Introdução
O ecossistema financeiro brasileiro vem passando por uma transformação significativa nos últimos anos, impulsionado pela digitalização dos meios de pagamento, a ascensão das fintechs e a ampliação do acesso ao crédito. Nesse contexto, as instituições de pagamento, autorizadas e reguladas pelo BACEN - Banco Central do Brasil, exercem papel estratégico ao democratizar o consumo e ampliar a inclusão financeira.
Contudo, essa expansão vem acompanhada de novos riscos - sobretudo no que tange à privacidade e à proteção de dados pessoais. A LGPD (lei 13.709/18) inaugura um novo marco legal para o tratamento de informações de pessoas naturais, afetando diretamente empresas que operam com análise de crédito, perfil de consumo e concessão de crédito ao consumidor.
Este artigo analisa os principais desafios e obrigações legais que envolvem a proteção de dados pessoais nas instituições de pagamento, com foco na aplicação da LGPD e nas diretrizes da ANPD e do BACEN.
O conceito de dados sensíveis e a interpretação aplicada ao setor de crédito
A LGPD, em seu art. 5º, inciso II, define dados pessoais sensíveis como aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, dados referentes à saúde, vida sexual, genética, biometria, entre outros. Em tese, dados financeiros não integram esta categoria.
Contudo, a interpretação teleológica e contextual da norma, conforme sugerido em guias e pareceres da ANPD, admite que certos dados financeiros possam ser tratados como sensíveis em função de sua capacidade de discriminar, segmentar e impactar diretamente os direitos do titular.
Dessa forma, informações como score de crédito, inadimplência, renda presumida, histórico de compras, localização geográfica e comportamento de pagamento podem — em determinados contextos - demandar grau de proteção equiparado ao de dados sensíveis. O mesmo raciocínio já é aplicado por entidades como o EDPB - European Data Protection Board no âmbito do GDPR europeu, e é cada vez mais aceito no Brasil, inclusive em decisões judiciais e pareceres técnicos.
Obrigações jurídicas das instituições de pagamento sob a LGPD
A LGPD estabelece princípios e obrigações que devem ser seguidos desde a coleta até o descarte de dados. Para instituições de pagamento, isso implica:
- Base Legal Adequada - o tratamento de dados deve estar fundamentado em uma das bases legais do art. 7º da LGPD. As mais comuns nesse setor são:
- Execução de contrato (inciso V): para análise de crédito e prestação de serviços.
- Legítimo interesse (inciso IX): especialmente para prevenção à fraude, segmentação e comunicação com o cliente — desde que respeitados os direitos do titular.
- Cumprimento de obrigação legal ou regulatória (inciso II): por exemplo, em razão da circular 3.978/20 (Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo - PLD/FT).
- Transparência e direito do titular - é obrigatório garantir ao consumidor o acesso a informações claras sobre
- Quais dados estão sendo coletados;
- Finalidade do tratamento;
- Prazo de retenção;
- Com quem os dados serão compartilhados (Ex.: bureaus de crédito, plataformas antifraude).
Essas informações devem constar em políticas de privacidade, contratos, termos de uso e canais de atendimento.
- Segurança da Informação e Governança: A LGPD determina, no artigo 46, a implementação de medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados, perdas acidentais e destruição ilícita.
No setor financeiro, recomenda-se a adoção de frameworks consolidados, como:
- ISO/IEC 27001 e 27701;
- NIST Cybersecurity Framework;
- Normativos do BACEN sobre cibersegurança e continuidade de negócios (resolução 4.893/21).
Além disso, é fundamental manter:
- Política de classificação da informação;
- Controle de acesso lógico e físico;
- Plano de resposta a incidentes e notificações à ANPD (art. 48 da LGPD);
- Monitoramento contínuo de riscos.
Riscos e sanções: por que a conformidade importa?
O não cumprimento da LGPD expõe as instituições de pagamento a:
- Multas administrativas de até 2% do faturamento, limitadas a R$ 50 milhões por infração (art. 52 da LGPD);
- Sanções reputacionais, como bloqueio de operações ou publicização da infração;
- Responsabilidade civil objetiva por danos materiais e morais causados aos titulares (art. 42).
Além disso, o BACEN e o Conselho Monetário Nacional têm exigido, em seus normativos, o fortalecimento das estruturas de compliance e segurança da informação - especialmente diante do Open Finance e do compartilhamento massivo de dados.
Recomendações estratégicas para conformidade sustentável
Para além da adequação documental, recomenda-se que as instituições de pagamento invistam em uma governança contínua de dados, com os seguintes pilares:
- Mapeamento completo do ciclo de vida dos dados pessoais (Data Mapping);
- Nomeação formal de um encarregado pelo DPO - Tratamento de Dados com autonomia técnica;
- Treinamento periódico de colaboradores e parceiros;
- Monitoramento de terceiros com acesso a dados (ex: correspondentes bancários, plataformas de análise de risco);
- Estabelecimento de um Comitê de Privacidade e Segurança da Informação;
- Realização periódica de relatórios de DPIA - Impacto à Proteção de Dados Pessoais.
Conclusão
A entrada em vigor da LGPD representa um divisor de águas para o setor de pagamentos. Empresas que operam com crédito ao consumidor devem incorporar a privacidade como um valor estratégico, capaz de gerar vantagem competitiva e fortalecer a confiança do mercado.
Num cenário cada vez mais regulado e transparente, estar em conformidade com a LGPD não é apenas uma exigência jurídica - é um ativo reputacional e comercial.
_______
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Diário Oficial da União, Brasília, 2018.
BRASIL. Resolução nº 80, de 25 de março de 2021. Dispõe sobre as instituições de pagamento. Banco Central do Brasil.
BRASIL. Circular nº 3.978, de 23 de janeiro de 2020. Dispõe sobre a PLD/FT no âmbito das instituições reguladas pelo BACEN.
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Guia Orientativo para Definições dos Agentes de Tratamento e do Encarregado. 2021.
SERPRO. “Dados financeiros podem ser considerados dados sensíveis?”. Disponível em: https://www.serpro.gov.br
EDPB (European Data Protection Board). Guidelines 4/2019 on Article 25 Data Protection by Design and by Default.
NIST. Cybersecurity Framework. National Institute of Standards and Technology, USA, 2018.
ISO/IEC. 27001:2013 e 27701:2019 — Information Security and Privacy Management.