Open Finance: dados financeiros e LGPD em 2026

Por SAFIE · 19 de junho de 2026 · 4 min de leitura

A notícia de origem encaminhada para este artigo não guarda relação com o tema Open Finance. Por isso, o conteúdo abaixo foi desenvolvido com base nas fontes regulatórias primárias do Banco Central do Brasil, da ANPD e da legislação vigente, conforme o compromisso editorial do SAFIE Fintechs de oferecer análises tecnicamente fundamentadas.

O Open Finance no Brasil completou sua fase de maturação operacional em 2025 e, em meados de 2026, ultrapassa a marca de 50 milhões de consentimentos ativos registrados na plataforma gerida pelo Banco Central, segundo dados do próprio Bacen. O sistema permite que pessoas físicas e jurídicas autorizem o compartilhamento de seus dados financeiros entre instituições participantes, criando um ecossistema de serviços mais competitivo e personalizado.

Para fintechs, o Open Finance representa tanto uma fonte de dados estruturados quanto um conjunto denso de obrigações regulatórias. Entender o que pode e o que não pode ser feito com esses dados é condição mínima para operar dentro da legalidade e evitar exposição a sanções do Banco Central e da Autoridade Nacional de Proteção de Dados (ANPD).

Contexto jurídico e regulatório

O arcabouço regulatório do Open Finance

O Open Finance brasileiro foi estruturado pela Resolução Conjunta nº 1, de 4 de maio de 2020, editada conjuntamente pelo Banco Central e pelo Conselho Monetário Nacional. Esse normativo definiu as fases de implementação, os participantes obrigatórios e voluntários, e as regras gerais de compartilhamento de dados e serviços. Em 2023, a Resolução BCB nº 6/2023 consolidou atualizações sobre o escopo de dados e os requisitos técnicos de segurança das APIs.

O fundamento legal mais amplo é a Lei Complementar nº 105/2001 (sigilo bancário), que foi reinterpretada à luz do Open Finance: o compartilhamento autorizado pelo próprio titular não configura quebra de sigilo. O consentimento do usuário é, portanto, o elemento jurídico central que legitima toda a operação de troca de dados dentro do ecossistema.

A LGPD e o papel da ANPD

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) incide diretamente sobre o Open Finance. Os dados financeiros compartilhados se enquadram como dados pessoais comuns (CPF, histórico de transações, saldo) e, em alguns casos, como dados sensíveis, quando revelam, por inferência, informações sobre saúde ou orientação política do titular.

A base legal utilizada pelas instituições participantes é o legítimo interesse do titular e o consentimento específico, conforme o artigo 7º da LGPD. O consentimento no Open Finance tem requisitos próprios: deve ser livre, informado, inequívoco e limitado a uma finalidade declarada, com prazo máximo de 12 meses para cada autorização, segundo as regras do Bacen.

A ANPD e o Banco Central firmaram em 2022 um Acordo de Cooperação Técnica para coordenar fiscalizações. Na prática, uma fintech que violar regras de tratamento de dados dentro do Open Finance pode ser autuada pelos dois órgãos simultaneamente, acumulando sanções administrativas distintas. A multa da ANPD pode chegar a 2% do faturamento bruto do grupo econômico no Brasil, limitada a R$ 50 milhões por infração, conforme o artigo 52 da LGPD.

Responsabilidade das instituições receptoras

A Resolução Conjunta nº 1/2020 estabelece que a instituição receptora de dados (chamada de "receptor") assume responsabilidade solidária pelo uso indevido das informações recebidas. Isso significa que, mesmo que a origem do dado seja outra instituição, a fintech que o utilizou para uma finalidade não consentida responde pelos danos causados ao titular.

Impacto prático

Para fintechs em estágio inicial ou em crescimento, o primeiro impacto prático é a necessidade de estruturar um programa de governança de dados antes de iniciar a operação como participante do Open Finance. Isso inclui nomear um Encarregado de Dados (DPO), mapear os fluxos de dados recebidos via APIs, e definir políticas internas de retenção e descarte compatíveis com o prazo do consentimento.

Do ponto de vista contábil, os custos de adequação ao Open Finance envolvem investimentos em infraestrutura tecnológica (certificação nas APIs do Diretório de Participantes do Bacen), contratação de parceiros de tecnologia homologados, e eventual criação de área de compliance dedicada. Esses custos devem ser reconhecidos como despesas operacionais ou, quando gerarem benefícios econômicos futuros duradouros, como ativos intangíveis conforme o CPC 04 (R1).

Para bancos digitais e instituições de maior porte, o Open Finance abre espaço para modelos de negócio baseados em análise de crédito ampliada, ofertas personalizadas de produtos e redução de custos de originação. Contudo, toda oferta baseada em dados do Open Finance precisa ter rastreabilidade do consentimento que a originou, sob pena de expor a instituição a reclamações no Bacen e a ações judiciais de danos morais por uso indevido de dados pessoais.

Considerações finais

O Open Finance não é apenas uma inovação tecnológica: é uma transformação na estrutura de direitos sobre dados financeiros no Brasil. O titular passa a ser o protagonista, e as instituições, incluindo fintechs, são meras guardiãs temporárias das informações que ele decide compartilhar. Ignorar essa lógica jurídica cria riscos regulatórios concretos e mensuráveis.

Founders e gestores de fintechs devem tratar a conformidade com o Open Finance como parte do modelo de negócio, e não como custo burocrático. Instituições que dominam a governança de dados ganham vantagem competitiva real: mais confiança dos usuários, menos fricção regulatória e maior capacidade de escalar com segurança jurídica.

Perguntas frequentes

Minha fintech é obrigada a participar do Open Finance?

Depende do tipo de autorização junto ao Banco Central. Instituições enquadradas como bancos múltiplos, bancos comerciais, instituições de pagamento de grande porte (acima dos limites definidos pelo Bacen) e outras listadas no Anexo I da Resolução Conjunta nº 1/2020 são participantes obrigatórias. Fintechs menores, como IPs de menor porte, podem participar voluntariamente. Consulte o Diretório de Participantes do Bacen para verificar sua categoria.

Qual é o prazo máximo de um consentimento no Open Finance?

O Banco Central estabelece o prazo máximo de 12 meses para cada consentimento de compartilhamento de dados. Após esse período, o usuário precisa renovar a autorização. Para serviços de iniciação de pagamento, o prazo pode ser menor, dependendo da configuração do consentimento.

O que acontece se minha fintech usar dados do Open Finance para uma finalidade não autorizada?

A instituição receptora responde solidariamente pelos danos causados ao titular, conforme a Resolução Conjunta nº 1/2020. Além disso, fica sujeita a sanções administrativas do Banco Central (advertência, multa, suspensão de atividades) e da ANPD (multa de até 2% do faturamento, limitada a R$ 50 milhões por infração), além de eventuais ações judiciais de reparação de danos morais.

Dados financeiros podem ser considerados dados sensíveis pela LGPD?

Diretamente, não: a LGPD não classifica dados financeiros como sensíveis em seu artigo 5º, inciso II. Porém, quando o tratamento desses dados permite inferir informações sobre saúde, orientação política ou outras categorias sensíveis, o risco jurídico aumenta significativamente. Algumas empresas adotam tratamento equivalente ao de dados sensíveis por precaução, o que é considerado boa prática de compliance.

Preciso de DPO para operar no Open Finance?

A LGPD exige a indicação de um Encarregado de Dados (DPO) para todos os agentes de tratamento, salvo exceções definidas pela ANPD para microempresas e empresas de pequeno porte. Para fintechs participantes do Open Finance, a ANPD e o Bacen recomendam fortemente a designação de DPO, dada a natureza sensível dos dados tratados. A ausência de DPO pode ser considerada agravante em eventuais processos administrativos.

Fontes e referências

InfoMoney
Banco Central do Brasil. Resolução Conjunta nº 1, de 4 de maio de 2020. Disponível em: https://www.bcb.gov.br
Banco Central do Brasil. Resolução BCB nº 6, de 2023. Disponível em: https://www.bcb.gov.br
Brasil. Lei Geral de Proteção de Dados Pessoais (LGPD). Lei nº 13.709, de 14 de agosto de 2018. Disponível em: https://www.planalto.gov.br
Brasil. Lei Complementar nº 105, de 10 de janeiro de 2001 (Sigilo Bancário). Disponível em: https://www.planalto.gov.br
Comitê de Pronunciamentos Contábeis. CPC 04 (R1): Ativo Intangível. Disponível em: https://www.cpc.org.br
ANPD e Banco Central do Brasil. Acordo de Cooperação Técnica, 2022. Disponível em: https://www.gov.br/anpd
Banco Central do Brasil. Painel Open Finance: estatísticas de consentimentos ativos. Disponível em: https://openfinancebrasil.org.br
Nota: a fonte original indicada pelo solicitante (InfoMoney, árbitros da Copa do Mundo) não possui relação com o tema Open Finance e não foi utilizada como base editorial deste artigo.