Imagine o seguinte cenário: você entrega as chaves da sua casa a um condomínio inteligente. A partir daí, as portas se abrem automaticamente, os serviços se ajustam às suas preferências e a vida parece mais simples. Entretanto, ao passo que essas facilidades são possibilitadas, cada nova cópia da chave que circula aumenta o risco de mau uso, de extravio ou até de invasão.
No Open Finance, a lógica não é diferente. Uma vez que há o consentimento aos dados financeiros, o consumidor abre caminho para produtos mais personalizados, taxas mais competitivas e maior inclusão financeira, o que é excelente. Todavia, a cada novo acesso autorizado, cresce também a responsabilidade de proteger essas “chaves digitais”.
Por trás do motor desse gigante ecossistema, existem as APIs (Application Programming Interfaces), que funcionam como pontes digitais padronizadas, permitindo que diferentes instituições financeiras, como bancos, fintechs, cooperativas de crédito e até iniciadores de pagamento, se comuniquem de forma automatizada, auditável e segura. Esse tipo de instrumento substitui, na prática, os antigos relatórios em papel e arquivos manuais por transmissões instantâneas de dados, tornando o sistema mais dinâmico e integrado.
Parece o cenário perfeito e ideal, quase que uma utopia. Entretanto, essas pontes não são neutras. Cada abertura de canal amplia a superfície de risco, pois dados sensíveis podem ser mal utilizados, incidentes de segurança podem ocorrer e, diante disso, surge a questão central: quem é que efetivamente responde pelos danos?
Para responder a esse questionamento, é necessário olhar para a Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018), as normas regulatórias do Banco Central do Brasil (BCB) e a jurisprudência recente do STF e do STJ.
Arcabouço regulatório: LGPD e Open Finance
O ecossistema do Open Finance surge da Resolução Conjunta nº 1/2020, editada pelo Conselho Monetário Nacional (CMN) e pelo Banco Central do Brasil (BCB), que inauguraram a estrutura normativa que permite a padronização do compartilhamento de dados financeiros via APIs entre instituições autorizadas, como bancos, cooperativas de crédito, sociedades de crédito direto e iniciadores de pagamento, com a ideia central é estimular a concorrência e fomentar a inovação no mercado financeiro, mas sempre sob critérios de segurança e governança.
Em seguida, o BCB editou normas complementares, entre elas a Resolução BCB nº 32/2020, que detalhou os requisitos técnicos e os procedimentos operacionais do Open Finance, definindo padrões de APIs, fluxos de consentimento e prazos de validade das autorizações.
Segurança e Privacidade por design no Open Finance
Ao falar de proteção de dados no Open Finance, é impossível ignorar a exigência de que o sistema seja concebido e operado sob a lógica do privacy by design, conceito consolidado no art. 46 da LGPD, que impõe que medidas técnicas e administrativas adequadas sejam aplicadas desde a concepção dos produtos e serviços, e não apenas de forma corretiva após a ocorrência de incidentes.
Do ponto de vista técnico, o Banco Central determinou padrões bastante robustos: as APIs que sustentam o Open Finance devem operar com protocolos seguros de autenticação, como o OAuth 2.0 e o OpenID Connect, além do uso obrigatório do mTLS (mutual Transport Layer Security), que garante que tanto cliente quanto servidor se autentiquem mutuamente. Essas exigências dialogam diretamente com os princípios de segurança e de prevenção (art. 6º, VII e VIII da LGPD).
Importa destacar que isso não se trata apenas de tecnologia: o consentimento granular é um dos pilares do sistema. O consumidor deve ter liberdade para escolher quais dados serão compartilhados (por exemplo: extratos, limites ou histórico de crédito), com qual instituição e por quanto tempo. Essa exigência garante aderência ao art. 8º da LGPD, que exige consentimento informado, inequívoco e específico.
Um ponto frequentemente debatido na doutrina é a definição de papéis entre controladores e operadores (art. 5º, VI e VII, LGPD). Uma fintech, por exemplo, pode ser mera operadora ao tratar dados por conta de um banco, mas, se passar a decidir finalidades, será considerada controladora. Como a responsabilidade civil no Brasil é solidária (art. 42, §1º, LGPD), qualquer participante da cadeia poderá ser acionado em caso de incidentes.
Portanto, como bem lembram autores como Danilo Doneda e Laura Schertel Mendes, o princípio da privacidade por design deixa de ser mera recomendação doutrinária e se consolida como obrigação regulatória. No Open Finance, ele é a linha divisória entre inovação responsável e exposição a riscos jurídicos e financeiros severos.
Responsabilidade civil – LGPD, CDC e jurisprudência
A responsabilidade civil por incidentes envolvendo dados no Open Finance repousa em um tripé normativo: a LGPD, o Código de Defesa do Consumidor (CDC) e a jurisprudência do Superior Tribunal de Justiça (STJ).
A primeira estabelece, em seus arts. 42 a 45, a responsabilidade objetiva dos agentes de tratamento, em que não exige a demonstração de culpa, bastando apenas comprovar o dano e o nexo causal. Ademais, todos os participantes do tratamento podem ser responsabilizados de forma solidária, permitindo ao titular escolher contra quem ajuizar a ação. O CDC, por seu turno, reforça essa lógica ao prever, no art. 14, a responsabilidade objetiva pelo risco do empreendimento.
A jurisprudência recente mostra evolução. No AREsp 2.130.619/SP (2023), a 2ª Turma do STJ decidiu que o vazamento de dados pessoais comuns, por si só, não gera dano moral presumido, sendo necessária prova de prejuízo concreto.
Diante de um sistema com múltiplos agentes de tratamento, a probabilidade de litígios é elevada, por isso, contratos interinstitucionais devem prever cláusulas claras de responsabilidade, mecanismos de auditoria e seguros contra riscos cibernéticos.
Analisando o caso do Banco Pan
Um exemplo real da vulnerabilidade do setor financeiro ocorreu em janeiro de 2021, quando o Banco Pan sofreu um incidente de segurança que resultou no vazamento de dados de mais de 220 mil clientes. Foram expostas informações como nome, CPF, número de telefone e dados de cartões de crédito.
A instituição confirmou o incidente e comunicou a Autoridade Nacional de Proteção de Dados (ANPD), em observância ao art. 48 da LGPD. Embora não tenha havido movimentações financeiras não autorizadas, o episódio trouxe repercussões significativas, como o aumento da desconfiança dos consumidores e a abertura de investigações regulatórias.
Esse caso evidencia que, mesmo antes da consolidação plena do Open Finance, os bancos já enfrentavam riscos concretos ligados à segurança da informação. Ele reforça a necessidade de medidas preventivas, planos de resposta a incidentes e seguros cibernéticos como parte integrante da governança das instituições financeiras.
Conclusão
O avanço do Open Finance no Brasil representa uma transformação estrutural no sistema financeiro, ampliando a concorrência, a inovação e a inclusão. Entretanto, a mesma arquitetura que oferece oportunidades de personalização de serviços amplia, de forma proporcional, a superfície de riscos relacionados à privacidade e à proteção de dados.
Por sua vez, o arcabouço normativo brasileiro, composto pela LGPD, pelo CDC e pelas normas do Banco Central, impõe padrões rigorosos de segurança, consentimento e governança, alinhados ao princípio da prevenção e ao dever de transparência. A jurisprudência recente do STJ revela uma evolução interpretativa, ora exigindo prova de dano concreto, ora reconhecendo o dano moral presumido em casos de violação de dados, o que indica uma tendência de fortalecimento da tutela da privacidade.
O caso real do Banco Pan (2021), com a exposição de dados de milhares de clientes, evidencia que os incidentes de segurança não são meras hipóteses acadêmicas, mas fatos concretos capazes de gerar desconfiança social, repercussões reputacionais e potenciais responsabilidades civis. Tais episódios demonstram a necessidade de uma postura preventiva e de investimentos consistentes em cibersegurança, compliance regulatório e seguros contra riscos digitais.
Em última análise, a proteção de dados no Open Finance deixou de ser apenas uma obrigação regulatória para se tornar condição de competitividade e de sobrevivência das instituições financeiras. O futuro desse ecossistema dependerá da capacidade de transformar diretrizes normativas em práticas efetivas de governança e segurança. O elemento central em jogo é a confiança, bem jurídico e social que sustenta não apenas as relações entre consumidores e instituições, mas a própria legitimidade do sistema financeiro digital.
