LGPD e Proteção de Dados 25 de maio de 2026 12 min de leitura

LGPD o que é: guia jurídico para fintechs e startups

A LGPD impõe obrigações concretas a qualquer empresa que trate dados pessoais no Brasil, independentemente do porte ou setor. Este artigo explica o que a Lei 13.709/2018 exige na prática, com foco nas particularidades de fintechs, startups e empresas de tecnologia financeira.

Por Renato Lellis Oliveira

Por que a LGPD ainda pega founders de surpresa em 2025

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n.º 13.709/2018, vigora integralmente desde 2020. As sanções administrativas estão em vigor desde agosto de 2021. A ANPD já aplicou a primeira multa, notificou Uber, Telegram, Telefônica e Serasa, e instaurou fiscalizações temáticas no setor financeiro. Ainda assim, uma parcela relevante de startups e fintechs opera sem mapa de dados, sem base legal definida por fluxo e sem política de resposta a incidentes.

O problema raramente é desconhecimento da existência da lei. É a crença de que adequação se resume a redigir uma política de privacidade e inserir um banner de cookies. A LGPD é um diploma de governança de dados com dentes regulatórios reais. Entendê-la corretamente é o ponto de partida.

LGPD o que é: fundamento normativo e âmbito de aplicação

A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade (art. 1.º). Suas normas gerais são de interesse nacional e vinculam União, Estados, Distrito Federal e Municípios (parágrafo único do art. 1.º).

O âmbito de aplicação é amplo. A lei alcança qualquer operação de tratamento realizada por pessoa natural ou jurídica, independentemente do meio, do país de sede ou de onde estejam localizados os dados, desde que: (i) o tratamento ocorra em território nacional; (ii) a atividade tenha por objetivo a oferta de bens ou serviços a pessoas localizadas no Brasil; ou (iii) os dados tenham sido coletados no Brasil (art. 3.º). Para fintechs com operações parcialmente offshore, esse ponto é crítico e frequentemente subestimado.

Conceitos-chave que toda equipe jurídica precisa dominar

A LGPD cria um conjunto de conceitos próprios que estruturam toda a análise de conformidade. Os mais relevantes para o contexto de startups e fintechs são:

  • Dado pessoal (art. 5.º, I): qualquer informação relacionada a pessoa natural identificada ou identificável. CPF, e-mail, IP, número de conta e comportamento de navegação são dados pessoais.
  • Dado pessoal sensível (art. 5.º, II): dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dado genético ou biométrico. Recebem proteção reforçada e bases legais mais restritas (art. 11).
  • Controlador (art. 5.º, VI): quem toma as decisões sobre o tratamento. Em regra, a startup ou fintech que determina a finalidade e os meios.
  • Operador (art. 5.º, VII): quem realiza o tratamento em nome do controlador. Provedores de nuvem, processadoras de pagamento e ferramentas de CRM frequentemente ocupam essa posição.
  • Encarregado ou DPO (art. 5.º, VIII): pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre a organização, os titulares e a ANPD.
  • Tratamento (art. 5.º, X): toda operação realizada com dados pessoais, incluindo coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, modificação, comunicação, transferência, difusão ou extração.

A amplitude do conceito de tratamento é intencional. Qualquer empresa que armazene um cadastro de cliente, envie um e-mail de cobrança ou realize análise de crédito automatizada está tratando dados pessoais e, portanto, sujeita à lei.

As 10 bases legais do art. 7.º: onde a maioria dos erros começa

A LGPD proíbe o tratamento de dados sem fundamento em ao menos uma das dez hipóteses taxativas do art. 7.º. O controlador não apenas precisa enquadrar cada operação em uma base legal — precisa ser capaz de demonstrá-lo perante a ANPD. As bases mais utilizadas no contexto de fintechs e startups de tecnologia financeira são:

Base Legal Artigo Aplicação Típica
Consentimento Art. 7.º, I Marketing direto, uso de dados para fins além do contrato
Execução de contrato Art. 7.º, V Abertura de conta digital, processamento de pagamentos
Cumprimento de obrigação legal Art. 7.º, II KYC/AML, obrigações de PLD-FT perante o BACEN/COAF
Interesse legítimo Art. 7.º, IX Prevenção a fraudes, melhoria de produto, segurança da informação
Proteção do crédito Art. 7.º, X Consulta a bureaus de crédito, análise de risco

Uma mesma empresa pode — e em geral deve — utilizar bases legais diferentes para fluxos de tratamento distintos. Usar consentimento como base universal é um erro técnico: o consentimento pode ser revogado a qualquer momento pelo titular (art. 8.º, § 5.º), o que torna operações essenciais do negócio juridicamente frágeis se forem fundadas exclusivamente nele.

O que a ANPD pode fazer na prática: sanções do art. 52

O regime sancionatório da LGPD é aplicado exclusivamente pela ANPD (art. 52, caput). As penalidades administrativas disponíveis incluem, entre outras:

  • Advertência com prazo para medidas corretivas (inciso I);
  • Multa simples de até 2% do faturamento da pessoa jurídica no último exercício, excluídos tributos, limitada a R$ 50 milhões por infração (inciso II);
  • Multa diária, observado o mesmo teto (inciso III);
  • Publicização da infração (inciso IV);
  • Bloqueio ou eliminação dos dados objeto da infração (incisos V e VI);
  • Suspensão parcial do funcionamento do banco de dados por até 6 meses, prorrogável (inciso X).

As sanções não são excludentes entre si. A ANPD pode aplicar advertência, multa simples, multa diária e publicização na mesma decisão, quando as circunstâncias do caso justificarem. Para startups em fase de crescimento, a publicização da infração e a suspensão de banco de dados têm potencial de impacto operacional muito superior ao valor nominal da multa.

A Resolução CD/ANPD n.º 4/2023 estabeleceu a dosimetria e a aplicação de sanções, classificando infrações como leves, médias ou graves. O programa de conformidade documentado está previsto expressamente no art. 52, § 1.º, VIII, como circunstância atenuante. Investir em conformidade antes de um processo sancionatório tem fundamento jurídico direto na redução da dosimetria.

Framework prático: o que uma fintech precisa implementar

A adequação à LGPD não é um projeto com data de conclusão. É um programa contínuo. Do ponto de vista estrutural, as obrigações centrais para fintechs e startups de médio e grande porte são:

  1. Mapeamento de dados (data mapping): inventário de todos os fluxos de tratamento, identificando: quais dados são coletados, com qual finalidade, com qual base legal, por quanto tempo são retidos e com quem são compartilhados.
  2. Designação do Encarregado (DPO): obrigatória para controladores que não se enquadrem como agentes de tratamento de pequeno porte conforme a Resolução CD/ANPD n.º 2/2022. O DPO atua como canal entre a empresa, os titulares e a ANPD (art. 41).
  3. Relatório de Impacto à Proteção de Dados (RIPD): exigível quando o tratamento puder gerar risco às liberdades civis e direitos fundamentais dos titulares (art. 38). Para fintechs que realizam scoring automatizado, a elaboração do RIPD não é opcional — é a evidência que demonstra que o risco foi avaliado.
  4. Política de resposta a incidentes: o controlador deve comunicar à ANPD e ao titular a ocorrência de incidente que possa acarretar risco ou dano relevante em prazo razoável (art. 48). A ausência de protocolo interno é agravante na dosimetria.
  5. Gestão contratual de operadores: contratos com fornecedores que acessam dados pessoais precisam conter cláusulas que reflitam as obrigações da LGPD. O operador responde solidariamente quando descumpre as instruções do controlador (art. 42, § 1.º, I).
  6. Atendimento aos direitos dos titulares: acesso, correção, portabilidade, eliminação, revogação do consentimento e oposição são direitos exercíveis pelo titular a qualquer tempo (art. 18). A fintech precisa de canal funcional para recebê-los e prazo para respondê-los.

Nuances críticas que fintechs frequentemente ignoram

Dados financeiros e a zona cinzenta dos dados sensíveis

A LGPD define dado sensível de forma taxativa no art. 5.º, II. Score de crédito, histórico de inadimplência e comportamento de pagamento não constam literalmente da lista. Contudo, interpretação contextual admitida pela própria ANPD em guias orientativos reconhece que informações financeiras podem demandar proteção equiparada à de dados sensíveis quando sua utilização tenha capacidade de discriminar, segmentar ou impactar diretamente direitos do titular. A Resolução Conjunta BCB n.º 1/2020, no contexto do Open Finance, também exclui expressamente pontuações de crédito do escopo de dados cadastrais compartilháveis, sinalizando o tratamento diferenciado. Fintechs que operam com análise de crédito precisam endereçar esse ponto na política interna.

Decisões automatizadas e o art. 20

O art. 20 da LGPD garante ao titular o direito de solicitar revisão de decisões tomadas com base exclusivamente em tratamento automatizado de dados pessoais que afetem seus interesses — incluindo decisões sobre perfil pessoal, profissional, de consumo e de crédito. Fintechs que utilizam modelos de machine learning para concessão ou recusa de crédito precisam ter processo documentado de revisão humana e ser capazes de informar os critérios utilizados, observados os segredos comercial e industrial (art. 20, § 1.º). A ausência desse processo é uma das infrações de maior risco de autuação no setor financeiro.

Open Finance e a multiplicação de controladores

No ecossistema de Open Finance, uma mesma operação de compartilhamento de dados pode envolver múltiplas instituições atuando simultaneamente como controladoras. O consentimento do titular, nesse caso, precisa ser específico para cada finalidade e cada destinatário. A base legal de execução de contrato (art. 7.º, V) não substitui o consentimento quando o compartilhamento extrapola o escopo da relação original com o titular.

Agentes de pequeno porte: flexibilizações têm limites precisos

A Resolução CD/ANPD n.º 2/2022 concede benefícios a startups e microempresas com receita bruta anual de até R$ 4,8 milhões — entre eles, dispensa de indicação de DPO (desde que disponibilizado canal de comunicação com titulares) e prazos em dobro para atendimento de solicitações de titulares e comunicação de incidentes. Mas a norma é explícita: a dispensa ou flexibilização de certas obrigações não isenta esses agentes do cumprimento dos demais dispositivos da LGPD, inclusive bases legais, princípios e direitos dos titulares. Startups que crescem rapidamente precisam monitorar quando saem do enquadramento de pequeno porte — a transição não é automática nem comunicada pela ANPD.

Síntese acionável: por onde começar

Adequação à LGPD tem custo. Descumprimento tem custo maior — e mais imprevisível. A sequência lógica de implementação parte do mapeamento de dados, passa pela definição de bases legais por fluxo, pela estruturação do atendimento a titulares e pela elaboração do RIPD para tratamentos de alto risco. A escolha do DPO — interno ou externo — vem em seguida, junto à revisão dos contratos com operadores.

O ponto de maior alavancagem para fintechs em 2025 é o endereçamento das decisões automatizadas e do uso de dados financeiros em contexto de Open Finance. São os dois vetores de maior exposição regulatória e de maior probabilidade de fiscalização temática pela ANPD no setor.

O Log.Law atua em proteção de dados e privacidade, com foco em fintechs, startups e empresas reguladas. Para avaliar um cenário particular, o contato está disponível no site.

FAQ

Minha startup tem menos de 10 funcionários e faturamento baixo. A LGPD se aplica mesmo assim?

Sim. A LGPD não estabelece limites de porte para a aplicação de suas regras substantivas. O que existe é um regime diferenciado de obrigações procedimentais para agentes de tratamento de pequeno porte (Resolução CD/ANPD n.º 2/2022), como dispensa do DPO formal e prazos em dobro. Mas as bases legais, os princípios do art. 6.º e os direitos dos titulares do art. 18 valem integralmente para qualquer organização que trate dados pessoais. A primeira multa aplicada pela ANPD no Brasil foi a uma microempresa.

Qual é a diferença entre controlador e operador, e por que isso importa na prática?

O controlador decide a finalidade e os meios do tratamento. O operador executa o tratamento em nome do controlador, seguindo suas instruções. A distinção importa porque o operador responde solidariamente ao controlador quando descumpre as obrigações da LGPD ou age fora das instruções recebidas (art. 42, § 1.º, I). Na prática, toda fintech que contrata um provedor de nuvem, uma ferramenta de analytics ou uma plataforma de CRM está estabelecendo uma relação controlador-operador que precisa ser formalizada contratualmente com cláusulas específicas de proteção de dados.

Minha fintech usa modelos de IA para análise de crédito. Qual é a obrigação específica da LGPD?

O art. 20 da LGPD garante ao titular o direito de solicitar revisão de decisões tomadas com base exclusivamente em tratamento automatizado que afetem seus interesses, inclusive decisões de crédito. O controlador deve informar os critérios utilizados, observados os segredos comercial e industrial (art. 20, § 1.º). Isso significa que a fintech precisa ter processo documentado de revisão humana e ser capaz de responder à solicitação do titular de forma inteligível. Modelos de caixa-preta sem qualquer capacidade de explicabilidade criam risco direto de autuação.

O consentimento do titular é sempre necessário para tratar dados pessoais?

Não. O consentimento é apenas uma das dez bases legais do art. 7.º da LGPD. Fintechs podem — e frequentemente devem — utilizar outras bases, como execução de contrato (art. 7.º, V) para operações inerentes ao serviço prestado, cumprimento de obrigação legal (art. 7.º, II) para obrigações de KYC e PLD-FT, ou proteção do crédito (art. 7.º, X) para consultas a bureaus. Apoiar toda a operação no consentimento cria fragilidade, pois ele pode ser revogado a qualquer momento (art. 8.º, § 5.º), o que pode inviabilizar operações essenciais do negócio se não houver base legal subsidiária identificada.

Próximo passo

Tem dúvidas sobre o seu caso específico?

Fale diretamente com Renato Lellis Oliveira, Sócio-fundador do Log.Law