Open Finance e Compliance: Obrigações Regulatórias Essenciais
Entenda as obrigações de compliance no Open Finance, incluindo requisitos da LGPD, normas do BACEN e responsabilidades para instituições financeiras.
A implementação do Open Finance no Brasil representa uma transformação estrutural no sistema financeiro, movida pela premissa de aumentar a competição, a eficiência e a transparência por meio do compartilhamento padronizado de dados e serviços. Contudo, essa abertura é construída sobre um alicerce indispensável: um robusto e rigoroso framework de compliance. Para as instituições financeiras, fintechs e demais participantes, compreender e aderir às obrigações de conformidade não é apenas uma exigência regulatória, mas um pilar fundamental para garantir a segurança, a privacidade e a confiança do consumidor final neste novo ecossistema.
O que é Open Finance e qual sua relação com Compliance?
O Open Finance é um sistema regulado pelo Banco Central do Brasil (BACEN) que permite o compartilhamento de dados cadastrais e transacionais de clientes entre diferentes instituições financeiras e de pagamento, mediante o consentimento explícito do titular dos dados. A sua relação com o compliance é intrínseca e fundamental: o compliance é o conjunto de disciplinas e processos que asseguram que as operações dentro do ecossistema Open Finance ocorram em estrita conformidade com as leis e regulamentações vigentes. Sem um programa de compliance eficaz, o compartilhamento de dados sensíveis se tornaria inviável, minando a confiança do consumidor e a segurança jurídica de todo o sistema.
A estrutura de compliance do Open Finance atua como o mecanismo de controle que viabiliza a inovação. Ela define as regras do jogo para todos os participantes, desde grandes bancos incumbentes até fintechs iniciantes. Isso inclui a forma como o consentimento do cliente é obtido e gerenciado, os padrões técnicos de segurança que as APIs (Application Programming Interfaces) devem seguir, os procedimentos para resposta a incidentes de segurança e a responsabilidade de cada parte no tratamento dos dados. Dessa forma, o compliance não é um obstáculo, mas sim o principal habilitador da interoperabilidade e da segurança que sustentam a proposta de valor do Open Finance.
Quais são as principais obrigações de compliance no Open Finance Brasil?
As principais obrigações de compliance no Open Finance Brasil, estabelecidas pela Resolução Conjunta nº 1/2020 do BACEN e do Conselho Monetário Nacional (CMN), centram-se na gestão de consentimento, segurança da informação, padronização tecnológica e governança corporativa. As instituições devem implementar sistemas para obter e gerenciar o consentimento explícito e granular do cliente, garantir a segurança de dados e APIs por meio de padrões como o FAPI (Financial-grade API), e aderir às especificações técnicas definidas na estrutura de governança.
O detalhamento dessas obrigações revela um framework complexo e multifacetado:
- Gestão de Consentimento: A obtenção do consentimento é o pilar central. Ele deve ser livre, informado, inequívoco e específico para cada finalidade. As instituições receptoras de dados são responsáveis por obter o consentimento, que deve ter um prazo de validade máximo de 12 meses e ser facilmente revogável pelo cliente a qualquer momento. A jornada do cliente para dar e revogar o consentimento deve ser clara, objetiva e segura.
- Segurança da Informação e Cibernética: As instituições devem seguir as diretrizes da Política de Segurança Cibernética (Resolução CMN nº 4.893/2021) e implementar controles rigorosos. Isso inclui a utilização de autenticação forte do cliente (SCA), criptografia de dados em trânsito e em repouso, e a realização de testes de penetração (pen tests) contínuos em suas APIs.
- Padronização de APIs: Todas as APIs expostas no ecossistema devem seguir os padrões técnicos e de segurança definidos no Portal do Desenvolvedor do Open Finance Brasil. A conformidade com esses padrões garante a interoperabilidade e a segurança na comunicação entre as instituições.
- Certificação e Testes de Conformidade: Antes de operar no ambiente de produção, toda instituição participante deve passar por um processo rigoroso de certificação funcional e de segurança, validando que suas implementações de API atendem a todos os requisitos regulatórios.
- Tratamento e Resposta a Incidentes: É obrigatório possuir um plano de resposta a incidentes de segurança, bem como um canal de comunicação claro com o cliente e com o regulador para reportar qualquer violação de dados ou falha de segurança.
- Governança e Responsabilidade: As instituições devem designar diretores responsáveis pelo cumprimento das normas do Open Finance e participar ativamente da estrutura de governança do ecossistema, que define as regras e padrões de forma colaborativa sob supervisão do BACEN.
Como a LGPD se aplica ao compartilhamento de dados no Open Finance?
A Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018) é a base jurídica para o tratamento de dados pessoais no Open Finance, estabelecendo que o compartilhamento de informações só pode ocorrer com o consentimento explícito do titular dos dados. No contexto do Open Finance, a LGPD garante que o cliente (titular) tenha controle total sobre suas informações, definindo a finalidade, o prazo e o escopo dos dados a serem compartilhados. A base legal para praticamente todas as operações de compartilhamento de dados no Open Finance é o inciso I do Art. 7º da LGPD: "mediante o fornecimento de consentimento pelo titular".
O ecossistema opera com papéis bem definidos à luz da LGPD. A instituição detentora da conta, que origina os dados, e a instituição receptora, que os utiliza para ofertar um novo produto ou serviço, são ambas consideradas controladoras de dados. Isso significa que ambas têm responsabilidade solidária pela proteção e pelo uso adequado das informações. O consentimento obtido pela instituição receptora deve ser granular, permitindo que o cliente escolha exatamente quais categorias de dados (ex: dados cadastrais, saldo da conta, transações do cartão de crédito) deseja compartilhar, para qual finalidade específica e por quanto tempo. Além disso, os direitos do titular, como o acesso aos dados, a correção, a portabilidade e a eliminação, devem ser garantidos e facilitados por todas as partes envolvidas.
Quais são os requisitos técnicos e de segurança exigidos pelo BACEN?
O BACEN exige uma arquitetura técnica e de segurança de altíssimo padrão, fundamentada em normas internacionais e adaptada para o setor financeiro. Os principais requisitos incluem a adoção do perfil de segurança Financial-grade API (FAPI), o uso de Autenticação Forte do Cliente (Strong Customer Authentication - SCA) e a certificação compulsória das interfaces de programação. Esses elementos formam uma barreira de proteção robusta para mitigar riscos de fraude, vazamento de dados e acessos não autorizados.
O perfil FAPI, uma extensão do framework OAuth 2.0, é projetado para APIs que transacionam dados de alto valor e risco, como as financeiras. Ele impõe o uso de assinaturas digitais, criptografia avançada e controles de acesso rigorosos para garantir a autenticidade, integridade e confidencialidade da comunicação. Já a SCA exige, no mínimo, dois fatores de autenticação independentes (como senha e token, ou biometria e dispositivo) para a autorização de operações sensíveis, como o compartilhamento de dados ou o início de um pagamento. Por fim, a certificação técnica, realizada em um ambiente de sandbox, valida se a implementação de uma instituição está em plena conformidade com os manuais e especificações técnicas da Estrutura de Governança do Open Finance Brasil, sendo um pré-requisito para operar no ambiente real.
Abaixo, uma tabela que detalha as responsabilidades de diferentes participantes no ecossistema:
| Critério | Instituição Detentora de Conta | Instituição Receptora de Dados / Iniciadora de Pagamento |
|---|---|---|
| Fonte dos Dados | É a fonte primária dos dados financeiros do cliente. | Não possui os dados inicialmente; solicita acesso aos mesmos. |
| Responsabilidade pela API | Desenvolver, manter e proteger a API que expõe os dados. | Consumir a API da instituição detentora de forma segura e conforme os padrões. |
| Obtenção do Consentimento | Validar a identidade do cliente e redirecioná-lo para a jornada de consentimento. | Responsável por obter o consentimento explícito, granular e com prazo definido do cliente. |
| Segurança da Autenticação | Responsável por implementar a Autenticação Forte do Cliente (SCA) em sua plataforma. | Redireciona o cliente para a plataforma da detentora para que a autenticação seja realizada. |
| Comunicação de Incidentes | Deve comunicar ao cliente, ao BACEN e à receptora sobre incidentes em seus sistemas. | Deve comunicar ao cliente, ao BACEN e à detentora sobre incidentes em seus sistemas. |
| Conformidade com LGPD | Atua como Controladora dos dados que detém. | Atua como Controladora dos dados que recebe e processa. |
Qual o papel das instituições na estrutura de governança do Open Finance?
Na estrutura de governança do Open Finance Brasil, o papel das instituições é tanto de participante quanto de co-responsável pela evolução e manutenção do ecossistema, sob a supervisão e regulação do Banco Central. A estrutura é organizada em um nível estratégico (Conselho Deliberativo) e um nível técnico (Grupos Técnicos de Trabalho), compostos por representantes das próprias instituições participantes. Este modelo colaborativo garante que as regras e padrões sejam definidos com base na experiência prática do mercado, promovendo a eficiência e a segurança.
O Conselho Deliberativo é a instância máxima de decisão da estrutura, responsável por aprovar os padrões técnicos, manuais operacionais e o plano de trabalho para a implementação das fases do Open Finance. As instituições, por meio de suas associações representativas, elegem membros para este conselho, participando diretamente das decisões que moldam o futuro do sistema. Nos Grupos Técnicos, especialistas das instituições trabalham para desenvolver as especificações de APIs, os requisitos de segurança e as jornadas do cliente, transformando as diretrizes regulatórias em padrões técnicos implementáveis. Essa participação ativa é uma obrigação para as instituições de participação obrigatória (segmentos S1 a S4) e uma oportunidade para as de participação voluntária.
Quais as consequências do não cumprimento das normas de Open Finance?
O não cumprimento das normas do Open Finance sujeita as instituições a um rigoroso processo de sanções administrativas conduzido pelo Banco Central do Brasil, conforme previsto na Resolução Conjunta nº 1/2020 e na Resolução BCB nº 131/2021. As penalidades são proporcionais à gravidade da infração e podem variar desde advertências formais até a aplicação de multas pecuniárias expressivas e, em casos extremos, a suspensão ou exclusão da instituição do ecossistema.
As sanções podem ser aplicadas por uma variedade de falhas, como: indisponibilidade das APIs fora dos limites permitidos, não conformidade com os padrões de segurança, falhas no processo de consentimento, tratamento inadequado de dados pessoais ou descumprimento dos prazos de implementação. As multas podem chegar a R$ 50 milhões por infração ou ser calculadas com base em um percentual do faturamento da instituição, representando um impacto financeiro significativo. Além das penalidades financeiras e operacionais, o dano reputacional associado a uma falha de compliance no Open Finance pode ser devastador, erodindo a confiança dos clientes e parceiros de negócio.
FAQ — Perguntas Frequentes
Não. A participação é obrigatória para as instituições financeiras e de pagamento dos segmentos S1, S2, S3 e S4, conforme classificação do Banco Central, que engloba os maiores bancos e conglomerados do país. Para as demais instituições, como fintechs menores e outras entidades financeiras, a participação é voluntária, podendo atuar como receptoras de dados ou iniciadoras de pagamento após cumprirem os requisitos de certificação e regulatórios.
Sim. A revogação do consentimento é um direito fundamental do titular dos dados, garantido tanto pela regulamentação do Open Finance quanto pela LGPD. O processo de revogação deve ser tão simples e acessível quanto o processo de concessão, podendo ser realizado a qualquer momento e sem custo, diretamente nos canais da instituição que recebeu o consentimento ou nos canais da instituição que detém os dados.
Open Banking foi a fase inicial do projeto, focada no compartilhamento de dados de produtos e serviços bancários tradicionais (contas, cartões, crédito). Open Finance é a evolução e expansão deste conceito, abrangendo um escopo muito mais amplo de dados e serviços financeiros, incluindo credenciamento, câmbio, investimentos, seguros e previdência. O Brasil optou por adotar diretamente o termo e o escopo mais abrangente de Open Finance.
Sim. Enquanto o Banco Central é o principal regulador do ecossistema, a Comissão de Valores Mobiliários (CVM) e a Superintendência de Seguros Privados (SUSEP) também participam ativamente da regulação nos escopos que lhes competem. A fase 4 do Open Finance, que inclui o compartilhamento de dados de investimentos, é regulada em conjunto pelo BACEN e pela CVM, garantindo que as normas de proteção ao investidor e as especificidades do mercado de capitais sejam devidamente observadas.
