Open Finance: dados financeiros e direitos no Brasil

Por SAFIE · 23 de maio de 2026 · 4 min de leitura

A notícia publicada pela InfoMoney em maio de 2026 sobre a parlamentar Carla Zambelli e sua situação judicial na Itália não guarda relação direta com o mercado financeiro digital. Ainda assim, o episódio oferece um ponto de reflexão relevante para o setor: a complexidade de sistemas jurídicos distintos, a disputa sobre competência de autoridades e os efeitos práticos de decisões que afetam direitos individuais são temas que permeiam também o Open Finance no Brasil.

O Open Finance é, em essência, um sistema de compartilhamento de dados financeiros baseado em consentimento. O titular decide quais informações compartilha, com quem e por quanto tempo. Mas por trás dessa simplicidade aparente existe uma arquitetura regulatória densa, com normas do Banco Central, obrigações derivadas da Lei Geral de Proteção de Dados (LGPD) e responsabilidades contratuais entre as instituições participantes.

Para founders e gestores de fintechs, compreender essa arquitetura não é opcional. É condição para operar, crescer e evitar passivos regulatórios que podem comprometer a empresa antes mesmo de ela atingir escala.

Contexto jurídico e regulatório

A base regulatória do Open Finance no Brasil

O Open Finance brasileiro foi instituído pela Resolução Conjunta nº 1, de 4 de maio de 2020, editada pelo Banco Central do Brasil e pelo Conselho Monetário Nacional. Essa norma estabelece as bases para o compartilhamento padronizado de dados e serviços entre instituições autorizadas a funcionar pelo Bacen.

A estrutura evoluiu a partir do Open Banking, que inicialmente abrangia apenas dados de produtos e serviços bancários. Com a expansão para Open Finance, o escopo passou a incluir dados de investimentos, câmbio, credenciamento, seguros e previdência complementar, ampliando significativamente o volume de informações em circulação e, consequentemente, os riscos associados.

Consentimento e proteção de dados

O compartilhamento de dados no Open Finance depende de consentimento expresso, específico e informado do titular, conforme exige a LGPD (Lei nº 13.709/2018). O consentimento precisa identificar claramente a finalidade do compartilhamento, o prazo de vigência e as instituições envolvidas.

A Autoridade Nacional de Proteção de Dados (ANPD) tem competência concorrente com o Banco Central para fiscalizar o tratamento de dados pessoais nesse contexto. Na prática, isso significa que uma fintech participante do Open Finance pode ser autuada tanto pelo Bacen quanto pela ANPD por irregularidades relacionadas a dados, dependendo da natureza da infração.

A LGPD prevê multas de até 2% do faturamento bruto da empresa no último exercício, limitadas a R$ 50 milhões por infração. O Banco Central, por sua vez, pode aplicar penalidades com base na Lei nº 4.595/1964 e nas normas específicas do Sistema Financeiro Nacional, incluindo advertências, multas e até cassação de autorização para funcionamento.

Responsabilidade entre instituições participantes

Uma das questões jurídicas mais sensíveis do Open Finance é a responsabilidade solidária entre a instituição transmissora de dados (detentora) e a receptora. A Resolução BCB nº 32/2020 e suas atualizações definem que cada instituição é responsável pelos danos causados ao titular em decorrência do descumprimento das regras do sistema, dentro do seu escopo de atuação.

Isso significa que, se uma fintech receptora de dados utilizar as informações recebidas fora da finalidade autorizada pelo cliente, ela responde diretamente pelo dano, independentemente de como a transmissora procedeu. A cadeia de responsabilidade é clara e não admite transferência de culpa entre participantes.

Impacto prático

Para fintechs que atuam como receptoras de dados no Open Finance, o principal desafio operacional é garantir que os sistemas internos respeitem estritamente a finalidade declarada no consentimento. Usar dados de Open Finance para alimentar modelos de crédito que não estavam previstos no escopo do consentimento original, por exemplo, já configura violação da LGPD e das normas do Bacen.

Do ponto de vista contábil e de gestão de riscos, as empresas precisam mapear e documentar todos os fluxos de dados recebidos via Open Finance, identificando quais bases legais sustentam cada tratamento. Esse mapeamento é também exigido pela LGPD na forma do Registro de Operações de Tratamento (ROT), e sua ausência é considerada indício de descumprimento em processos de fiscalização.

Fintechs que desenvolvem produtos baseados em dados de Open Finance, como crédito personalizado, gestão financeira automatizada ou comparadores de produtos, devem ainda atentar para as regras de encerramento de consentimento. Quando o cliente revoga o acesso, a instituição receptora tem prazo para excluir ou anonimizar os dados recebidos, e esse processo precisa estar mapeado em procedimentos internos formalizados.

Considerações finais

O Open Finance representa uma mudança estrutural na forma como dados financeiros circulam no Brasil. Para fintechs, o sistema abre oportunidades reais de construir produtos mais relevantes e personalizados. Mas essas oportunidades vêm acompanhadas de um arcabouço regulatório que pune o descuido com sanções financeiras e reputacionais relevantes.

Investir em governança de dados, em processos de gestão de consentimento e em alinhamento entre as equipes jurídica, de produto e de tecnologia não é custo: é condição de operação sustentável no ecossistema Open Finance. Empresas que tratam conformidade como prioridade desde o início têm menos surpresas regulatórias e mais credibilidade junto a parceiros, investidores e clientes.

Perguntas frequentes

Minha fintech precisa ser autorizada pelo Banco Central para participar do Open Finance?

Sim. Apenas instituições autorizadas pelo Banco Central podem participar do Open Finance como transmissoras ou receptoras de dados. A modalidade de participação depende do tipo de autorização que a empresa possui. Fintechs de crédito, por exemplo, enquadradas como Sociedades de Crédito Direto (SCD) ou Sociedades de Empréstimo entre Pessoas (SEP), já estão habilitadas a participar do sistema dentro do escopo de suas autorizações.

O consentimento do cliente no Open Finance precisa ser renovado periodicamente?

Sim. As normas do Banco Central estabelecem prazo máximo de 12 meses para cada consentimento no Open Finance. Após esse período, o cliente precisa renovar expressamente a autorização para que o compartilhamento continue. A instituição receptora deve comunicar o cliente sobre o vencimento e não pode manter o acesso aos dados após o prazo sem nova autorização.

O que acontece com os dados de Open Finance se o cliente revogar o consentimento?

Quando o consentimento é revogado, a instituição receptora deve interromper imediatamente o acesso aos dados e, dentro do prazo estabelecido nas normas do Bacen, excluir ou anonimizar as informações recebidas com base naquele consentimento. Manter dados após a revogação configura violação da LGPD e das regras do Open Finance, sujeitando a empresa a sanções administrativas.

LGPD e Open Finance são regulações separadas ou se aplicam juntas?

As duas regulações se aplicam simultaneamente e de forma complementar. O Open Finance define as regras técnicas e operacionais do compartilhamento de dados financeiros. A LGPD define os direitos dos titulares e as obrigações de quem trata dados pessoais. Uma fintech participante do Open Finance precisa estar em conformidade com ambas, e pode ser fiscalizada tanto pelo Banco Central quanto pela ANPD.

Posso usar dados recebidos via Open Finance para treinar modelos de inteligência artificial?

Somente se essa finalidade estiver expressamente prevista no consentimento coletado do cliente. O uso de dados de Open Finance para finalidades não declaradas no momento do consentimento viola a LGPD e as normas do Bacen. Antes de incorporar dados de Open Finance em modelos de machine learning ou IA, a empresa precisa revisar o escopo do consentimento e, se necessário, coletar um novo consentimento específico para essa finalidade.