosos sobre a privacidade dos dados de investidores e cotistas.

2. Coleta de dados: transparência e minimização

A coleta de dados deve ser pautada pelo princípio da finalidade. O investidor precisa saber exatamente porque suas informações financeiras estão sendo solicitadas.

Finalidade e base legal

A LGPD estabelece que o tratamento de dados deve estar amparado por bases específicas. Para o Suitability, as principais são:

• Cumprimento de obrigação legal ou regulatória (Art. 7º, II da LGPD): A Resolução CVM 30 obriga as instituições a verificar a adequação dos produtos ao perfil do cliente. Portanto, o assessor tem o dever legal de coletar essas informações.
• Execução de Contrato (Art. 7º, V da LGPD): Para prestar o serviço de consultoria ou intermediação contratado, o processamento desses dados é indispensável.

A LGPD exige que cada operação com dados pessoais tenha uma finalidade clara, específica, legítima e atual. No contexto do Perfil do Investidor, isso significa que o dado coletado para o Suitability (como patrimônio e tolerância a risco) deve ser usado estritamente para a análise de adequação, e apenas quando a análise for necessária. 

Usar dados de um formulário de Suitability para oferecer produtos de terceiros sem relação com o contrato original, por exemplo, pode configurar desvio de finalidade se não houver uma base legal acessória.

A Resolução CVM 30 e o Código ANBIMA (Art. 11) reforçam que as informações devem ser atualizadas periodicamente (pelo menos a cada 24 meses), garantindo que a finalidade da recomendação seja sempre precisa.

A coleta dessas informações é obrigatória para pessoas físicas e jurídicas que desejam aplicar em produtos financeiros. Caso o investidor se recuse a fornecer as informações, ou se o perfil estiver desatualizado (há mais de 24 meses), ele não poderá receber recomendações de investimento ou investir em produtos que exijam o Suitability. 

Minimização de Dados

Colete apenas o estritamente necessário para traçar o perfil:

• Experiência em investimentos.
• Objetivos financeiros (Por que o investidor está investindo? Quanto tempo o investidor pretende deixar o dinheiro investido? Qual a urgência em resgatar o capital investido? Quais as suas preferências declaradas quanto à assunção de riscos e as finalidades do investimento?)
• Situação financeira atual. (Qual a renda fixa ou total do investidor? Qual o volume de recursos financeiros disponíveis? Qual o valor das receitas regulares declaradas pelo cliente e dos ativos que compõem o seu patrimônio? Qual a necessidade futura de recursos por ele declarada?)
• Nível educacional e de conhecimento do mercado financeiro ( Quais os tipos de produtos, serviços e operações com os quais o cliente tem familiaridade? Qual a natureza, o volume, o período e a frequência das operações já realizadas no mercado de valores mobiliários? Qual a formação acadêmica e a experiência profissional do cliente, quando pessoa física?)
• Atenção: Se houver coleta de dados sensíveis (origem racial, orientação política ou saúde), a proteção e o rigor no tratamento devem ser redobrados.

O período em que o cliente deseja manter o investimento, as suas preferências declaradas quanto à assunção de riscos e as finalidades do investimento; o valor das receitas regulares declaradas pelo cliente e dos ativos que compõem o seu patrimônio, e a necessidade futura de recursos por ele declarada; os tipos de produtos, serviços e operações com os quais o cliente tem familiaridade, a natureza, o volume, o período e a frequência das operações já realizadas no mercado de valores mobiliários, além da formação acadêmica e a experiência profissional do cliente, quando pessoa física.

Ética e sigilo profissional (ANBIMA CPA-10)

Além da LGPD, o material da ANBIMA reforça que o tratamento de dados de perfil está sob o guarda-chuva da Ética Profissional:

• Sigilo de informações: O assessor deve manter sigilo sobre as informações confiadas pelo cliente, não podendo utilizá-las para obter vantagem pessoal ou para terceiros.
• Prevalência do interesse do cliente: A coleta de dados serve para proteger o patrimônio do investidor, e qualquer uso desses dados deve priorizar o melhor interesse dele (Princípio da boa-fé).

3. Armazenamento seguro e proteção de ativos

Conforme o Art. 11 do Código ANBIMA, as instituições devem manter controles sobre todo o ciclo de vida do dado, da geração ao descarte. Para manter essas informações seguras, a ANPD propõe como medidas básicas de segurança da informação o uso de:

• Criptografia: Utilize criptografia em repouso e em trânsito (protocolos SSL/TLS).
• Princípio do menor privilégio: O acesso aos dados deve ser restrito apenas aos profissionais diretamente envolvidos na consultoria ou análise de risco.
• Autenticação de dois fatores (2FA): Essencial para prevenir acessos não autorizados a plataformas de CRM ou bancos de dados.
• Política de senha segura: gestão de senhas com troca periódica, senhas diferentes para cada sistema, armazenamento integrado e seguro, e aplicação dos critérios de senha forte.
• Anonimização: Para relatórios internos ou estudos de mercado, os dados devem ser anonimizados, garantindo que o titular não seja identificado.

4. Por quanto tempo guardar os dados coletados

Um dos pontos de maior dúvida entre os Assessores é o tempo de guarda das informações. Aqui, a regulação setorial prevalece sobre o desejo de exclusão do cliente:

De acordo com o Art. 14 da Resolução CVM 30, os dados e declarações de Suitability devem ser mantidos por, no mínimo, 5 anos após a última recomendação ou operação realizada. O investidor pode solicitar a exclusão de dados, mas a consultoria tem o respaldo legal para manter as informações necessárias ao cumprimento das obrigações da CVM e auditorias.

Assim, mesmo que o cliente solicite, expressamente, a exclusão de seus dados, a assessoria de investimento poderá recusar o descarte dos dados estritamente necessários para a comprovação da análise de Suitability, apenas pelo período obrigatório de retenção declarado pela CVM.

Ainda, o ofício circular SMI/SIN 2/21 traz que o prazo de atualização do perfil de investimento dos clientes deve ser alinhado com o prazo de atualização dos dados cadastrais dos clientes, nos termos da Resolução CVM nº 30/2021 e da Resolução CVM nº 50/2021, respectivamente. Ou seja, a Resolução CVM n° 50/2021, indica o prazo de no máximo 5 anos para atualização de perfil dos investidores. No entanto, esse prazo pode ser reduzido dependendo da classificação de risco de LD/FTP dos clientes da instituição, e pode ser sincronizado com o prazo de atualização dos dados cadastrais para avaliação de Suitability.

5. Implementação de canais de privacidade e DPO

A transparência exige um canal de comunicação aberto. Em conformidade com o Art. 18 da LGPD, o investidor tem o direito de acessar seus dados de forma fácil e gratuita.

1. Nomeação do DPO (Encarregado de dados): É o ponto de contato entre a empresa, os investidores e a Autoridade Nacional de Proteção de Dados (ANPD).
2. Política de Privacidade: Deve ser acessível, escrita em linguagem clara e atualizada pelo menos a cada 12 meses.
3. Plano de Resposta a Incidentes: Em caso de violação ou vazamento de dados, a empresa deve agir prontamente para minimizar danos, notificando a ANPD e os indivíduos afetados.

6. Conclusão

A conformidade robusta protege o assessor de penalidades da CVM e de multas da LGPD, além de elevar o padrão ético do escritório. A transparência no uso dos dados fortalece o vínculo de confiança, que é o ativo mais valioso no mercado de capitais. Por isso, entre em contato com uma assessoria especializada para a adequação dos procedimentos internos de sua Assessoria de Investimentos às regras da CVM, da LGPD e demais entidades regulatórias.