Por que o art. 7º da LGPD não resolve o problema das fintechs
A maioria das fintechs estrutura seu programa de compliance em torno das dez bases legais do art. 7º da LGPD. Consentimento, execução de contrato, legítimo interesse: categorias familiares, relativamente flexíveis, amplamente discutidas. O problema começa quando o produto exige biometria facial no onboarding, score comportamental com dados de saúde financeira ou autenticação por impressão digital.
Nesses casos, a empresa não está mais no território do art. 7º. Está diante do art. 11, que governa o tratamento de dados pessoais sensíveis e possui um rol taxativo e mais restrito. Tratar dados sensíveis com base legal do art. 7º é uma infração à LGPD, independentemente de qualquer política de privacidade publicada no site.
O que a LGPD classifica como dado sensível
O art. 5º, inciso II, da Lei nº 13.709/2018 define dado pessoal sensível como aquele que revela origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Para fintechs, os dados sensíveis mais frequentes são:
- Biométricos: reconhecimento facial, leitura de impressão digital e padrões de íris usados em KYC (Know Your Customer) e autenticação de transações.
- Dados de saúde inferidos: modelos de scoring que incorporam padrões de consumo em farmácias, planos de saúde ou comportamento em períodos de afastamento médico.
- Dados comportamentais sensíveis: qualquer tratamento que, combinado, revele filiação política ou convicção religiosa do titular.
Um ponto técnico frequentemente ignorado: uma foto comum não é, por si só, dado biométrico. Torna-se sensível apenas quando submetida a tratamento técnico que extrai pontos de identificação da face. O momento em que a imagem passa pelo algoritmo de reconhecimento facial é o momento em que o dado muda de categoria jurídica.
As bases legais do art. 11: o que está disponível e o que está vedado
O art. 11 da LGPD admite o tratamento de dados sensíveis em duas situações: (i) consentimento específico e destacado do titular; ou (ii) sem consentimento, nas hipóteses taxativas do inciso II. O ponto crítico é entender que esse rol não inclui todas as bases do art. 7º.
Bases expressamente vedadas para dados sensíveis:
- Legítimo interesse do controlador ou do operador (art. 7º, IX).
- Proteção ao crédito (art. 7º, X).
- Execução de contrato ou procedimentos preliminares, quando usada isoladamente sem enquadramento nas alíneas do inciso II do art. 11.
Bases disponíveis sem consentimento (art. 11, II):
| Alínea | Hipótese | Aplicação típica em fintechs |
|---|---|---|
| a | Cumprimento de obrigação legal ou regulatória | KYC obrigatório por Circular BACEN 3.978 e Resolução BCB 44; coleta de biometria exigida por norma prudencial |
| d | Exercício regular de direitos em processo judicial, administrativo ou arbitral | Litígios envolvendo autenticação de transações; comprovação de identidade em disputas de chargeback |
| g | Prevenção à fraude e segurança do titular nos processos de identificação e autenticação em sistemas eletrônicos | Onboarding digital com reconhecimento facial; autenticação biométrica em app de pagamento |
A alínea g do art. 11, II é, na prática, a mais relevante para fintechs. Ela autoriza o uso de biometria sem consentimento quando a finalidade é identificação e autenticação em sistemas eletrônicos e a medida é necessária para prevenir fraude ou garantir a segurança do titular. Mas há uma restrição que passam em branco: essa base não autoriza uso secundário do dado biométrico para perfilamento comportamental, marketing ou treinamento de modelos de risco de crédito. Cada finalidade nova exige uma base legal nova.
O consentimento para dados sensíveis tem requisitos diferentes
Quando a fintech opta pelo consentimento como base legal para dados sensíveis, o padrão exigido pelo art. 11, I é mais rígido do que o consentimento comum do art. 7º, I. O consentimento deve ser específico, destacado e para finalidades determinadas. Um checkbox genérico dentro dos Termos de Uso não atende a essa exigência.
Na prática, isso significa:
- Interface com destaque visual separado dos demais termos.
- Descrição da finalidade específica do tratamento biométrico ou de saúde.
- Opt-in granular: um consentimento por finalidade, não um consentimento global.
- Mecanismo claro de revogação, com consequências informadas ao titular.
A fragilidade do consentimento como base para dados operacionalmente críticos é alta: o titular pode revogá-lo a qualquer momento, e a revogação impõe a interrupção do tratamento. Uma fintech que usa consentimento como única base para autenticação biométrica de transações cria um risco operacional relevante. A alínea g do art. 11, II costuma ser juridicamente mais robusta para essa finalidade específica.
O que a Resolução CD/ANPD nº 18/2024 muda na equação
A Resolução CD/ANPD nº 18/2024, publicada em julho de 2024, regulamentou as atribuições do encarregado (DPO) e trouxe implicações diretas para fintechs que tratam dados sensíveis. O DPO passa a ter atribuição expressa de orientar o agente de tratamento na elaboração de RIPD, no registro de incidentes e na implementação de mecanismos de mitigação de riscos, nos termos do art. 16 da Resolução.
Isso não é burocracia: significa que a fintech que trata dados biométricos em larga escala precisa de um DPO capaz de avaliar se o tratamento está amparado pela base correta do art. 11 e se o RIPD está atualizado para cada nova funcionalidade que usa esses dados.
Um dado de contexto relevante: a Deliberação CD-10/2025 passou a prever multas diárias por descumprimento de medidas cautelares da ANPD. Fintechs que usam dados biométricos e comportamentais em escala, sem documentação adequada da base legal, estão diretamente no perímetro de risco.
Quatro erros recorrentes que a ANPD já sinalizou
1. Tratar biometria com base em “execução de contrato”. Essa base existe no art. 7º, mas não está prevista no art. 11. Usar a alínea g do inciso II (prevenção à fraude) ou o consentimento específico é o caminho correto para dados biométricos.
2. Aplicar legítimo interesse a dados de saúde ou comportamentais sensíveis. O Guia Orientativo da ANPD sobre Legítimo Interesse é explícito: essa base não se aplica a dados sensíveis. Nenhuma Avaliação de Legítimo Interesse (LIA) supre essa vedação legal.
3. Usar um consentimento único para múltiplas finalidades sensíveis. O art. 11 exige granularidade. Um único aceite de “uso de biometria” não cobre simultaneamente autenticação, prevenção à fraude e treinamento de modelo antifraude. São finalidades distintas, cada uma exige sua base.
4. Não atualizar o mapeamento de dados quando o produto evolui. A base legal documenta o tratamento no momento do mapeamento. Quando uma fintech adiciona reconhecimento facial ao app ou integra um modelo de score que incorpora dados comportamentais sensíveis, o mapeamento desatualizado cria exposição. A ausência de registro das operações de tratamento (art. 37 da LGPD) foi uma das infrações mais recorrentes nas autuações de 2024.
Framework prático: como mapear dados sensíveis na operação de uma fintech
Antes de definir a base legal, é necessário responder três perguntas em sequência:
- O dado é sensível nos termos do art. 5º, II? Verificar se envolve biometria, saúde, origem étnica, religião, opinião política, vida sexual ou dado genético.
- Existe obrigação legal ou regulatória que impõe esse tratamento? Se sim, a alínea a do art. 11, II é a base mais sólida e dispensa consentimento.
- A finalidade é identificação ou autenticação para prevenir fraude? Se sim, a alínea g do art. 11, II cobre esse tratamento específico, desde que o dado não seja reutilizado para outra finalidade sem nova base legal.
Se nenhuma das hipóteses do inciso II se encaixar, o caminho é o consentimento específico e destacado do art. 11, I, com toda a engenharia de interface e gestão de revogação que ele implica.
A documentação desse raciocínio no registro de operações de tratamento (ROPA) é o que diferencia uma fintech com governança real de uma que apenas publicou uma política de privacidade.
Síntese: o que precisa estar resolvido antes de lançar ou escalar
Fintechs que usam biometria, dados de saúde inferidos ou variáveis comportamentais sensíveis em seus produtos precisam ter respostas claras para quatro questões antes de escalar:
- Qual base legal do art. 11 ampara cada operação de tratamento sensível?
- O consentimento, se usado, é específico, destacado e granular por finalidade?
- O RIPD está atualizado para cada funcionalidade que usa dado sensível?
- O DPO tem autonomia e capacidade técnica para monitorar esses tratamentos, nos termos da Resolução CD/ANPD nº 18/2024?
A fase educativa da ANPD chegou ao fim. A Deliberação CD-10/2025 e o escrutínio crescente sobre fintechs confirmam que documentação inadequada da base legal para dados sensíveis já é risco regulatório concreto, não hipótese distante.
O Log.Law atua em proteção de dados e compliance regulatório para fintechs e startups. Para avaliar um cenário particular, o contato está disponível no site.
FAQ
Posso usar legítimo interesse para tratar dados biométricos no onboarding?
Não. O art. 11 da LGPD, que rege o tratamento de dados sensíveis, possui rol taxativo que não inclui o legítimo interesse. Essa base existe no art. 7º, IX, aplicável a dados pessoais não sensíveis. Para dados biométricos no onboarding, as bases mais adequadas são a alínea g do art. 11, II (prevenção à fraude e segurança do titular em processos de identificação) ou, quando houver obrigação normativa do BACEN, a alínea a do mesmo dispositivo. Nenhuma Avaliação de Legítimo Interesse supre essa vedação legal.
Minha startup se enquadra como agente de pequeno porte. Isso reduz as obrigações em relação a dados sensíveis?
Parcialmente. A Resolução CD/ANPD nº 2/2022 dispensa agentes de tratamento de pequeno porte da nomeação formal de DPO e concede prazos diferenciados para atendimento de requisições de titulares. No entanto, a dispensa é da nomeação, não das obrigações materiais de conformidade. O dever de identificar a base legal correta do art. 11 para cada operação sensível, manter o ROPA atualizado e comunicar incidentes se aplica a qualquer controlador, independente do porte. Fintechs de pequeno porte que tratam biometria ou dados de saúde em escala, especialmente com uso de tecnologias emergentes, frequentemente não se beneficiam da dispensa porque o tratamento de alto risco retira o enquadramento simplificado.
A base “execução de contrato” cobre o uso de reconhecimento facial para autenticar transações?
Não diretamente. A execução de contrato está prevista no art. 7º, V, mas esse artigo rege dados não sensíveis. Para dados biométricos, o tratamento deve estar ancorado no art. 11. A hipótese mais adequada para autenticação em transações é a alínea g do art. 11, II, que autoriza o tratamento biométrico para prevenção à fraude e segurança do titular em processos de identificação e autenticação em sistemas eletrônicos. É importante que essa finalidade esteja documentada de forma específica no ROPA e que os dados não sejam reutilizados para outras finalidades sem nova base legal.
Um modelo de score de crédito que usa variáveis comportamentais pode inadvertidamente tratar dados sensíveis?
Sim, e esse é um risco subestimado. O art. 11, § 1º, da LGPD determina que o regime de proteção reforçada se aplica a qualquer tratamento que revele dados sensíveis, mesmo que esses dados não tenham sido coletados com essa finalidade. Um modelo que cruza padrões de compra, localização e comportamento online pode revelar convicção religiosa, filiação política ou condição de saúde do titular. Quando isso ocorre, o tratamento passa a exigir base legal do art. 11, não do art. 7º. A revisão periódica das variáveis usadas em modelos de machine learning é, portanto, uma obrigação de compliance de dados, não apenas uma boa prática de engenharia.
Próximo passo
Tem dúvidas sobre o seu caso específico?
Fale diretamente com Renato Lellis Oliveira, Sócio-fundador do Log.Law