Proteção de Dados, Fintechs

Aviso de Privacidade para Fintechs: o que o Banco Central e a LGPD exigem?

Escrito por Amanda Santos, advogada especializada em proteção de dados e privacidade para empresas de tecnologia e fintechs na NDM Advogados.

Há mais de 10 anos oferecemos assessoria jurídica e contábil completa para empresas tech crescerem com segurança e poderem focar no que importa.

Atualizado em 27/10/2025

Em uma fintech, tudo gira em torno de dados.
Do cadastro de clientes à autenticação de pagamentos, passando por biometria, histórico de transações e relatórios de crédito, toda a operação depende de informações pessoais.

Principalmente para fintechs que precisam de autorização de funcionamento ou regulamentação pelo Banco Central, que, aliado à LGPD, cobram transparência, atualização e segurança no uso das informações dos clientes.

A seguir, explicamos o que o Bacen realmente espera ver no Aviso de Privacidade para fintechs e quais pontos são indispensáveis em um aviso de privacidade completo.

1. O que é o Aviso de Privacidade e por que ele é obrigatório para fintechs.

O Aviso de Privacidade é o documento que informa de forma clara e acessível como sua empresa coleta, utiliza, compartilha e protege os dados pessoais de clientes, parceiros e usuários.

Ele é exigido pela Lei Geral de Proteção de Dados (Lei nº 13.709/2018), principalmente quando se refere ao direito do titular à informação e ao dever da empresa de transparência.

Mas, no caso das fintechs, há um detalhe crucial: o Banco Central também impõe obrigações de transparência quanto ao tratamento de dados, especialmente em três frentes:

  • Relação com o cliente: o consumidor precisa entender quais dados são tratados e para quais finalidades.
  • Governança e controles internos: a instituição precisa registrar e justificar cada operação que envolva dados de clientes, conforme regras de Prevenção à Lavagem de Dinheiro e Compliance.
  • Ambientes de compartilhamento de dados (Open Finance): é necessário informar como o consentimento é obtido, quais instituições têm acesso e como o cliente pode revogá-lo.

Essas exigências estão espalhadas em normas como a Resolução CMN nº 4.893/2021, a Resolução BCB nº 294/2023 e a Circular nº 3.978/2020, que tratam de transparência, experiência do cliente e prevenção à lavagem de dinheiro.

2. O que o Banco Central exige sobre transparência e dados para fintechs.

O Banco Central não fala em “aviso de privacidade” — mas suas normas exigem exatamente o que ele representa: clareza, coerência e atualização das informações prestadas ao cliente.

A Resolução CMN nº 4.893/2021, por exemplo, determina que as instituições financeiras garantam a confiabilidade, integridade, disponibilidade e sigilo dos dados no ambiente cibernético e em nuvem.
Já as regras do Open Finance, consolidadas em normativos como a Resolução Conjunta nº 1, de 2020, e suas alterações, reforçam que o cliente deve ter acesso fácil e imediato às informações sobre como e com quem seus dados são compartilhados, além de meios simples para gerenciar ou revogar o consentimento a qualquer momento.
E a Circular 3.978/2020, marco do combate à lavagem de dinheiro, trata da identificação e qualificação dos clientes e operações, o que impõe gestão rigorosa de informações pessoais.

O Bacen entende que transparência é parte da boa governança e que qualquer inconsistência entre o que é dito ao cliente e o que é feito na prática é uma falha de compliance.

Por isso, o seu Aviso de Privacidade precisa seguir o mesmo padrão de clareza que o Bacen exige nos contratos e materiais de comunicação:

  • linguagem simples, sem termos jurídicos ou técnicos;
  • informações atualizadas sempre que houver mudança operacional;
  • coerência entre o aviso, os Termos de Uso, a Política de Segurança da Informação e as políticas internas de compliance.
Guia Completo para Fintechs 2025 Aviso de Privacidade para Fintechs

3. O que precisa ter no Aviso de Privacidade para Fintechs.

Um bom Aviso de Privacidade traduz, de forma prática, como sua fintech trata dados pessoais no dia a dia.
Cada item abaixo representa uma exigência legal ou regulatória e, se algo faltar, o documento provavelmente será reprovado em uma auditoria.

a) Identificação da empresa e do DPO

Embora seja possível que agentes de tratamento de pequeno porte (como microempresas, EPPs ou startups) fiquem dispensados da nomeação formal de um Encarregado de Dados (DPO), conforme a Resolução CD/ANPD nº 2/2022, essa dispensa não se aplica bem ao contexto das fintechs.
Mesmo startups do setor financeiro, quando tratam dados de transações, biometria, crédito ou informações sensíveis em larga escala, são consideradas operações de alto risco, especialmente sob a ótica do Banco Central.

Por isso, na prática, a maioria das fintechs possuem um DPO, ainda que de forma terceirizada ou compartilhada, justamente para garantir governança e interlocução adequada com parceiros e reguladores.

Nesse caso, no Aviso de Privacidade deve constar o nome ou razão social e canal de contato com o Encarregado de Dados (DPO), conforme a LGPD. Esse canal de contato deve funcionar de verdade. É por meio dele que a ANPD e os titulares podem se comunicar com a empresa.

A ausência dessa indicação pode até ser juridicamente tolerada, mas é mal vista, já que sinaliza fragilidade de compliance.

b) Quais dados são coletados

Não basta afirmar de forma genérica que “coletamos seus dados para prestar nossos serviços”.
A empresa deve mapear e informar, de forma específica, cada dado pessoal tratado, indicando a respectiva finalidade de uso e a base legal que autoriza o tratamento.

Esse detalhamento deve abranger, por exemplo, dados cadastrais (nome, CPF, endereço, telefone), financeiros (contas, transações, valores, limites), biométricos (reconhecimento facial, impressões digitais, voz) e técnicos ou comportamentais (IP, geolocalização, cookies, logs de acesso), sempre vinculados à finalidade específica e ao fundamento jurídico correspondente.

Assim, não se trata apenas de listar “categorias de dados”, mas de mostrar que a organização compreende e controla o fluxo completo das informações que processa.

c) Por que esses dados são coletados

Conforme comentado no item anterior, toda coleta deve ter uma finalidade clara e legítima, e o cliente precisa conseguir entender isso.
Os motivos mais comuns nas fintechs são:

  • Execução de contrato: criar conta, processar pagamentos, realizar transferências.
  • Cumprimento de obrigação legal/regulatória: atender normas do Bacen, Coaf e Receita Federal.
  • Segurança e prevenção à fraude: análise de transações suspeitas, verificação de identidade.
  • Legítimo interesse: personalização de serviços e comunicações, desde que respeitados os direitos do titular.

Evite justificativas vagas como “melhorar sua experiência”. Esse tipo de redação já tem sido questionado pela ANPD por falta de especificidade.

YouTube video

d) Com quem os dados são compartilhados

O compartilhamento de dados é inevitável, mas deve ocorrer de forma transparente e controlada. Não basta mencionar categorias amplas como “parceiros comerciais”. O Aviso de Privacidade para Fintechs deve nomear e identificar, de forma individualizada, cada parceiro ou fornecedor que trata dados pessoais da operação, especificando a finalidade do compartilhamento.

Isso inclui, por exemplo, a instituição financeira responsável pelas contas de pagamento, subadquirentes e registradoras de recebíveis, bureaus de crédito e processadoras de pagamento, além de serviços de antifraude, auditoria, comunicação e marketing.

e) Transferência internacional de dados

Se seus dados são armazenados em servidores no exterior (o que é o caso da maioria das fintechs), isso precisa ser informado.
Indique para quais países os dados são transferidos, quais fornecedores são usados e qual base legal ampara essa transferência.
A omissão desse ponto é um dos erros mais graves em empresas que usam nuvem internacional.

f) Direitos do titular

Explique de forma acessível que o cliente pode:

  • acessar, corrigir ou excluir seus dados;
  • solicitar portabilidade;
  • se opor a determinados usos;
  • e revogar consentimentos.

Mais importante que listar direitos é ensinar o caminho: onde o cliente deve fazer a solicitação, qual canal deve usar e em quanto tempo receberá resposta!

h) Data da última atualização

Tanto o Bacen quanto a LGPD exigem que as informações disponibilizadas aos titulares estejam sempre claras, completas e atualizadas.
Por isso, o Aviso de Privacidade deve indicar a data da última revisão e deve ser estabelecida rotina interna de atualização sempre que houver mudança de produto, integração tecnológica, fluxo de dados ou fornecedor que impacte o tratamento de dados pessoais.

Caso não haja nenhuma alteração relevante no período, recomenda-se que a revisão seja realizada, no mínimo, uma vez por ano, a fim de assegurar a manutenção da conformidade regulatória e a credibilidade do documento.
A ausência dessa informação no documento ou tempo excessivo desde a última atualização transmitem a impressão de que o Aviso de Privacidade é apenas “decorativo”, o que pode ser interpretado negativamente em auditorias e análises de compliance.

4. Erros comuns no Aviso de Privacidade para Fintechs que comprometem a credibilidade.

O problema está, principalmente, em parecer desorganizado diante de um cliente, regulador ou parceiro.
Abaixo, os erros mais recorrentes nas fintechs:

  1. Modelos genéricos: ignoram as especificidades da operação financeira e expõem a empresa a inconsistências legais.
  2. Omissão de parceiros críticos: ao não citar subadquirentes, processadoras e bureaus de crédito, a empresa demonstra falta de controle sobre o fluxo de dados.
  3. Desatualização: toda integração tecnológica, alteração de fluxo de dados, mudança de fornecedor que envolva o tratamento de dados pessoais, ou o lançamento de um novo produto, exige a revisão imediata do Aviso de Privacidade. Além disso, o documento deve manter data de atualização inferior a um ano, mesmo que não tenham ocorrido modificações relevantes no período, demonstrando governança contínua.
  4. Linguagem confusa: textos excessivamente jurídicos ou técnicos violam o princípio de transparência e afastam o cliente.
  5. Contradição com os Termos de Uso: desalinhamento entre documentos é sinal de fragilidade na governança.
  6. Omissão sobre o Open Finance: empresas que participam do ecossistema precisam explicar claramente o fluxo de compartilhamento e o direito de revogação do cliente.

Esses erros não apenas geram risco jurídico, mas também travamentos comerciais, especialmente em parcerias com instituições reguladas que exigem due diligence de dados.

5. Conclusão: transparência é o novo selo de confiança

Em um mercado cada vez mais competitivo, a transparência virou um diferencial estratégico.
Fintechs que tratam o Aviso de Privacidade como parte do seu posicionamento fecham parcerias mais rápido, passam auditorias com segurança e conquistam a confiança do público.

Se a sua empresa está se preparando para uma auditoria, integração ou captação, revise o Aviso de Privacidade com um olhar regulatório.

Um documento bem feito evita retrabalho, reduz riscos e mostra que sua fintech fala a mesma língua da LGPD e do Bacen.

Como Adequar a sua Empresa à LGPD usando Ferramentas Inteligentes

FAQ

1. Fintechs precisam, obrigatoriamente, ter um Aviso de Privacidade?
 Sim. A LGPD exige transparência no tratamento de dados pessoais, e o Banco Central impõe obrigações complementares sobre segurança, consentimento e governança.

2. O que o Banco Central analisa em um Aviso de Privacidade para Fintechs?
 Ele avalia se há coerência entre o que é informado ao cliente e o que é praticado internamente — especialmente em relação a Open Finance, prevenção à lavagem de dinheiro e governança de dados.

3. Posso usar um modelo genérico de aviso disponível na internet?
 Não é recomendável. Cada fintech tem operações e fluxos de dados específicos. Modelos genéricos ignoram particularidades regulatórias e podem gerar inconsistências graves em auditorias.

4. É obrigatório nomear um Encarregado de Dados (DPO)?
Via de regra, sim. Mesmo que a ANPD dispense microempresas, o Banco Central considera fintechs como operações de alto risco, tornando o DPO essencial para interlocução com reguladores.

5. Preciso informar no aviso quando meus dados são armazenados no exterior?
 Sim. A LGPD exige a indicação dos países de destino, dos provedores de nuvem e da base legal para a transferência internacional.

6. Qual deve ser a frequência de atualização do Aviso de Privacidade?
 Sempre que houver alteração de produto, parceiro, fluxo de dados ou política interna. Caso contrário, o documento deve ser revisado ao menos uma vez por ano.

7. Quais erros mais prejudicam a credibilidade de uma fintech no aviso de privacidade?
 Textos confusos, documentos desatualizados, ausência do DPO e contradições entre o aviso e os Termos de Uso são falhas graves, tanto em auditorias quanto em parcerias reguladas.

Por Amanda Santos

Quer conversar com especialistas que entendem do seu negócio? Entre em contato com a NDM pelo nosso WhatsApp!

NDM Advogados especializados em fintechs e empresas de tecnologia
Compartilhe esse conteúdo

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você também pode se interessar

Fique por dentro das nossas novidades!

Inscreva-se para receber atualizações exclusivas.

Entre em
contato conosco

Estamos prontos para ajudar sua startup a crescer. Agende uma consulta e saiba mais!

Estamos prontos para ajudar sua startup a crescer. Agende uma consulta e saiba mais!