A Relação Entre LGPD e Open Finance
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e o Open Finance compartilham um princípio fundamental: o titular dos dados é quem manda. Enquanto o Open Finance permite o compartilhamento de informações financeiras entre instituições, a LGPD garante que esse compartilhamento aconteça de forma segura, transparente e sob controle do consumidor.
Essa dupla regulamentação — Banco Central pelo lado financeiro, ANPD (Autoridade Nacional de Proteção de Dados) pelo lado da privacidade — cria uma das estruturas de proteção mais robustas do mundo para dados financeiros de consumidores.
Segundo levantamento da ANPD publicado em 2025, o setor financeiro lidera em conformidade com a LGPD, com 94% das instituições participantes do Open Finance em plena adequação. Para entender melhor como o ecossistema funciona, confira nosso guia completo sobre Open Finance.
Seus Direitos Garantidos pela LGPD no Open Finance
A LGPD estabelece uma série de direitos que se aplicam diretamente ao contexto do Open Finance. Conheça cada um deles:
Direito ao Consentimento Informado
Nenhuma instituição pode compartilhar seus dados sem autorização explícita. O consentimento deve ser:
- Livre: você não pode ser forçado a compartilhar dados como condição para abrir conta ou contratar serviço
- Informado: a instituição deve explicar claramente quais dados serão compartilhados, com quem e para qual finalidade
- Inequívoco: a autorização deve ser uma ação afirmativa clara (não vale caixinha pré-marcada)
- Específico: cada finalidade exige um consentimento separado
Direito à Revogação
Você pode cancelar qualquer consentimento a qualquer momento, sem necessidade de justificativa. A revogação deve ser tão fácil quanto a autorização — se foi um clique para autorizar, deve ser um clique para revogar.
Direito de Acesso
Você tem o direito de saber exatamente quais dados estão sendo compartilhados, com quais instituições e para quais finalidades. As instituições são obrigadas a fornecer essa informação de forma clara e acessível.
Direito à Correção
Se algum dado compartilhado estiver incorreto — por exemplo, um endereço desatualizado ou um saldo errado — você pode solicitar a correção à instituição de origem. A correção deve ser propagada para todas as instituições que receberam aquele dado.
Direito à Eliminação
Você pode solicitar a exclusão dos seus dados pessoais após o término do consentimento. A instituição receptora é obrigada a eliminar os dados, salvo em casos de obrigação legal de retenção (como exigências do Banco Central para prevenção a lavagem de dinheiro).
Direito à Portabilidade
A LGPD garante que seus dados possam ser transferidos de uma instituição para outra. No contexto do Open Finance, isso se traduz na portabilidade de informações financeiras, facilitando a troca de banco ou corretora.
Como a LGPD Regula o Compartilhamento de Dados
O compartilhamento de dados no Open Finance opera sob a base legal do consentimento (Art. 7º, I da LGPD). Isso significa que:
| Aspecto | Regra da LGPD | Aplicação no Open Finance |
|---|---|---|
| Base legal | Consentimento do titular | Autorização via app bancário |
| Finalidade | Específica e declarada | Definida no momento do consentimento |
| Necessidade | Apenas dados essenciais | Consentimento granular por categoria |
| Prazo | Definido e limitado | Máximo de 12 meses, renovável |
| Revogação | A qualquer momento | Instantânea pelo app |
| Transparência | Informação clara ao titular | Painel de consentimentos ativos |
| Segurança | Medidas técnicas adequadas | Criptografia, autenticação multifator |
Importante: a LGPD estabelece que os dados só podem ser utilizados para a finalidade declarada no momento do consentimento. Se você autorizou o compartilhamento para análise de crédito, a instituição receptora não pode usar esses dados para marketing sem uma nova autorização.
Quem Fiscaliza a Proteção dos Seus Dados
Dois órgãos atuam na fiscalização:
Banco Central do Brasil: responsável pela regulamentação técnica e operacional do Open Finance. Fiscaliza o cumprimento das normas de compartilhamento, segurança das APIs e conduta das instituições participantes. Pode aplicar multas, suspensões e até exclusão do ecossistema.
ANPD (Autoridade Nacional de Proteção de Dados): responsável pela fiscalização do cumprimento da LGPD. Atua em questões de consentimento, finalidade, segurança e direitos do titular. Pode aplicar multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.
Essa dupla supervisão significa que as instituições financeiras estão sujeitas a dois regimes regulatórios simultâneos — um incentivo forte para manter a conformidade.
Situações Práticas: Como a LGPD Protege Você
Cenário 1: Compartilhamento Não Autorizado
Se uma instituição compartilhar seus dados sem consentimento, ela viola tanto as regras do Open Finance quanto a LGPD. Você pode:
- Registrar reclamação no Banco Central (via sistema RDR)
- Denunciar à ANPD pelo canal oficial
- Buscar reparação judicial por danos morais e materiais
Cenário 2: Uso Indevido de Dados
Você autorizou o compartilhamento para análise de crédito, mas a instituição usou seus dados para enviar propaganda. Nesse caso:
- A instituição violou o princípio da finalidade (LGPD)
- Você pode revogar o consentimento imediatamente
- Pode exigir a eliminação dos dados e denunciar à ANPD
Cenário 3: Dados Incorretos Impactando Crédito
Se dados incorretos compartilhados via Open Finance resultaram na negação de crédito:
- Exerça o direito de acesso para verificar quais dados foram compartilhados
- Solicite correção à instituição de origem
- Peça reanálise do crédito com os dados corrigidos
Se quiser entender o passo a passo para gerenciar seus dados, leia nosso artigo sobre como compartilhar dados no Open Finance.
Boas Práticas Para Proteger Seus Dados
Revise consentimentos regularmente. Acesse a área de Open Finance nos seus apps bancários pelo menos uma vez por mês. Revogue consentimentos que não são mais necessários.
Leia os termos antes de autorizar. Parece óbvio, mas muitos consumidores autorizam compartilhamentos sem ler quais dados serão enviados e para qual finalidade. Reserve 30 segundos para verificar.
Use apenas canais oficiais. Nunca autorize compartilhamentos por links enviados por WhatsApp, e-mail ou redes sociais. O processo legítimo acontece exclusivamente dentro dos apps das instituições autorizadas pelo Banco Central.
Monitore seus extratos. Se notar movimentações estranhas ou ofertas suspeitas de instituições que você não reconhece, verifique seus consentimentos ativos e denuncie.
Mantenha seus dados cadastrais atualizados. Dados desatualizados podem gerar análises incorretas. Mantenha endereço, telefone e e-mail atualizados nos seus bancos.
O Que Acontece em Caso de Vazamento
Mesmo com todas as proteções, nenhum sistema é 100% imune a incidentes. Em caso de vazamento de dados no Open Finance:
Obrigação de comunicação: a instituição responsável deve comunicar a ANPD e os titulares afetados em prazo razoável, detalhando quais dados foram comprometidos e as medidas adotadas.
Direito à reparação: a LGPD garante indenização por danos materiais e morais decorrentes de vazamentos. A responsabilidade é da instituição que tinha a custódia dos dados no momento do incidente.
Medidas imediatas: se você for notificado de um vazamento, altere imediatamente senhas de acesso, revogue consentimentos ativos com a instituição afetada e monitore seus extratos e score de crédito.
Vale destacar que, segundo o Banco Central, desde o lançamento do Open Finance em 2021, não houve registro de vazamentos de dados diretamente atribuídos ao ecossistema. As camadas de segurança — criptografia, certificados digitais ICP-Brasil e autenticação multifator — têm se mostrado eficazes.
LGPD e Open Finance: Aliados, Não Adversários
Existe um equívoco comum de que LGPD e Open Finance são contraditórios — um protege dados enquanto o outro incentiva o compartilhamento. Na verdade, são complementares:
A LGPD garante que o compartilhamento aconteça de forma ética e controlada. O Open Finance garante que o compartilhamento gere valor real para o consumidor.
Juntos, eles criam um ambiente onde você pode aproveitar os benefícios de um sistema financeiro aberto — como crédito mais barato e ofertas personalizadas — sem abrir mão da privacidade e do controle sobre seus dados.
Perguntas Frequentes
A LGPD se aplica a todos os dados compartilhados no Open Finance?
Sim. Todos os dados pessoais e financeiros compartilhados no Open Finance estão sujeitos à LGPD. Isso inclui dados cadastrais (nome, CPF), transacionais (extratos, saldos), de crédito, investimentos e seguros. As instituições devem cumprir todos os princípios da lei: finalidade, necessidade, transparência, segurança e responsabilização.
Posso processar uma instituição que usar meus dados sem autorização?
Sim. A LGPD prevê responsabilização civil das instituições que tratam dados pessoais de forma irregular. Você pode buscar reparação por danos materiais e morais na Justiça. Além disso, pode registrar denúncia na ANPD, que pode aplicar multas de até R$ 50 milhões. No âmbito do Open Finance, o Banco Central também pode punir a instituição com suspensão ou exclusão do ecossistema.
O Open Finance pode acessar dados que eu não autorizei?
Não. O sistema foi desenhado para que apenas os dados expressamente autorizados sejam compartilhados. O consentimento é granular — você escolhe categoria por categoria. As APIs do Open Finance são certificadas pelo Banco Central e só transmitem os dados incluídos no escopo do consentimento. Qualquer acesso fora do autorizado configura violação da LGPD e das regras do Banco Central.
Como saber se meus dados estão sendo usados corretamente?
Acesse a seção de Open Finance no aplicativo da instituição onde autorizou o compartilhamento. Lá você encontra o painel de consentimentos ativos com detalhes sobre quais dados foram compartilhados, com quem e para qual finalidade. Se suspeitar de uso indevido, revogue o consentimento e registre reclamação no Banco Central e na ANPD.
A LGPD protege meus dados mesmo depois que o consentimento expira?
Sim. Quando o consentimento expira ou é revogado, a instituição receptora deve interromper o uso dos dados e, na maioria dos casos, eliminá-los. A exceção são situações de obrigação legal — como retenção de dados para compliance com normas antilavagem de dinheiro. Mesmo nesses casos, os dados só podem ser mantidos para a finalidade regulatória específica, não para uso comercial.
