Proteção de Dados no Setor Financeiro: Regulamentação Específica

A proteção de dados no setor financeiro brasileiro envolve uma sobreposição normativa complexa, que exige das instituições financeiras e de seus parceiros um cuidado redobrado no tratamento de informações pessoais e sensíveis de clientes e usuários.

O Cenário Normativo da Proteção de Dados no Setor Financeiro

Quando analisamos o ambiente regulatório que envolve a proteção de dados no setor financeiro brasileiro, identificamos uma característica marcante: a coexistência de múltiplas camadas normativas. A Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018) estabelece o arcabouço geral aplicável a todos os setores econômicos, mas as instituições financeiras operam sob regulamentações adicionais emanadas do Banco Central do Brasil (BCB), do Conselho Monetário Nacional (CMN) e da Comissão de Valores Mobiliários (CVM), cada qual com exigências próprias sobre coleta, armazenamento e compartilhamento de dados.

No âmbito do sistema financeiro, o sigilo bancário disciplinado pela Lei Complementar nº 105/2001 já impunha obrigações rigorosas de confidencialidade muito antes da promulgação da LGPD. Verificamos que essa proteção anterior criou uma cultura de sigilo nas instituições financeiras que, embora positiva, nem sempre se traduziu em práticas modernas de governança de dados pessoais. O sigilo bancário protege a relação institucional entre banco e cliente, enquanto a LGPD confere ao titular dos dados um conjunto de direitos autônomos e mais abrangentes, como portabilidade, eliminação e revisão de decisões automatizadas.

A Resolução BCB nº 85/2021 complementa esse cenário ao estabelecer requisitos específicos de segurança cibernética e proteção de dados para instituições autorizadas a funcionar pelo Banco Central. Essa norma exige a implementação de política de segurança cibernética compatível com o porte da instituição, a natureza de suas operações e a sensibilidade dos dados tratados. Observamos que tal regulamentação cria um padrão mínimo de governança tecnológica que vai além das exigências genéricas da LGPD, exigindo controles específicos como testes de intrusão periódicos e planos de resposta a incidentes com prazos definidos de comunicação ao regulador.

Due Diligence de Dados: Conceito e Aplicação Prática

A expressão “due diligence de dados” (diligência devida em matéria de dados) refere-se ao processo sistemático de investigação e avaliação das práticas de tratamento de dados pessoais de uma organização. No setor financeiro, essa análise adquire relevância especial em diversas situações: operações de fusão e aquisição entre instituições, contratação de prestadores de serviços de tecnologia, integração com plataformas de Open Finance e celebração de parcerias comerciais que envolvam compartilhamento de bases de clientes.

Quando conduzimos uma due diligence de dados no setor financeiro, examinamos aspectos que vão desde a existência formal de um programa de governança em privacidade até a efetividade dos controles técnicos implementados. Verificamos se a instituição mantém registro atualizado das operações de tratamento (o chamado ROPA, Record of Processing Activities), se possui um Encarregado de Proteção de Dados (DPO) devidamente nomeado e acessível, se realizou Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) para atividades de alto risco e se mantém procedimentos documentados para atendimento aos direitos dos titulares dentro dos prazos legais.

A análise contratual também constitui pilar fundamental desse processo. Avaliamos se os contratos com operadores de dados (processadores) contêm cláusulas adequadas sobre finalidade do tratamento, medidas de segurança exigidas, obrigações de notificação em caso de incidente, limitações ao compartilhamento com sub-operadores e procedimentos de devolução ou eliminação de dados ao término da relação contratual. No setor financeiro, esses contratos frequentemente precisam atender simultaneamente às exigências da LGPD e às normas setoriais do Banco Central, o que demanda uma redação particularmente cuidadosa.

Outro aspecto relevante na due diligence financeira envolve a avaliação dos fluxos transfronteiriços de dados. Muitas instituições financeiras utilizam provedores de serviços em nuvem (cloud computing) com infraestrutura localizada no exterior, o que suscita questões sobre transferência internacional de dados pessoais. A LGPD prevê mecanismos específicos para legitimar essas transferências (como cláusulas contratuais padrão e certificações reconhecidas pela ANPD), e a due diligence deve verificar se a instituição adota pelo menos um desses mecanismos de forma documentada.

A due diligence de dados no setor financeiro não é mera formalidade burocrática, mas instrumento essencial de gestão de riscos regulatórios, reputacionais e operacionais que protege tanto a instituição quanto seus clientes.

Open Finance e os Desafios do Compartilhamento de Dados

O ecossistema de Open Finance (sistema financeiro aberto) implementado pelo Banco Central do Brasil representa um dos maiores desafios contemporâneos para a proteção de dados no setor. Regulamentado pela Resolução Conjunta BCB/CMN nº 1/2020 e normativos subsequentes, o Open Finance permite que clientes autorizem o compartilhamento de seus dados financeiros entre diferentes instituições participantes, criando um fluxo de informações sem precedentes no sistema financeiro nacional.

Analisamos que esse modelo, embora inovador e potencialmente benéfico para a concorrência e a inclusão financeira, exige mecanismos robustos de consentimento e governança. O consentimento no Open Finance deve ser específico (indicando quais dados serão compartilhados), informado (com linguagem clara sobre as consequências), temporal (com prazo definido de validade, atualmente limitado a 12 meses) e revogável a qualquer momento. Essas exigências dialogam diretamente com os princípios da LGPD, mas possuem detalhamentos próprios definidos pela regulamentação do Banco Central.

Na prática da due diligence, verificamos se as instituições participantes do Open Finance implementaram adequadamente as APIs (interfaces de programação) padronizadas pelo regulador, se mantêm registros de todos os consentimentos obtidos e revogados, se possuem mecanismos para garantir que os dados compartilhados sejam utilizados exclusivamente para a finalidade consentida e se conseguem demonstrar a cadeia de custódia dos dados recebidos de outras instituições.

Um ponto crítico que identificamos nesse contexto é a responsabilidade solidária em caso de incidentes. Quando um dado financeiro é compartilhado entre instituições via Open Finance e ocorre um vazamento ou uso indevido, a cadeia de responsabilidades pode se tornar complexa. A due diligence prévia à adesão ao ecossistema deve mapear esses riscos e verificar se existem acordos de nível de serviço (SLAs) e protocolos de resposta conjunta a incidentes entre as instituições participantes.

Decisões Automatizadas e Perfilamento no Setor Financeiro

Outro aspecto que merece atenção especial na due diligence de dados financeiros é o uso crescente de algoritmos e modelos de inteligência artificial para tomada de decisões automatizadas. Instituições financeiras utilizam sistemas automatizados para análise de crédito (credit scoring), detecção de fraudes, precificação de seguros, recomendação de produtos e avaliação de risco em operações de investimento. Cada uma dessas aplicações envolve tratamento intensivo de dados pessoais e, frequentemente, de dados sensíveis.

A LGPD, em seu artigo 20, assegura ao titular o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses. No setor financeiro, isso significa que um cliente que tenha seu crédito negado por um sistema automatizado pode solicitar a revisão dessa decisão e obter informações claras sobre os critérios utilizados. Constatamos que muitas instituições ainda enfrentam dificuldades para atender a esse direito de forma satisfatória, especialmente quando utilizam modelos de machine learning cuja lógica decisória é de difícil explicação (os chamados modelos “caixa-preta”).

Na condução da due diligence, avaliamos se a instituição mantém documentação adequada sobre os modelos algorítmicos utilizados, se realiza testes periódicos para identificar vieses discriminatórios nos resultados (por exemplo, discriminação indireta por raça, gênero ou localidade geográfica) e se possui procedimentos internos para a revisão humana de decisões automatizadas quando solicitada pelo titular. A Resolução BCB nº 403/2024, que trata da política de responsabilidade socioambiental, reforça a necessidade de que as instituições financeiras considerem aspectos de equidade e não discriminação em suas operações, o que se conecta diretamente com a governança algorítmica.

Programa de Conformidade: Elementos Essenciais e Boas Práticas

Com base na experiência acumulada em processos de due diligence no setor financeiro, consolidamos os elementos que consideramos essenciais para um programa de conformidade robusto em proteção de dados. O primeiro elemento é a governança corporativa, que pressupõe a existência de um comitê de privacidade ou estrutura equivalente com participação da alta administração, além da nomeação formal do Encarregado de Proteção de Dados com autonomia e recursos adequados para o exercício de suas funções.

O segundo elemento fundamental é o mapeamento completo e atualizado dos fluxos de dados pessoais. No setor financeiro, onde os dados transitam entre múltiplos sistemas (core banking, CRM, plataformas de investimento, aplicativos móveis, correspondentes bancários), esse mapeamento é particularmente complexo e precisa ser revisado periodicamente para refletir mudanças operacionais e tecnológicas.

O terceiro pilar envolve a gestão de riscos de terceiros. Avaliamos que as instituições financeiras que mantêm programas estruturados de avaliação de fornecedores e parceiros (com questionários de segurança, auditorias periódicas e cláusulas contratuais adequadas) apresentam maturidade significativamente maior em proteção de dados. Essa gestão deve contemplar não apenas os grandes fornecedores de tecnologia, mas também prestadores menores que eventualmente tenham acesso a dados pessoais de clientes.

Por fim, destacamos a importância de um plano de resposta a incidentes testado e atualizado. A regulamentação do Banco Central estabelece prazos específicos para comunicação de incidentes de segurança cibernética, que podem diferir dos prazos da ANPD. A due diligence deve verificar se a instituição possui capacidade técnica e procedimental para cumprir ambas as obrigações de forma simultânea, sem que uma prejudique a outra.

A construção de uma cultura de proteção de dados no setor financeiro é um processo contínuo que exige investimento em capacitação de colaboradores, atualização tecnológica e acompanhamento permanente das evoluções normativas. O cenário regulatório brasileiro segue em amadurecimento, com a ANPD publicando regulamentações complementares e o Banco Central refinando suas exigências, o que torna indispensável a revisão periódica dos programas de conformidade por meio de processos estruturados de due diligence.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.