Voltar ao site SAFIE →
Open Finance e dados financeiros

Open Finance: dados financeiros e governança

Por · · 5 min de leitura
Open Finance: dados financeiros e governança

A notícia publicada pela InfoMoney em outubro de 2025 sobre Ciro Nogueira, investigado no chamado "caso Master", representar o Brasil em evento da ONU não guarda relação direta com o ecossistema de fintechs. A redação do SAFIE optou por usar a data de publicação desta edição, 12 de junho de 2026, para tratar de um tema que segue sendo central para o setor financeiro digital: o Open Finance e o uso responsável de dados financeiros.

O Open Finance está em plena fase de maturação operacional no Brasil. Desde o lançamento das primeiras fases em 2021, o sistema evoluiu de um modelo restrito a dados cadastrais e de transações para um ecossistema que inclui produtos de crédito, investimentos, seguros e previdência. Em maio de 2026, a plataforma já registrava mais de 50 milhões de consentimentos ativos, segundo dados do Banco Central do Brasil.

Para founders e gestores de fintechs, entender as obrigações jurídicas e contábeis envolvidas no tratamento desses dados não é opcional. É um requisito de conformidade com consequências regulatórias, cíveis e penais bem definidas na legislação brasileira.

Contexto jurídico e regulatório

O arcabouço regulatório do Open Finance no Brasil

O Open Finance brasileiro tem sua base normativa na Resolução Conjunta n. 1/2020, editada pelo Conselho Monetário Nacional (CMN) e pelo Banco Central do Brasil (BCB). Essa norma estabeleceu os princípios gerais do sistema, incluindo o consentimento como fundamento para o compartilhamento de dados e a responsabilidade das instituições participantes pelo ciclo completo de tratamento das informações.

A Resolução BCB n. 32/2020 e suas atualizações posteriores, em especial a Resolução BCB n. 315/2023, detalham os requisitos técnicos e operacionais para participação no ecossistema. Instituições classificadas como transmissoras de dados (detentoras da relação com o cliente) e receptoras de dados (que recebem as informações para prestar serviços) têm obrigações distintas, mas ambas respondem solidariamente por falhas no tratamento das informações sob sua custódia.

A intersecção com a LGPD

A Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709/2018) incide diretamente sobre o Open Finance. Dados financeiros, como histórico de transações, saldo em conta e dados de crédito, são dados pessoais nos termos do artigo 5º, inciso I, da LGPD. Quando revelam padrões de saúde, religião ou comportamento político, podem ser enquadrados como dados sensíveis (artigo 5º, inciso II), com exigências de proteção ainda mais rigorosas.

O consentimento no Open Finance tem características próprias: deve ser específico, informado, granular e revogável a qualquer momento. O prazo máximo de vigência de um consentimento é de 12 meses, conforme as regras do BCB. Após esse período, o cliente precisa renovar a autorização para que o compartilhamento continue.

A Autoridade Nacional de Proteção de Dados (ANPD) e o Banco Central atuam de forma complementar na fiscalização. O BCB foca nos aspectos prudenciais e operacionais do sistema; a ANPD fiscaliza o cumprimento da LGPD. Uma mesma falha, como um vazamento de dados via API do Open Finance, pode gerar sanções nos dois âmbitos simultaneamente.

Responsabilidade civil e penal no tratamento de dados financeiros

O artigo 42 da LGPD prevê responsabilidade civil objetiva do controlador e do operador pelos danos causados em razão do tratamento irregular de dados pessoais. No contexto do Open Finance, a fintech receptora que utiliza dados além do escopo do consentimento concedido comete infração sujeita a multa de até 2% do faturamento do último exercício, limitada a R$ 50 milhões por infração, conforme o artigo 52 da LGPD.

Além disso, a Lei n. 12.737/2012 (Lei Carolina Dieckmann) e o artigo 154-A do Código Penal tipificam condutas de acesso não autorizado a sistemas e dispositivos. Em situações de vazamento decorrente de falha de segurança culposa ou dolosa, os dirigentes da fintech podem responder criminalmente. Esse risco é frequentemente subestimado por startups em fase inicial.

Impacto prático

Para fintechs que atuam como receptoras de dados no Open Finance, o primeiro ponto de atenção é a certificação no Diretório de Participantes, mantido pela estrutura de governança do Open Finance Brasil (OFBR). Sem essa certificação, a instituição não pode operar as APIs de compartilhamento, independentemente de ter autorização do BCB para outras atividades.

Do ponto de vista contábil, os custos de conformidade com o Open Finance precisam ser orçados com precisão. Isso inclui o investimento em infraestrutura de APIs seguras, o custo de gestão do ciclo de vida dos consentimentos, auditorias periódicas de segurança da informação e a contratação de um Encarregado de Proteção de Dados (DPO), exigência da LGPD para a maioria das fintechs com volume relevante de dados. Subestimar esses custos é um erro que afeta diretamente o unit economics do produto.

Para bancos digitais e instituições de pagamento de médio porte, o Open Finance abre oportunidades concretas de monetização via análise de dados de clientes que, com consentimento, compartilham seu histórico de outras instituições. Produtos de crédito com scoring enriquecido, portabilidade de dados para ofertas personalizadas e construção de perfis financeiros mais completos são os casos de uso mais avançados. O desafio jurídico está em garantir que o uso desses dados seja estritamente limitado à finalidade declarada no consentimento, sob pena de violação da LGPD e das regras do BCB.

Considerações finais

O Open Finance consolidou-se como infraestrutura crítica do sistema financeiro brasileiro. As obrigações jurídicas e operacionais que ele impõe não são burocracias acessórias, mas condições de funcionamento do modelo de negócio. Fintechs que tratam conformidade como custo fixo imutável perdem oportunidades; as que a tratam como diferencial competitivo constroem relação de confiança com clientes e reduzem exposição regulatória.

Founders e gestores devem revisitar periodicamente seus fluxos de consentimento, contratos com operadores de dados e políticas de retenção. A regulação do Open Finance não é estática: o Banco Central segue publicando circulares e resoluções que alteram requisitos técnicos e prazos. Manter um canal de atualização regulatória ativo, com apoio jurídico especializado, é parte indispensável da gestão de qualquer fintech que opere nesse ecossistema.

Perguntas frequentes

Minha fintech precisa ser autorizada pelo Banco Central para participar do Open Finance?

Depende do tipo de participação. Instituições que já possuem autorização do BCB para operar como banco, financeira, instituição de pagamento ou similar precisam se cadastrar no Diretório de Participantes do Open Finance Brasil. Empresas sem autorização prévia do BCB não podem participar diretamente como transmissoras ou receptoras de dados; precisam atuar por meio de instituições autorizadas ou obter a própria autorização antes.

Por quanto tempo posso armazenar os dados financeiros que recebi via Open Finance?

O período de retenção deve ser limitado à finalidade declarada no consentimento do cliente. Após o encerramento do serviço ou a revogação do consentimento, os dados devem ser eliminados ou anonimizados, salvo obrigação legal de guarda (como exigências fiscais ou de prevenção à lavagem de dinheiro). A Resolução BCB n. 315/2023 e a LGPD são as referências principais para definir os prazos aplicáveis a cada tipo de dado.

O que acontece se minha fintech usar os dados do Open Finance para uma finalidade diferente da que o cliente autorizou?

Isso configura tratamento irregular de dados pessoais nos termos da LGPD. A ANPD pode aplicar advertência, multa de até 2% do faturamento anual (limitada a R$ 50 milhões por infração) e até proibição do tratamento de dados. O Banco Central pode, paralelamente, aplicar sanções administrativas próprias, incluindo suspensão da participação no Open Finance. Não há imunidade por ser startup ou empresa pequena.

Como funciona a revogação de consentimento no Open Finance e quem é responsável por ela?

O cliente pode revogar o consentimento a qualquer momento, tanto pela plataforma da instituição transmissora (onde possui a conta) quanto pela da instituição receptora (que usa os dados). A revogação deve ser processada imediatamente e os dados compartilhados sob aquele consentimento não podem mais ser utilizados para novas análises. A instituição receptora é responsável por garantir que seus sistemas respeitem a revogação sem demora.

Preciso nomear um DPO (Encarregado de Proteção de Dados) na minha fintech para operar no Open Finance?

Sim, na prática, toda fintech que trata volume relevante de dados pessoais de clientes é obrigada a indicar um DPO nos termos do artigo 41 da LGPD. A ANPD orienta que o porte da empresa não afasta essa obrigação quando o tratamento envolve dados financeiros em escala. O DPO pode ser um colaborador interno ou um serviço externo contratado, mas precisa ter canal de comunicação público e acesso direto à alta direção.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.