Fintechs, Proteção de Dados

Open Finance: o guia jurídico para fintechs no ecossistema do BACEN

Escrito por Laura Tostes, advogada especialista em proteção de dados para empresas de tecnologia e fintechs na NDM Advogados.

Desde 2014 oferecemos assessoria jurídica e contábil completa para empresas tech crescerem com segurança e poderem focar no que importa.

Atualizado em 28/05/2026

O mercado financeiro brasileiro vive uma de suas maiores transformações históricas. Se antes o “dono” do dado era o grande banco, hoje, o protagonismo mudou de mãos: o dado pertence ao cliente. Integrar sua operação ao ecossistema do Open Finance significa lidar com um volume sem precedentes de informações sensíveis sob o olhar atento de dois gigantes: o Banco Central (BACEN) e a Agência Nacional de Proteção de Dados (ANPD).

Neste artigo, exploramos as nuances que definem o caminho entre o sucesso e os desafios regulatórios. Entenda por que o consentimento no Open Finance requer um rigor diferenciado e como estruturar sua fintech para ser simultaneamente inovadora e segura do ponto de vista legal.

O que é Open Finance e como ele se diferencia do Open Banking

Uma confusão muito comum no mundo corporativo é tratar Open Banking e Open Finance como a mesma coisa. Na realidade, o Open Finance é bem mais: é a evolução natural e muito mais abrangente do primeiro.

O Open Banking, que começou no Brasil em 2021, tinha um escopo bem definido: dados e serviços bancários tradicionais (contas correntes, empréstimos, cartões de crédito). O Open Finance vai além. Com a consolidação pela Resolução Conjunta nº 4/2022 do BACEN e CMN, o ecossistema ganhou novos players e dados: seguros, previdência, investimentos e câmbio entraram no jogo.

A partir disso, as fintechs recebem mais informações, e conhecem nã apenas quanto o cliente ganha, mas como ele se protege, como investe, qual é seu perfil de risco real.

Além disso, a Resolução Conjunta nº 5/2022 introduz a interoperabilidade, permitindo que os sistemas conversem entre si de forma padronizada e rápida, o que, para o empresário, significa custos menores com integração técnica e, mais importante ainda, uma chance real: empresas menores agora podem competir no mesmo nível dos grandes bancos, desde que joguem seguindo as regras.

guia completo para fintech de crédito fintech e e-financeira

A interseção entre as regras do BACEN e a LGPD no compartilhamento de dados por Open Finance

Este é o ponto crítico do desafio. Muitas fintechs caem numa armadilha comum: acreditam que seguir as normas do BACEN é suficiente para estar em conformidade com a Lei Geral de Proteção de Dados (LGPD).

No entanto, o Open Finance funciona sob o que chamamos de “co-regulação”. De um lado, a Resolução Conjunta nº 1/2020 do BACEN estabelece os padrões técnicos e operacionais. Do outro, a LGPD (Lei nº 13.709/2018) dita as regras sobre privacidade e os direitos das pessoas. São dois mundos que precisam coexistir, e nem sempre conversam naturalmente.

O conflito de finalidade e transparência

A LGPD é clara: todo dado compartilhado precisa ter uma finalidade específica, legítima e explicada para quem o fornece. No Open Finance, essa clareza é inegociável. Se um cliente compartilha informações para conseguir um empréstimo melhor, você não pode usar esses mesmos dados para vender um seguro sem pedir permissão de novo ou ter uma justificativa legal muito bem amarrada.

Nesse sentido, na prática, quando dados trafegam entre instituições, ambas as partes têm responsabilidade: quem envia e quem recebe precisam garantir que a informação circule com segurança. A interoperabilidade não é uma “carta branca”; é mais como um corredor onde cada informação que passa precisa ter um bom motivo para estar ali. 

Consentimento no Open Finance: mais rigoroso do que você imagina

A ressignificação do consentimento na era dos dados abertos

Se na LGPD o consentimento é uma das 10 (dez) bases legais para tratar dados, no Open Finance ele deixa de ser uma opção e se torna a coluna vertebral do ecossistema. Sem o consentimento livre, informado, inequívoco e específico, não há compartilhamento. Mas o BACEN elevou significativamente a régua regulatória: o consentimento aqui não é um simples “aceito os termos”, nem aquele checkbox genérico escondido nos termos de uso.

Assim, o Banco Central transformou o consentimento em um ato soberano do cliente sobre seus próprios dados financeiros, cercado por salvaguardas que vão muito além do que outras indústrias exigem. Essa visão alinha o Open Finance não apenas com a LGPD, mas com os princípios mais progressistas de proteção de dados internacionalmente reconhecidos (veja-se o GDPR na sua prática).

As três etapas obrigatórias: um fluxo que não é negociável

O processo de consentimento no Open Finance segue um desenho de três momentos sequenciais e irrevogáveis:

  1. Consentimento prévio: O cliente autoriza, de forma específica, o compartilhamento de dados com a instituição receptora (sua fintech, sua plataforma de gestão financeira, seu agregador). Esse momento ocorre já dentro da experiência do cliente. Nesse momento, o cliente precisa saber exatamente quais dados estão envolvidos, com qual finalidade e por quanto tempo.
  2. Autenticação de identidade: O cliente confirma sua identidade na instituição transmissora, aquela que guarda os dados (seu banco tradicional, corretora, seguradora). Esse passo cumpre dois propósitos ao mesmo tempo: garante que é realmente a pessoa que solicitou o acesso (não um fraudador) e reforça que o compartilhamento é consciente e recíproco. A autenticação forte não é recomendação aqui, é mandato.
  3. Confirmação final: O cliente retorna ao ambiente da instituição receptora e confirma explicitamente o compartilhamento, vendo um resumo do que foi autorizado. É um padrão de confirmação dupla que reduz drasticamente fraudes e consentimentos acidentais.

Prazo de validade e revogação facilitada

Aqui é onde o Open Finance realmente diferencia sua abordagem. Na LGPD, o consentimento pode vigorar indefinidamente até que o titular o revogue. No Open Finance, o prazo máximo de validade é geralmente de 12 meses (Resolução BACEN nº 32/2020 e suas atualizações).

A partir disso, o fluxo de dados é interrompido automaticamente, de modo que não há “reativação silenciosa”, nem consentimento que se renova por inércia. Quando a contagem regressiva chega ao fim, todo o acesso cessa. Assim, se o cliente quiser continuar compartilhando seus dados, ele precisa passar pelas três etapas novamente.

Essa regra cumpre um objetivo estratégico: mantém o consentimento fresco, consciente e continuamente reafirmado, além de reduzir a possibilidade de o cliente esquecer o que autorizou meses atrás e reclamar posteriormente.

Revogação: tão fácil quanto aderir (ou mais fácil ainda)

O BACEN estabeleceu um princípio que poucos reguladores no mundo adotaram com tanta clareza: a revogação deve ser no mínimo tão simples quanto a adesão. Melhor ainda: deve ser mais simples.

Se o usuário quiser parar de compartilhar seus dados às 2 da manhã de um domingo, sua plataforma precisa permitir isso instantaneamente. Sem burocracias; sem “confirme sua identidade novamente”; sem “você tem certeza?”. O cliente clica e o acesso termina no mesmo instante.

Essa abordagem inverte a lógica tradicional. Em vez de colocar barreiras à revogação, o Open Finance as remove. A consequência é que o consentimento fica continuamente à mercê da vontade soberana do cliente.

Responsabilidades: onde está a culpa quando algo dá errado?

No ecossistema do Open Finance, os papéis são bem definidos pela regulação, mas a responsabilidade perante o consumidor é em muitos casos solidária (e aqui está o ponto chave que frequentemente é negligenciado).

O ponto crítico: O cliente pode reclamar simultaneamente para o BACEN, para a instituição transmissora e para a instituição receptora. E o regulador terá poder para responsabilizar ambas. Uma fraude que ocorre porque a instituição receptora falhou em autenticar o cliente devidamente? Ambas podem ser penalizadas. Um vazamento de dados que acontece porque a instituição transmissora enviou dados a uma instituição receptora que revogou consentimento mas continuou acessando? Responsabilidade compartilhada aos olhos do cliente.

Veja como funciona na prática:

AtividadeInstituição Transmissora (Detentora do Dado)Instituição Receptora (Sua Fintech)
Responsabilidade
Primária		Garantir a integridade e disponibilidade do dado na origem. Manter a verdade sobre o que foi compartilhado.Garantir a segurança e respeitar a finalidade do uso. Proteger como se fosse seu.
APIs e Portas de AcessoFornecer portas de acesso padronizadas e auditáveis conforme normas técnicas BACEN.Consumir as APIs conforme especificações. Implementar mecanismos de segurança e tratamento de erros de forma segura.
ConsentimentoAutenticar o pedido de forma segura e repassar o consentimento explicitamente.Coletar o consentimento de forma transparente, inequívoca e documentada. Manter prova do consentimento..
Segurança da InformaçãoImpedir acessos não autorizados à base original. Monitorar tentativas de acesso anômalo.Tratar os dados recebidos com criptografia de ponta a ponta. Manter logs detalhados de todo acesso.
RevogaçãoProcessar revogações em tempo real e cessar compartilhamento instantaneamente.Processar revogações do lado cliente e deletar dados conforme prazo regulatório.

O ponto crítico que muitas fintechs ignoram: posse não é propriedade

Esse é o erro estratégico mais comum entre receptoras iniciantes. O dado que você recebe não se torna “seu”. Você tem o direito limitado e precário de usá-lo para a finalidade acordada no consentimento e no contrato.

Se o contrato for encerrado ou o consentimento revogado, a retenção desses dados deve seguir regras rígidas de descarte. Você não pode simplesmente guardá-lo “só para ter na base” ou fazer uma análise retrospectiva meses depois sem nova autorização.

As únicas exceções são:

  1. Obrigação regulatória explícita (ex.: Banco Central exigindo guarda de dados de transações por 5 anos)
  2. Cumprimento de ordem judicial (ex.: uma ação judicial que ordena manter registros)
  3. Base legal independente e documentada (ex.: você tem obrigação contratual com terceiro que não seja LGPD/Open Finance)

Fora dessas hipóteses, manter dados depois da revogação não é “segurança extra”. É crime de dados. A ANPD tem interpretação cristalina sobre isso, e a jurisprudência brasileira tem condenado fintechs por retenção não autorizada.

Riscos jurídicos: quando a não conformidade vira existencial

Ignorar as camadas de proteção de dados e as normas do BACEN não resulta apenas em “conversas incômodas com o regulador”. O risco é existencial para a fintech. Aqui estão os cenários reais:

  1. Sanções da ANPD: Multas que podem chegar a 2% do faturamento, limitadas a R$ 50 milhões por infração. Mas espere: são R$ 50 milhões por infração. Um vazamento envolvendo 100 mil clientes pode gerar 100 infrações diferentes (uma por cliente ou por categoria de dados exposta). Além das multas, há a publicização da infração. No mundo das fintechs, essa informação circula em segundos entre investidores, parceiros e clientes. Confiança destruída é capital perdido.
  2. Sanções do BACEN: Suspensão da autorização de funcionamento. Multas pesadas. Proibição de atuar no ecossistema de compartilhamento de dados. Para uma fintech que construiu seu modelo de negócio em torno do Open Finance, isso é o equivalente a desligar o fornecedor de energia.
  3. Danos Reputacionais: No mundo das fintechs, a segurança não é um benefício agregado. É o produto. Um vazamento de dados compartilhados via Open Finance pode: afastar investidores em rodadas de captação (fundos de risco agora fazem due diligence agressiva em segurança); Bloquear parcerias estratégicas; Tornar sua marca sinônimo de negligência por 5 a 10 anos; e Levar à debandada de clientes em questão de dias.

Condenações por Dano Moral In Re Ipsa

O judiciário brasileiro tem sido crescentemente rigoroso com o “Dano Moral In Re Ipsa” em casos de vazamento de dados financeiros. O que isso significa?

Você pode ser condenado a indenizar o cliente mesmo que ele não prove um prejuízo financeiro imediato. A simples exposição do dado já é o dano. A Suprema Corte adota essa interpretação há anos, e tribunais estaduais a acompanham.

Então sim: 100 mil clientes cujos dados foram expostos = 100 mil ações potenciais de indenização individual. Nem sempre elas vêm todas, mas quando vêm, o valor agregado pode superar a avaliação da empresa.

Como estruturar um programa de adequação eficiente para sua fintech

Para empresários que integram IAs e soluções de dados em seus negócios, a conformidade não deve ser vista como um freio regulatório. Aqui está a verdade inovadora: conformidade é vantagem competitiva.

Empresas que demonstram robustez jurídica atraem parceiros de maior calibre, conquistam clientes institucionais, recebem termos melhores em captações e, mais importante, conseguem dormir à noite.

Aqui estão os passos práticos para estruturar sua fintech:

  • Mapeamento de Dados (Data Mapping): Saiba exatamente de onde vêm os dados do Open Finance, por onde passam nos seus servidores (e em quais IAs eles entram), onde são armazenados, e por quanto tempo ficam em cada ponto.
  • Revisão de Contratos e Termos: Seus termos de uso e política de privacidade devem ser específicos para o Open Finance. Não use modelos genéricos de internet.
  • Treinamento de Equipe: De nada adianta uma API segura se o seu suporte ao cliente ou o time de marketing manipula os dados sem as devidas cautelas.
  • Implementação de “Privacy by Design”: Quando você desenvolve uma nova funcionalidade ou integra um modelo de IA para análise de crédito, a proteção de dados não é um acessório adicionado depois. É o alicerce arquitetural.
  • Gestão de APIs e Logs: Mantenha um registro rigoroso de todos os acessos e compartilhamentos. Esses logs serão sua principal defesa em caso de auditoria do BACEN ou investigação de incidente.

Síntese: Navegando o Oceano Open Finance com Bússola Jurídica

O Open Finance é um oceano de possibilidades: economia de juros mais real, produtos financeiros personalizados, inclusão de pessoas que antes estavam fora do sistema. Mas navegar nele exige uma bússola jurídica bem calibrada.

A integração tecnológica deve sempre caminhar de mãos dadas com o rigor regulatório. Não são caminhos paralelos. São dois trilhos que precisam estar perfeitamente alinhados.

A Pergunta que Deveria Tirar o Sono do Seu Conselho

O Open Finance não é o futuro. É o presente do sistema financeiro nacional. Para o empresário que lidera uma fintech, o sucesso depende da capacidade de equilibrar inovação tecnológica com rigor jurídico indeclinável.

O dado é o novo petróleo, mas sem o devido “refino” legal, sem a autenticação robusta do consentimento do titular, ele pode se tornar altamente volátil e perigoso para o seu negócio.

A pergunta que fica para sua reflexão é esta, simples mas profunda:

Sua fintech está tratando o consentimento como uma burocracia a contornar ou como o ativo mais valioso de confiança entre você e seu cliente?

Se a resposta for a primeira, a segunda pergunta é: até quando você acha que consegue navegar assim?

FAQ

1. O consentimento do Open Finance pode ser usado para vender outros produtos?

Não automaticamente. O consentimento deve ser específico para uma finalidade. Se você recebeu dados para análise de crédito, precisa de um novo consentimento (ou uma finalidade clara e compatível) para usá-los em marketing de outros produtos.

2. O que acontece se o cliente revogar o consentimento no meio de um serviço?

A instituição receptora deve interromper o acesso aos dados imediatamente. Não há prazo de carência, não há “período de transição”. Imediato significa imediato. 

Do ponto de vista da prestação do serviço, se a funcionalidade depender estruturalmente daqueles dados, o serviço poderá ser descontinuado para aquele cliente. Isso deve estar previsto nos termos de uso de forma clara e acessível, de preferência com uma mensagem explicativa no momento da revogação. Quanto aos dados já coletados antes da revogação, a lógica é a seguinte: eles não desaparecem automaticamente. Devem ser tratados conforme sua política de retenção e descarte, respeitando os prazos regulatórios aplicáveis.

3. Fintechs não autorizadas pelo BACEN podem participar do Open Finance?

Participar diretamente das etapas obrigatórias de compartilhamento de dados, não. Apenas instituições devidamente autorizadas pelo Banco Central (bancos, fintechs de crédito, IPs autorizados, entre outros) têm acesso às APIs do ecossistema regulado.

Contudo, fintechs menores ou em fase inicial têm dois caminhos viáveis:

  • Via Banking as a Service (BaaS): contratam uma instituição autorizada como “porta de entrada” e operam sobre sua infraestrutura regulatória.
  • Via Iniciador de Transação de Pagamento (ITP): categoria específica regulada pelo BACEN que permite atuar em parte do ecossistema com habilitação própria e menos requisitos de capital do que um banco pleno.

Em ambos os casos, a responsabilidade pelas obrigações de proteção de dados não se dilui. A fintech que opera via BaaS ainda precisa ter política de privacidade adequada, contratos de processamento de dados com a instituição parceira e mecanismos próprios de atendimento aos direitos dos titulares.

4. A LGPD se aplica a dados de pessoas jurídicas no Open Finance?

A LGPD protege exclusivamente dados de pessoas naturais. Dados de CNPJs, portanto, costumam ficar fora do seu escopo de proteção direta.

Entretanto, isso não significa ausência de proteção. O sigilo bancário, regulado pela Lei Complementar nº 105/2001, continua incidindo plenamente sobre dados financeiros de pessoas jurídicas, independentemente da LGPD. A quebra desse sigilo sem autorização ou ordem judicial é crime.

Há ainda um ponto de atenção prático importante: dados de PJs frequentemente contêm dados pessoais de pessoas naturais embutidos. O cadastro de uma microempresa individual (MEI), por exemplo, pode ser simultaneamente dado da PJ e dado pessoal do empreendedor. Nesse caso, a LGPD retorna pela porta dos fundos. É necessário analisar o dado em si, não apenas o tipo de titular formal.

5. Como a IA pode ser afetada pelas regras de consentimento do Open Finance?

A IA só pode processar dados do Open Finance se a finalidade do processamento tiver sido informada ao usuário no momento do consentimento, de forma clara e inteligível (não em juridiquês). Dois cenários merecem atenção especial:

  • Treinamento de modelos com dados reais: usar dados de Open Finance para treinar modelos internos de IA, sem anonimização técnica robusta, é uma zona de alto risco. A ANPD ainda não emitiu regulação específica sobre IA, mas a Resolução CD/ANPD nº 2/2022 e os princípios da LGPD já dão sustentação suficiente para responsabilizar instituições que façam isso sem base legal clara.
  • Decisões automatizadas: o artigo 20 da LGPD garante ao titular o direito de revisão humana de decisões tomadas exclusivamente por algoritmos que afetem seus interesses. Se você usa dados de Open Finance em um motor de crédito baseado em IA e rejeita uma proposta automaticamente, o cliente tem o direito de pedir revisão humana. Ignorar esse direito é infração autônoma à LGPD, independente da questão do consentimento.
NDM Advogados especializado em fintechs, startups, instituições de pagamento e empresas de tecnologia https://contato.ndmadvogados.com.br/?utm_source=banner_blog&utm_medium=blog&utm_campaign=contato_lovable_home_botao_lateral&utm_content=contato_lovable_home_botao_lateral
Compartilhe esse conteúdo

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você também pode se interessar

Fique por dentro das nossas novidades!

Inscreva-se para receber atualizações exclusivas.

Entre em
contato conosco

Estamos prontos para ajudar sua startup a crescer. Agende uma consulta e saiba mais!

Estamos prontos para ajudar seu negócio a crescer. Agende uma consulta e saiba mais!