UNIVERSIDADE POTIGUAR

MARIA GABRIELA OLIVEIRA DE LIMA

MÍRYAM RUSSELE MENDONÇA DA SILVA

COMPLIANCE DIGITAL:
OS DESAFIOS DA LGPD NO CENÁRIO DAS
FINTECHS BANCÁRIAS

NATAL/RN
2023
 MARIA GABRIELA OLIVEIRA DE LIMA
MÍRYAM RUSSELE MENDONÇA DA SILVA

COMPLIANCE DIGITAL:
OS DESAFIOS DA LGPD NO CENÁRIO DAS FINTECHS BANCÁRIAS

Trabalho de Conclusão de Curso apresentado

ao Curso de Graduação da universidade
Potiguar como requisito parcial para obtenção
do título de bacharel em Direito.

Orientador: Prof. Me. Ricardo Luiz Muniz de Souza Filho

NATAL/RN
2023
 MARIA GABRIELA OLIVEIRA DE LIMA
MÍRYAM RUSSELE MENDONÇA DA SILVA

COMPLIANCE DIGITAL:
OS DESAFIOS DA LGPD NO CENÁRIO DAS FINTECHS BANCÁRIAS

Este Trabalho de Conclusão de Curso foi

julgado adequado à obtenção do título de
Bacharel e aprovado em sua forma final pelo
Curso de Graduação em Direito, da
Universidade Potiguar.

Natal/RN, 16 de Junho de 2023.

BANCA EXAMINADORA

_______________________________________________
Prof. Me Ricardo Luiz Muniz de Souza Filho
Universidade Potiguar

_______________________________________________
Prof. Vívian Gabriela Barroso da Silva
Universidade Potiguar

_______________________________________________
Prof. Kleber Soares de Oliveira Santos
 RESUMO

O presente trabalho analisa uma visão geral a respeito do Compliance no ambiente digital
averiguando os desafios das fintechs bancárias em relação à Lei Geral da Proteção de Dados
(LGPD), Lei 13.709/18. O tema se justifica ao observar a forma que as instituições bancárias
estão conseguindo tratar os dados pessoais com a devida segurança. Esse estudo teve como
método o hipotético-dedutivo com amparo nas referências bibliográficas para seu
embasamento. É abordada a regulamentação no meio digital com a Lei da Inovação e o Marco
Civil da Internet assim como o surgimento da LGPD na Europa até sua criação no Brasil; logo
após os desafios da fintechs bancárias com o tratamento de dados pessoais, financeiros e
sigilosos; e por fim as sanções nas hipóteses de descumprimento da LGPD. Por fim, se conclui
a quão alinhada a LGPD precisa estar com essas instituições financeiras para garantir a
seguridade dos dados de todos.

Palavras-chaves: Lei Geral da Proteção de Dados. Fintechs Bancárias. Dados Pessoais. Dados
Financeiros. Dados Sigilosos.
 ABSTRACT

This monografie analyzes an overview regarding Compliance in the digital environment,

investigating the challenges of banking fintechs in relation to the General Data Protection
Regulation (GDPR), Law 13.709/18. The theme is justified by observing the way in which
banking institutions are managing to treat personal data with due security. This study used the
hypothetical-deductive method based on bibliographical references. Regulation in the digital
environment with the Innovation Law and the Civil Rights Framework for the Internet is
addressed, as well as the emergence of the GDPR in Europe until its creation in Brazil; shortly
after the challenges of banking fintechs with the processing of personal, financial and
confidential data; and finally the sanctions in cases of non-compliance with the GDPR. Finally,
it concludes how aligned the GDPR needs to be with these financial institutions to guarantee
the security of everyone's data.

Keywords: General Data Protection Regulation. Fintech Banking. Personal Data. Financial
Data. Confidential Data.
 SUMÁRIO

INTRODUÇÃO ........................................................................................................................6
1 COMPLIANCE DIGITAL....................................................................................................7
1.1 LEI DE INOVAÇÃO N° 10.973/2004.................................................................................8
1.2 MARCO CIVIL DA INTERNET LEI N° 12.965/2014.........................................................9
1.3 BREVE CONTEXTO HISTÓRICO DA LEI GERAL DA PROTEÇÃO DE DADOS.........9
1.3.1 LEI GERAL DA PROTEÇÃO DE DADOS N° 13.709/18 NO BRASIL....................... 10
2 DESAFIOS DAS FINTECHS BANCÁRIAS MEDIANTE À LGPD.............................. 11
2.1 TRATAMENTO DOS DADOS PESSOAIS E FINANCEIROS........................................ 12
2.2 DADOS SIGILOSOS......................................................................................................... 13
2.3 CRIMES CIBERNÉTICOS................................................................................................ 14
3 SANÇÕES AO DESCUMPRIMENTO DA LGPD............................................................16
3.1 CONSTITUIÇÃO E DIREITO À PRIVACIDADE............................................................16
3.2 INTELIGÊNCIA ARTIFICIAL COMO RECURSO PARA ASSEGURAR A LGPD......17
3.3 INCLUSÃO DIGITAL COMO PRECAUÇÃO AO VAZAMENTO DE DADOS.............18
CONCLUSÃO.........................................................................................................................20
REFERÊNCIAS......................................................................................................................21
INTRODUÇÃO

A pesquisa é direcionada para analisar as fintechs bancárias no cenário do compliance

digital com base na Lei Geral da Proteção de Dados (LGPD) enfatizando os desafios existentes
nesse ambiente tecnológico. Possui o objetivo geral de pontuar as lacunas existentes no
compliance das fintechs para com a referida lei. E, como objetivos específicos, busca verificar
o contexto histórico do surgimento da LGPD; averiguar os principais desafios que as fintechs
sofrem no meio digital; analisar possíveis soluções para que haja mais conformidade com a lei.

O direito digital é uma nova área que está determinando um segmento promissor para
os atuais, mas principalmente para os futuros operadores do direito que estão acompanhando
concomitantemente esse desenvolvimento e se inserindo nesse mercado de trabalho cada vez
mais automatizado. Existem constantes dificuldades no meio que está em constante
transformação para que o direito possa acompanhar e se manter aderente à premissa de
regulamentar o convívio humano.

A pesquisa possui a relevância de levantar o tema em debate para averiguar a

conformidade das fitnechs bancárias em relação à LGPD uma vez que com o avanço
tecnológico aumentam os crimes cibernéticos, então as leis precisão estar atualizadas e
categóricas quanto à seguridade do direito digital de todos.

Foi realizada a pesquisa qualitativa com a coleta de informações das mais variadas
fontes e usado o método indutivo com a consideração de várias teorias até enfim culminar numa
conclusão. E houve o emprego da pesquisa documental fundamentada em livros, artigos,
monografias, sites e bases legais.

No primeiro capítulo é conceituado o compliance digital abordando sua necessidade no

ambiente corporativo e como o cuidado referente a este tema tem aumentado por parte das
empresas tendo em vista a necessidade buscarem a conformidade com as leis discorrendo desde
a Lei da Inovação 10.973/2014, o Marco Civil da Internet até a LGPD tanto na sua vigência na
União Europeia como na sua aplicação no Brasil.

Já o segundo capítulo é desenvolvido sobre os desafios propriamente ditos das fintechs

bancárias quanto ao manuseio do tratamento dos dados pessoais, financeiros e sigilosos, além
da incidência dos crimes cibernéticos ao ocorrerem seus vazamentos.

6
 O terceiro capítulo remete a problemática que é fazer o contrapondo que a revolução
digital trouxe na facilidade das transações com a segurança de dados que é o foco da LGPD;
então destaca as sanções em caso de descumprimento da lei, o papel da Autoridade Nacional
de Proteção de Dados e a existência do direito à privacidade já previsto constitucionalmente
anteriormente. Também é examinado como a inteligência artificial associada a inclusão digital
pode auxiliar na proteção de dados pessoais como manter a regularidade da LGPD.

1 COMPLIANCE DIGITAL

É inegável que a nossa sociedade tendencia a se tornar cada vez mais moderna e
contemporânea, dominada pelos meios de comunicação em massa e pelas redes sociais. E
acompanhando essa evolução, o direito precisa se adequar e desenvolver métodos que cumpram
o papel de resguardar o direito da nossa sociedade, principalmente a privacidade. Por isso, a
abordagem sobre o compliance busca propor a conformidade conforme comenta Assi (2018,
p.19):

O compliance é um termo da língua inglesa que deriva do verbo “to comply” que se tornou uma
grande “muleta” para quem precisa falar sobre conformidade; portanto em uma tradução livre para
a língua portuguesa, significa cumprir, obedecer e executar aquilo que foi determinado. Em linhas
gerais, consiste no dever das empresas de promover uma cultura que estimule, em todos os membros
da organização, a ética e o exercício do objeto social em conformidade da lei. (ASSI, 2018, p. 19)

Seu surgimento no Brasil se tornou evidente com a publicação da Lei 9.613/98 que
dispõe sobre crimes de lavagem e ocultação de bens, bem como o uso do Sistema Nacional
Financeiro e ainda criar uma unidade de inteligência financeira (ASSI, 2018, p.22).

Observa-se a necessidade de ir para além da letra de lei com a verificação de medidas

que assegurem o seu cumprimento como ainda reforça Assi:

Em termos práticos, o compliance consiste em planejar a prevenção de riscos de desvios de conduta

e descumprimento legal, além de incorporar métodos para detectá-los e controla-los, tudo isso por
intermédio de um programa de integridade. Ele mobiliza os gestores a uma postura mais proativa e
preventiva no gerenciamento e no tratamento dos riscos que permeiam a atividade empresarial e
comprometem sua sustentabilidade [...] (ASSI, 2018, p. 25).

Neste cenário, diversas leis foram criadas com o intuito de regulamentar o ambiente
digital cuja previsão legal específica não existia considerando assim que todos precisam estar
alinhados aos parâmetros estabelecidos para que as garantias fundamentais instituídas
fisicamente também possam transcender para o ambiente virtual.

7
 Infelizmente o vazamento de dados é uma das principais preocupações nesse contexto
até impactam negativamente à instituição, colocando em risco sua seriedade e compromisso
com os clientes. É por isso que as empresas estão interessadas na aplicação do compliance não
somente para evitar a violação de dados por terceiros como também os prejuízos inerentes a
isso.

1.1 LEI DE INOVAÇÃO N° 10.973/2004

A Lei 10.973/2004 denominada de Lei de Inovação, foi sancionada e posta em aplicação

em 11 de outubro de 2005 como estímulo a inovação no Brasil. Tem como principal objetivo
criar ambientes em que a inovação seja colocada em prática mantendo a conexão entre as
instituições de ensino e as empresas, buscando tanto por parte aumentar o número de invenções
quanto de inventores independentes.

O artigo 2° da Lei da Inovação, elenca um rol de fatores indispensáveis ao incentivo das

empresas no meio tecnológico:

I - agência de fomento: órgão ou instituição de natureza pública ou privada que tenha entre os seus
objetivos o financiamento de ações que visem a estimular e promover o desenvolvimento da ciência,
da tecnologia e da inovação;

II - criação: invenção, modelo de utilidade, desenho industrial, programa de computador, topografia

de circuito integrado, nova cultivar ou cultivar essencialmente derivada e qualquer outro
desenvolvimento tecnológico que acarrete ou possa acarretar o surgimento de novo produto,
processo ou aperfeiçoamento incremental, obtida por um ou mais criadores;

III - criador: pesquisador que seja inventor, obtentor ou autor de criação;

IV - inovação: introdução de novidade ou aperfeiçoamento no ambiente produtivo ou social que

resulte em novos produtos, processos ou serviços;

V - Instituição Científica e Tecnológica - ICT: órgão ou entidade da administração pública que tenha
por missão institucional, dentre outras, executar atividades de pesquisa básica ou aplicada de caráter
científico ou tecnológico [...] (BRASIL, 2004, art. 2).

Desse modo, o ambiente fica propício ao surgimento das startups (empresas emergentes
que tem como preceito a inovação) e consequentemente as fintechs com suas vastas inovações
tecnológicas no mercado financeiro. Como exemplo, temos Nubank, Banco Inter, Neon,
PicPay, dentre outros modelos desse negócio inovador através de serviços bancários digitais.

8
1.2 MARCO CIVIL DA INTERNET N° 12.965/2014

Publicada em 23 de abril de 2014, a Lei 12.965/2014, conhecida como Marco Civil da

Internet, prevê princípios que regulam o uso da internet no Brasil, enumerados ao longo dos
artigos 3º, 7° e 10°, dentre outros:

No artigo 3° o princípio da proteção da privacidade e dos dados pessoais, e asseguram, como direitos
e garantias dos usuários de internet; no artigo 7º, a inviolabilidade e sigilo do fluxo de suas
comunicações e inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por
ordem judicial. Já no artigo 10º, § 1º, trata especificadamente da proteção aos registros, dados
pessoais e comunicações privadas, deixando bem claro que a disponibilização desses dados só será
feita mediante ordem judicial (BRASIL, 2014, arts 3°, 7° e 10°).

O momento da criação da referida lei foi polêmico com o escândalo ocorrido durante o
governo Dilma Rousseff sobre espionagem internacional do sistema secreto dos Estados
Unidos. A discussão ficou extremamente relevante ao considerar como prevenir situações como
essa e como puni-las uma vez que violam até mesmo os direitos internacionais. A justiça
brasileira observou a velocidade de disseminação de informações e entendeu que precisa seguir
diretrizes para evitar atos inconstitucionais no ambiente virtual nos quais possuem efeitos para
além do meio eletrônico.

1.3 BREVE CONTEXTO HISTÓRICO LEI GERAL DA PROTEÇÃO DE DADOS

A Lei Geral da Proteção de Dados teve como base normativa a General Data Protection
Regulation (GDPR) que foi criada pela União Europeia com o Regulamento (UE) 2016/679
sobre o tratamento e a livre circulação dos dados pessoais (COMISSÃO EUROPEIA, 2016,
s.p.).
Esse modelo foi estruturado em torno de uma Diretiva 95/46/CE conforme aponta
Doneda como “uma disciplina ampla e detalhada que é transposta para a legislação interna de
cada estado-membro” (DONEDA, 2006, p. 222).

Essa Diretiva foi revogada, mas manteve seus princípios na GDPR de acordo com os
princípios do tópico 2 do referido regulamento:

(2) Os princípios e as regras em matéria de proteção das pessoas singulares relativamente ao

tratamento dos seus dados pessoais deverão respeitar, independentemente da nacionalidade ou do
local de residência dessas pessoas, os seus direitos e liberdades fundamentais, nomeadamente o
direito à proteção dos dados pessoais. O presente regulamento tem como objetivo contribuir para a
realização de um espaço de liberdade, segurança e justiça e de uma união económica, para o
progresso económico e social, a consolidação e a convergência das economias a nível do mercado
interno e para o bem-estar das pessoas singulares (REGULAMENTO UE, 2016, s.p.).

9
 Uma vez formatado tal modelo serve como base para cada país toma-lo como inspiração
e consequentemente uniformizar sua legislação para que haja harmonização do entendimento
quando o assunto for proteção de dados pessoais.

1.3.1 LEI GERAL DA PROTEÇÃO DE DADOS N° 13.709/18 NO BRASIL

Mesmo com atraso na criação de um regulamento específico em relação ao tratamento

de dados, foi de suma importância, pois foi no ápice da pandemia que surgiram diversas
empresas no formato digital e, principalmente das fintechs que viabilizaram ainda mais as
transações bancárias.

Por isso, com a sua aplicação efetiva em 2020, as fintechs já estavam mais confortáveis
para tal enquadramento tendo como espelho já o cenário jurídico europeu e pela própria
natureza empresarial dessas instituições que surgem considerando o risco do negócio. Esse risco
avalia as ameaças no compartilhamento de dados num fluxo alto de informações na internet,
mas é a LGPD que normatiza o direito no cenário brasileiro com as devidas adaptações:

Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural
ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos
fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa
natural. (BRASIL, 2018, s.p.).

A LGPD trouxe a premissa essencial da GDPR, porém um tanto mais específica

viabilizando sua aplicação tanto fisicamente como digitalmente, prevendo os objetivos de
proteção à privacidade; liberdade de expressão, informação, comunicação e opinião;
inviolabilidade da intimidade, honra e da imagem; desenvolvimento econômico, tecnológico e
inovação; livre iniciativa, livre concorrência e defesa do consumidor; direitos humanos, livre
desenvolvimento da personalidade, dignidade e exercício da cidadania (BRASIL, 2019, s.p.).

Mesmo com a rápida adaptação e inserção das empresas na LGPD, com previsão de
amplas garantias aos titulares dos dados, não isenta e nem exclui aqueles que ainda não se
enquadraram e que estão suscetíveis às consequências ao descumprimento da lei. RODRIGUES
(2020, p. 33) deduz que “... a aplicação de sanções iniciou-se juntamente com o vigor do
regulamento e, mesmo havendo dois anos de criação da lei, uma das penalidades mais aplicadas
foi justamente a inadequação das empresas às diretrizes de tratamento e segurança dos dados”.

2 DESAFIOS DAS FINTECHS BANCÁRIAS MEDIANTE À LGPD

10
 Antes, é necessário compreender o conceito de fintech para abordar a respeito dos seus
desafios. Fintech é uma startup (modelo de negócio com uma proposta estrutural reduzida e
com elevado uso de tecnologia) que usa de tecnologia para realizar transações bancárias. Para
FIGO e LEWGOY (2019) “as fintechs são empresas de tecnologia com alto potencial de
escalabilidade que desenvolvem produtos e/ou serviços financeiros”.

A LGPD promoveu um grande impacto no setor financeiro onde afeta o modo que se
trata os dados dos usuários pelas instituições. A pandemia que ocorreu no final de 2019 e se
estende até os dias atuais criou um ambiente ainda mais propício para o surgimento das fintechs
bancárias assim como na mesma proporção ocorre a evolução na informatização das transações
bancárias (pix, open finance, etc). É um grande desafio equiparar avanço tecnológico com
amplitude na segurança e gestão dos dados pessoais.

A procuradora federal lotada na Comissão de Valores Mobiliários, Doutora em Direito

Comercial pela USP e Professora da GVlaw e da FMU, Ilene Patrícia Noronha Najjarian, em
entrevista ao Centro de Pesquisa em Crimes Empresariais e Compliance (CPJM) da
Universidade Estadual do Rio de Janeiro, reforçou no recorte abaixo os desafios existentes nas
fintechs no atual cenário:

As Fintechs deveriam já estar capitalizadas e mais bem reguladas pelos órgãos reguladores, de
molde a propiciar uma certa concorrência em mercado tão concentrado como o bancário. Neste
momento, as fintechs também estão experimentando dificuldades como quase todos os empresários
de pequeno porte e neste momento devem estar mais atentas para evitar a ocorrências de fraudes, e
ilícitos pela Internet, estabelecendo uma supervisão que pode incidir na celebração de parcerias e
convênios para exercer seu compliance de maneira eficaz, sem deixar de lado o regime jurídico já
estabelecido pela LGPD, Lei nº 13.709/18, ainda em vacatio legis (UERJ, 2020, s.p.).

É estar em constante equilíbrio entre atender à demanda do mercado e ao mesmo tempo

assegurar a transparência do uso de dados de forma eficiente, até porque não é à toa que é
exigida pela LGPD um termo de consentimento na concessão de dados toda vez que ocorrem
suas coletas para que não sejam indiscriminadas.

2.1 TRATAMENTO DOS DADOS PESSOAIS E FINANCEIROS

Nas fintechs, a coleta de dados pessoais é essencial, pois é somente assim que o serviço
funciona. Só se acessa o aplicativo e os seus demais recursos com diversas permissões de uso
de dados. É neste momento que as fintechs deixam claro tanto seus objetivos com esses dados
coletados quanto para quem estarão disponíveis.

11
 O maior cuidado com o consentimento do titular mostra-se de grande relevância no cenário
tecnológico atual, no qual se verifica a coleta em massa de dados pessoais, a mercantilização desses
dados por parte de uma série de sujeitos e situações de pouca transparência e informação no que
tange ao tratamento de dados pessoais de usuários de serviços online. Nesse sentido, defende-se
que a interpretação do consentimento deverá ocorrer de forma restritiva, não podendo o agente
estender a autorização concedida a ele para o tratamento de dados para outros meios
além daqueles pactuados, para momento posterior ou para finalidade diversa (TEFFÉ, 2020, p. 6).

Por isso, mesmo sem uma legislação específica do mercado financeiro, esses dados
pessoais que são usados para a realização das transações financeiras são considerados dados
financeiros, pois são usados CPF, e-mail, número de telefone, dentre outros, que inclusive são
dados sensíveis (requer maior atenção) estão relacionados diretamente ao indivíduo e precisam
estar protegidos mantendo sua integridade.

TEFFÉ (2020, p. 11) aponta que a requisição de dados deve ser justificada para que se
evite abusos:

A finalidade da coleta dos dados deve ser sempre previamente conhecida, seja qual for a base legal
utilizada. Essa diretriz diz respeito à relação entre os dados colhidos e a finalidade perseguida pelo
agente. Apresenta relação também com o princípio da utilização não abusiva e com a recomendação
de eliminação ou transformação em dados anônimos das informações que não sejam mais
necessárias. Defende-se que, a depender do tipo de informação, seria possível desmembrar o
consentimento em algumas categorias, com requisitos menos ou mais rígidos, conforme a natureza
dos interesses. Isso viria através da lógica do consentimento granular.

Além de abusos, a transformação de dados também merece destaque, pois no momento

algo que possa aparentemente ser irrelevante, posteriormente pode ser um dado que relacione
à pessoa e se torne alvo de vazamento.

2.2 DADOS SIGILOSOS

Para além dos dados pessoais ainda existem os sigilosos que são aqueles nos quais
podem ser usados como cunho discriminatório. Os dados financeiros, em suma, não são
considerados sensíveis e nem sigilosos taxativamente pela letra de lei. Contudo, essa
abordagem está sofrendo interpretações na medida em que o entendimento quanto ao sigilo dos
dados está relacionado com a intimidade do indivíduo. Os dados financeiros estão protegidos
pela Lei do Sigilo Bancário, Lei Complementar 105 de 2001 como interpreta SOUTO (2020,
p. 19):

Pela possibilidade de conter informações sensíveis, os dados financeiros são protegidos pela Lei
Complementar 105 de 2001, a Lei do Sigilo Bancário, a qual normatiza que os dados de operações
ativas, operações passivas e serviços prestados pelas instituições financeiras, enumeradas no seu art.
1º, §1º, detêm a característica de sigilosos, conforme o art. 5º, I da LGPD. Portanto, dados sigilosos
são aqueles que devem permanecer ocultos por determinação legal, judicial ou pessoal, sendo a sua
violabilidade passível de ser considerada quebra de sigilo, conforme o ditame constitucional, salvo
na hipótese de ordem judicial para investigação criminal.

12
 SOUTO (2020, p. 19) ainda complementa quanto à possibilidade de um dado financeiro
não se enquadrar em nenhum dos parâmetros e na forma que será tratado:

[...] há a possibilidade de um dado financeiro não ser considerado pessoal nem sigiloso quando este
não identificar ou permitir identificar dados de operações intermediados e serviços prestados pelas
instituições financeiras. Dessa forma, na cessão de dados, eles devem ser diferenciados e
categorizados para que o consumidor, ora cliente, identifique e consinta com o tipo de dado que ele
estará compartilhando, e para que o cessionário, ora instituição receptora de dados, operacionalize
a transação em conformidade com as normas jurídicas vigentes.

Como as instituições financeiras acabam por utilizarem de diversos dados do usuário

e, para questões mercadológicas (vendas, delimitação de perfil) solicitam dados sigilosos,
terminam por se inserirem num cenário de maior atenção com o seu tratamento. Uma vez
considerado um dado sigiloso, passa a ser enquadrado no Capítulo VII, Seção I, art. 46, com o
devido cuidado quanto ao acesso não autorizado nem por acidente:

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas
aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Logo, o fato de ter esse consentimento do usuário para o uso de dados não exima da
responsabilidade de adotar medidas e precaução ainda mais rigorosas, principalmente para
manter em sigilo o que deve assim permanecer.

2.3 CRIMES CIBERNÉTICOS

Outro agente que merece atenção e está em constante evidência, é o crime cibernético
no qual mostra a vulnerabilidade do tratamento nos quais os dados pessoais estão tendo.
Crackers, pessoas especializadas por cometerem práticas ilícitas virtualmente, se utilizam das
ferramentas tecnológicas para o cometimento de crimes. No ambiente virtual, isso tende a se
tornar ainda mais vulnerável pelo rápido compartilhamento de dados e na facilidade do acesso
à informação onde a informação é o bem mais valioso:

No atual estágio de desenvolvimento científico, o conceito de criminalidade informática

deverá girar em torno da idade direito de informação e de direito de informática, nos quais a
informação, o ambiente e a relevância econômica serão fatores fundamentais. A informação há de
ser considerada como um bem de valor econômico, cultural, e político, além de se haver
transformado num potencial de risco específico. O ambiente há de ser tratado como um elemento
gerador da confiabilidade e segurança da informação, a despeito de sua vulnerabilidade. Esse novo
modo dever as coisas, torna evidente que os bens intangíveis devem ser tratados de forma
inteiramente diferente daquela pela qual são tratados os crimes tradicionais, de caráter material
(ARAÚJO JÚNIOR, 1995, p. 127).

Como exemplo não tão distante, saiu nos principais veículos nacionais a notícia de

13
vazamento de informações da fintech bancária Nubank, na ocasião estava expondo CPFs de
pessoas devido à falha na segurança. Os terceiros não autorizados invadem os sistemas
desafiando a segurança da plataforma onde fragilizada todo o cunho de confiabilidade
depositado pelo usuário.

Os crimes digitais são cometidos em (ou contra) dispositivos desconectados, como

uma urna eletrônica, porém também acontecem em mídias de massa, como os serviços
disponíveis na Internet, resultando em uma potencialização de ofensividade contra bens
jurídicos já tutelados pelo ordenamento, mas também contra outros bens ainda não protegidos
pelo Direito Penal (SILVA, 2017, p. 16).

FERREIRA (2005, p. 261) ainda pontua o crime virtual como uma infração que afeta
diretamente a liberdade individual de cada um:

Atos dirigidos contra um sistema de informática, tendo como subespécies atos contra o computador
e atos contra os dados ou programas de computador. Atos cometidos por intermédio de um sistema
de informática e dentro deles incluídos infrações contra o patrimônio; as infrações contra a liberdade
individual e as infrações contra a propriedade imaterial.

A Lei dos Crimes Cibernéticos, Lei n° 12.737/12 (Lei Carolina Dieckman), surgiu para
tratar com mais especificidade esses crimes que até então não haviam tipificação, para aqueles
que pratica a violação de dados e faz o seu uso indevido. Destaque para a referida Lei 12.737/12
quanto à invasão de dispositivo informático:

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores,
mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir
dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar
vulnerabilidades para obter vantagem ilícita:

Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.

Mesmo não sendo direcionada propriamente ao mercado financeiro, comporta a

regularização do meio digital como mais uma ferramenta de auxílio para as fintechs
aumentarem ainda mais os seus níveis de proteção.

3 SANÇÕES AO DESCUMPRIMENTO DA LGPD

A Autoridade Nacional de Proteção de Dados (ANPD) é órgão federal que é responsável

pela efetividade da LGPD com competência de fiscalizar, zelar, implementar, orientar acerca
das questões envolvendo a referida lei. A ANPD publicou em 27 de fevereiro de 2023, um
regulamento de aplicação de sanções administrativas por descumprimento à LGPD. A norma

14
abarca regras tanto de fiscalização como sanção dentro do processo administrativo cujos
objetivos são previstos pela própria norma de:

a) Regulamentar os artigos 52 e 53 da LGPD e definir os critérios e parâmetros para as sanções

pecuniárias e não pecuniárias pela ANPD, bem como as formas e dosimetrias para o cálculo do
valor-base das multas;

b) Alterar os artigos 32, 55 e 62 da Resolução nº 1º CD/ANPD, com vistas a aprimorar o processo

administrativo sancionador e de fiscalização, permitindo-se que a ANPD evolua na atividade
repressiva, respeitados o devido processo legal e o contraditório, de modo a proporcionar segurança
jurídica e transparência para todos os envolvidos (DIÁRIO OFICIAL DA UNIÃO, 2023, p.59).

O Conselho Nacional do Ministério Público concorda com a importância do

regulamento conforme fala da promotora de Justiça do Estado de Goiás e encarregada pelo
tratamento de dados pessoais do Conselho Nacional do Ministério Público (CNMP), Ana Paula
Franklin, “a possibilidade de aplicação de sanções administrativas em razão do
descumprimento da LGPD reforça a relevância da norma e a necessidade de incremento das
medidas de adequação das instituições públicas e privadas à lei de proteção de dados pessoais”.

O regulamento de dosimetria possibilita que a sanção seja proporcional à gravidade da

conduta do agente, além das demais garantias previstas em lei. Além do mais, conta com as
demais sanções já trazidas pelas LGPD que comportam advertência, multa, bloqueio de dados
e até mesmo proibição total do exercício de atividades relacionadas ao tratamento de dados,
tudo disposto pela ANPD.

Assim os procedimentos ficam mais efetivos para que o infrator se adeque a lei,
podendo acarretar até mesmo no bloqueio dos dados ou na sua eliminação em definitivo.

3.1 CONSTITUIÇÃO E DIREITO À PRIVACIDADE

O direito à privacidade é uma garantia fundamental ao indivíduo em que este tem a

autonomia para manter todos os dados da sua vida no seu íntimo amparado por mecanismos
legais de proteção da sua segurança. Contudo, a era digital dissemina o compartilhamento de
informações de forma imediata e sem grandes dificuldades, o que gera debate na sociedade
quanto à sua proteção.

A Constituição Federal de 1988, trata no seu art. 5º, inc. X trata inviolabilidade da
privacidade sendo:

15
 X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o
direito a indenização pelo dano material ou moral decorrente de sua violação.

O Código Civil de 2002, no seu art. 12 ainda pontua a punibilidade do direito que é
inerente à própria pessoa:

Art. 12. Pode-se exigir que cesse a ameaça, ou a lesão, a direito da personalidade, e reclamar perdas
e danos, sem prejuízo de outras sanções previstas em lei.

Além disso, foi promulgada a Emenda Constitucional 115/2022 que insere a proteção
de dados no rol de garantias fundamentais do cidadão com a prerrogativa de que a privacidade
e a proteção de dados pessoais são direitos essenciais à dignidade e, principalmente, no âmbito
digital. O Diretor-Presidente Waldemar Gonçalves ainda enfatiza a importância da Emenda
para que “seja dada maior segurança jurídica ao país na aplicação da Lei Geral de Proteção de
Dados Pessoais, atraindo ainda mais investimentos internacionais para o Brasil” (ANPD, 2022,
s.p.).
Como visto, a LGPD é uma lei recente que trata de assuntos muito atuais, mas que
carrega institutos constitucionais a partir da essência que é a manutenção da ordem onde todos
possam ter sua liberdade assegurada.

3.2 INTELIGÊNCIA ARTIFICIAL COMO RECURSO PARA ASSEGURAR A LGPD

Inteligência Artificial ou A.I. (artificial intelligence) é um campo de estudo assim como

também é tida como um mecanismo de inteligência de software capaz de executar tarefas
complexas. Os pesquisadores da área, Michael Haenlein e Andreas Kaplan, conceituam como
“uma capacidade do sistema para interpretar corretamente dados externos, aprender a partir
desses dados e utilizar essas aprendizagens para atingir objetivos e tarefas específicas através
de adaptação flexível” (HAENLEIN, KAPLAN, 2019, p. 1, tradução nossa).

A LGPD tem previsão a respeito das medidas de segurança que devem ser
implementadas pelas empresas para proteger os dados pessoais coletados. Mediante isso,
existem vários artifícios da A.I. que podem ser usados para proteger como a criptografia que
definindo de forma simples, é a construção e análise de protocolos através do uso de algoritmos.

Para Terada (2008, p. 16), a definição de criptografia se dá por “Algoritmos

criptográficos basicamente objetivam “esconder” informações sigilosas de qualquer pessoa
desautorizada a lê-las, isto é, de qualquer pessoa que não conheça a chamada chave secreta de
criptografia”.

16
 Ela proporciona armazenamento seguro para evitar risco às fraudes como por exemplo,
fazendo uso do próprio smartphone para autenticar o usuário (biometria facial ou digital) ou
também o uso de tokens (chaves de acesso liberadas para uso único). Também a inteligência
obriga o usuário a criar senhas mais complexas que unifica letras, números, caracteres especiais,
para dificultar o acesso de terceiros.

Inserida na forma de pagamento pix, a criptografia aparece através dos QR Codes

(código de barras em formato de figura) dinâmicos que consiste na sua leitura uma URL
(endereço de rede) com informações da transação que são assinadas digitalmente.

Existem diversos protocolos de segurança voltados à prevenção do acesso não

autorizado para evitar que os dados pessoais cheguem ao alcance dos conhecidos hackers ou
de qualquer outro terceiro que não tenha permissão de acesso.

3.3 INCLUSÃO DIGITAL

Para falar de inclusão digital, primordialmente é importante tratar de inclusão social.

Esta é o conjunto de ações que permitem que todos tenham acesso igualitário na sociedade,
independe de qualquer diferença. Logo, no âmbito digital, é necessário que os processos
tecnológicos cheguem até às pessoas, pois é no ambiente digital onde hoje estão dispostas todas
as informações. Quanto maior o número de pessoas com acesso ao meio digital, mais
democrática também a internet se torna.

Enfrentamos desafios para que esse meio chegue a todos, mesmo neste mundo
globalizado e com o avanço tecnológico cada vez mais rápido. Desta forma, muito se trabalha
na inserção de políticas públicas assim como iniciativas privadas para que esse conhecimento
alcance à população e assim seja multiplicado e perpetuado. Consequentemente, alcançando a
todos proporciona maior discernimento também quanto ao compartilhamento de dados evitando
construindo assim uma barreira orgânica para evitar o seu vazamento.

Segundo a Pesquisa Nacional por Amostra de Domicílios Contínua, do IBGE realizada

em 2018, mostra que 46 milhões de brasileiros ainda não possuem acesso à internet. Ou seja,
todas essas pessoas estão excluídas de todo o contexto que está sendo abordado neste trabalho.
Em entrevista concedida ao jornal Extra Classe, em 2005, o autor de diversos livros e artigos
voltados para a era da informação, Manuel Castells pontua uma forma de caracterizar um
excluído digital:

17
 Um excluído digital tem três grandes formas de ser excluído. Primeiro, não tem acesso
à rede de computadores. Segundo, tem acesso ao sistema de comunicação, mas com
uma capacidade técnica muito baixa. Terceiro, (para mim é a mais importante forma
de ser excluído e da que menos se fala) é estar conectado à rede e não saber qual o
acesso usar, qual a informação buscar, como combinar uma informação com outra e
como a utilizar para a vida. Esta é a mais grave porque amplia, aprofunda a exclusão
mais séria de toda a História; é a exclusão da educação e da cultura porque o mundo
digital se incrementa extraordinariamente (CASTELLS, 2005, s.p.).

Seja por acesso à internet ou ao dispositivo, limitações da idade ou alfabetização digital,

a exclusão é uma realidade vivida por uma quantidade significativa de pessoas e que causa
impacto direto no manejo e, consequentemente, na segurança da informação que está sendo
transmitida através de um aplicativo, por exemplo. Essa falta de conhecimento no manuseio das
ferramentas tornam os dados pessoais ainda mais expostos, pois falta o devido entendimento
para compreender na sua totalidade o que realmente deve ser compartilhado.

Imagina se a pessoa não tem o conhecimento de manusear um aplicativo bancário, não

consegue realizar suas transações e ainda mais preocupante, acessa links suspeitos que solicitam
dados bancários. Devido esse usuário não ter o devido conhecimento, ele geralmente tende a
ser um alvo mais atrativo para terceiros que estão tentando coletar os seus dados indevidamente.

Para aqueles que ainda usam os canais físicos, têm a oportunidade de ver um
procedimento de segurança quando se realiza uma transação; ao aguardar na tela de
carregamento, aparece uma mensagem informando para nunca fornecer sua senha a terceiros,
pois esta é de uso pessoal.

As instituições financeiras precisam sempre manter uma política de orientação de

quanto aos cuidados do uso das tecnologias no manuseio dos dados pessoais como uma forma
de também se resguardar para evitar possíveis danos não somente ao usuário como a si, pois
conforme observado, existem sanções aplicáveis que dependendo do grau podem levar a
instituição a situações irreversíveis.

CONCLUSÃO

A tecnologia trouxe inúmeros benefícios das quais se destacam a praticidade e

facilidade nos demais segmentos da sociedade. Dentre eles também existe o surgimento das
fintechs bancárias que são paradigmas na revolução do mercado financeiro e de transações
bancárias com sua constante inovação, consolidando a ideia de desburocratização dos

18
bancos tradicionais.
Embora os bancos digitais tenham trazido inúmeros benefícios, também estão
associados a muitos perigos que o ambiente virtual pode oferecer. Com isso, o direito
precisou abarcar essa nova área digital e reconfigurou seu ordenamento jurídico com novas
formatações; com surgimento de leis específicas assim como novas regulamentações. O
Marco Civil da Internet bem como a Lei da Inovação disciplinaram parâmetros iniciais a fim
de regulamentar as relações digitais. Tudo isso, para buscar conformidade com a “lei mãe”
que é a Constituição Federal de 1988.

Desde a apropriação da ideia do Compliance, o Brasil captou a necessidade de se

adequar aos novos meios de seguir em conformidade para promover a seguridade do direito
à privacidade. Com o avanço tecnológico houveram A criação da LGPD, inspirada no
regulamento adotado pela União Europeia, foi fomentada no preceito de construir uma
cultura de proteção de dados no país para seguir garantindo os direitos fundamentais
constitucionais no ambiente virtual.

Nesse segmento, uma vez que o ambiente digital ainda possui lacunas quanto à
seguridade de dados, promover o devido tratamento desses dados, deixá-los em segurança
e, por vezes em sigilo, é desafiador quando o ambiente é vulnerável aos crimes cibernéticos.
Além do mais, muitas pessoas ainda não têm o conhecimento e/ou não sabem manipular as
ferramentas de acordo com as regras de segurança como mais um filtro de proteção para
evitar ataques cibernéticos.

Constatou-se que a LGDP é fundamental para nortear e regulamentar o tratamento

dos dados pessoais em conjunto com a fiscalização da adição da nova redação com a ANPD,
principalmente em relação as fintechs bancárias, trazendo mais confiabilidade nas transações
e segurança tanto para a parte dos bancos quanto aos usuários. A inteligência artificial é
alimentada por dados e, por isso é uma importante aliada dessas empresas para monitorar e
auditar procedimentos com transparência e a devida autorização.

As considerações ao direito à privacidade estão diretamente associadas à referida lei

ao elencarem o rol de garantias inerentes à pessoa humana de forma a também servirem de
suporte à disponibilização de dados uma vez que ainda é detectado impasses jurídicos. A
inclusão digital é outra ferramenta que associada as demais, podem criar um ambiente muito
mais confiável, e para que o indivíduo possa usufruir e ter conhecimento de todos os seus

19
direitos sem limitações.
Por isso, a efetivação das sanções ao descumprimento da Lei 13.709/18 é essencial
para garantir seu principal objetivo que é a destinação adequada e necessária dos dados
pessoais, financeiros e sigilosos. Tal qual o direito precisa constantemente se reinventar para
associar segurança de dados pessoais, inovação e desenvolvimento das fintechs bancárias.

REFERÊNCIAS

ARAÚJO JÚNIOR, João Marcelo de. Dos Crimes contra a ordem econômica. São
Paulo: RT, 1995, p. 127 e 133. In: Marra, F. B. (2019). Desafios do Direito na Era da Internet:
uma breve análise sobre os crimes cibernéticos. Journal of Law and Sustainable
Development, 7(2), 145–167.

ASSI, Marcos. Compliance: como implementar. São Paulo: Trevisan, 2018.

AUTORIDADE NACIONAL DA PROTEÇÃO DE DADOS. REGULAMENTO DE

DOSIMETRIA E APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS: ANPD publica
regulamento de aplicação de sanções administrativas. 2023. Disponível em:
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria.
Acesso em: 18 abr. 2023.

AUTORIDADE NACIONAL DA PROTEÇÃO DE DADOS. RESOLUÇÃO CD/ANPD N°

4. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-
regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf.. Acesso em: 18 abr. 2023.

MINISTÉRIO PUBLICO. REGULAMENTO DE DOSIMETRIA E APLICAÇÃO DAS

SANÇÕES ADMINISTRATIVAS: CNMP reconhece relevância do regulamento de
aplicação das sanções referentes ao descumprimento da Lei Geral de Proteção de Dados.
2023. Disponível em: https://www.cnmp.mp.br/portal. Acesso em: 18 abr. 2023.

BRASIL. CÓDIGO CIVIL DE 2002. 2002. Disponível em:

http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm. Acesso em: 20 maio
2023.

BRASIL. CONSTITUIÇÃO FEDERAL DE 1988: Constituição da República Federativa do

Brasil de 1988. 1988. Disponível em:
http://www.planalto.gov.br/ccivil_03/constituicao/constituicaocompilado.htm. Acesso em: 20
maio 2023.

BRASIL. CONSTITUIÇÃO FEDERAL DE 1988: Emenda Constitucional n° 115. 2022.

Disponível em:
https://www.planalto.gov.br/ccivil_03/constituicao/Emendas/Emc/emc115.htm#:~:text=EME
NDA%20CONSTITUCIONAL%20N%C2%BA%20115%2C%20DE,e%20tratamento%20de
%20dados%20pessoais. Acesso em: 20 maio 2023.

BRASIL. LEI N° 12.737: Lei dos Crimes Cibernéticos. 2012. Disponível em:
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 20
maio 2023.

20
BRASIL. LEI N° 13.709: Lei Geral de Proteção de Dados. 2018. Disponível em:
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 18
abr. 2023

BRASIL. LEI N° 10.973: Lei da Inovação. 2004. Disponível em:

https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 18
abr. 2023.

BRASIL. LEI N° 12.965: Marco Civil da Internet. 2014. Disponível em:

https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 18
abr. 2023.

BRASIL. PLP 158/2020: Projeto de Lei Complementar n° 158. 2020. Disponível em:
https://www25.senado.leg.br/web/atividade/materias/-/materia/142355. Acesso em: 18 abr.
2023.

CASTELLS, Manuel. O caos e o progresso. Entrevista concedida a Keli Lynn Boop. Jornal
Extra Classe. Porto Alegre, março. 2005. Disponível em:
<https://www.extraclasse.org.br/geral/2005/03/o-caos-e-o-progresso/>. Acesso em:
18/04/2023.

COMISSÃO EUROPEIA. Proteção de Dados na UE. Disponível em:

<https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_pt>. Acesso
em: 02/06/2023.

DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar,

2006. P. 222. In: MALHEIRO, Luíza Fernandes. O consentimento na proteção de dados
pessoais na Internet: uma análise comparada do Regulamento Geral de Proteção de Dados
europeu e do Projeto de Lei 5.276/2016. 2017. 86 f. Trabalho de Conclusão de Curso
(Bacharelado em Direito)-Universidade de Brasília, Brasília, 2017.

EUR – Lex. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de

abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva
95/46/CE. Disponível em: http://eur-lex.europa.eu/legal-
content/PT/TXT/?uri=celex%3A32016R0679 Acesso em: 02/06/2023.

FERREIRA, Ivette Senise. Direito & Internet: Aspectos Jurídicos Relevantes. 2 ed. São
Paulo: Quartier Latin, 2005.

FIGO, Anderson; LEWGOY, Júlia. O Guia Essencial das Fintechs. São Paulo: Editora Abril,
2019.

HAENLEIN, Michael; KAPLAN, Andreas – A Brief History of Artificial Intelligence: On

the Past, Present, and Future Artificial Intelligence. Berkeley: California Management
Review, 2019.

IBGE. Acesso à internet e à televisão e posse de telefone móvel celular para uso pessoal
PNAD Contínua 2018. Disponível em:
<https://ftp.ibge.gov.br/Trabalho_e_Rendimento/Pesquisa_Nacional_por_Amostra_de_Domi

21
cilios_continua/Anual/Acesso_Internet_Televisao_e_Posse_Telefone_Movel_2018/Analise_d
os_resultados_TIC_2018.pdf>. Acesso em: 18/04/2023.

MENDES, Adriano. Histórico das leis de proteção de dados e da privacidade na internet.

2020. Disponível em: https://assisemendes.com.br/historico-protecao-de-dados. Acesso em:
20/05/2023

RODRIGUES, Amanda. Lei Geral da Proteção de Dados no âmbito das fintechs.

Pontifícia Universidade Católica de Goiás. Goiás, 2020. Disponível em:
<https://repositorio.pucgoias.edu.br/jspui/handle/123456789/202>. Acesso em: 02/06/2023.

SILVA, Ângelo Roberto Ilha da. Crimes cibernéticos. 2. ed. São Paulo: Livraria do
Advogado, 2017. In. A eficácia do direito digital no combate aos crimes cibernéticos. Acesso
em: 29/05/2023. Disponível em:
<https://repositorio.animaeducacao.com.br/bitstream/ANIMA/28255/1/TCC%20FINAL%20-
%20LARISSA%20SANTOS%20MACIEL%20RA%2081817930.pdf>.

SOUTO, Gabriel Araújo. A cessão de dados financeiros como um novo modelo de negócio
através do open banking. Disponível em:
<https://revistapgbc.bcb.gov.br/index.php/revista/issue/view/33/A1%20V.14%20-%20N.2>.
Acesso em: 29/05/2023.

TEFFÉ, Chiara Spadaccini de; VIOLA, Mario. Tratamento de dados pessoais na LGPD:
estudo sobre as bases legais. Civilistica.com. Rio de Janeiro, a. 9, n. 1, 2020. Disponível
em: <http://civilistica.com/tratamento-de-dados-pessoais-na-lgpd/>. Acesso em: 18/04/2023.
TERADA, Routo. Segurança de dados – criptografia em redes de computador. São Paulo:
Edgard Blucher, 2000.

UERJ. Fintechs, Pandemia e os Desafios Regulatórios no Brasil. Disponível em:

<http://www.cpjm.uerj.br/entrevista-ilene-patricia-noronha-najjarian/>. Acesso em:
29/05/2023.

22