QUEM QUER LICENÇA DO BACEN, VAI TER QUE CUIDAR BEM DOS DADOS PESSOAIS.
A essa altura do campeonato, se você ainda não está preparando sua empresa para cumprir as exigências da Lei 14.478/23 e da proposta do Banco Central de regulamentação contida nas Consultas Públicas 109, 110 e 111, está perdendo tempo de sair na frente na corrida da licença de autorização.
Mas se você já está correndo atrás de políticas internas e estrutura de governança, ótimo. Só não esquece de uma coisinha básica: proteção de dados pessoais.
Porque sim — entre os diversos requisitos para uma VASP operar legalmente no Brasil, um deles é estar adequada à LGPD.
• Mas isso está na lei mesmo?
Sim. O art. 7º da Lei 14.478/23 exige que os prestadores de serviços com ativos virtuais adotem medidas de segurança da informação e de proteção de dados pessoais, compatíveis com a legislação vigente. Traduzindo: se sua exchange ainda não olhou para a LGPD com seriedade, o problema não é só o vazamento de dados — é o descumprimento da própria lei que trata da licença para operar.
• Ah, mas a gente só coleta e-mail e CPF…
Parabéns, você já tem o suficiente para: ser alvo de ataque hacker, virar matéria no G1, receber notificação da ANPD, e, agora, ficar na mira do Banco Central no momento da análise do pedido de autorização.
Não é exagero. A proteção de dados não é mais uma “política” que pode ficar na gaveta do jurídico, é requisito regulatório. E mais: é critério de reputação num mercado que já sofre com desconfiança crônica.
• Onde o bicho pega
Se você ainda usa o contrato padrão da primeira versão da sua fintech de 2019, nunca fez DPIA, ROPA e o estagiário que cuida do marketing tem acesso irrestrito à base de clientes, spoiler: sua adequação é só um PowerPoint bonito.
E spoiler 2: o Bacen não é fã de PowerPoint bonito.
• O que precisa ser feito (de verdade)
-
- Mapeamento dos Processos de Tratamento de Dados Pessoais;
- Política de Privacidade com versão atualizada e clara, específica para os processos que foram mapeados, não aquela colcha de retalhos estilo “Ctrl C do Nubank”;
- Registros de tratamento com base legal definida;
- Avaliação de riscos (sim, tem que fazer DPIA!);
- Procedimentos internos para atendimento de titulares;
- Treinamento de equipe;
- E, idealmente, indicação de DPO que não seja só um nome na política (quem sabe até saiba o que faz!)
• O que isso tem a ver com regulação financeira?
Tudo. A supervisão do Bacen vai olhar para sua estrutura de segurança, resiliência operacional, plano de continuidade de negócios e proteção de dados pessoais. A LGPD não está num universo paralelo. Ela é parte da estrutura regulatória e de compliance que você precisa implementar.
E aqui vai um lembrete carinhoso: LGPD não é checklist pra deixar pra depois da licença. Se sua operação não está minimamente adequada, pode esquecer a carta-branca para operar no Brasil!
Emília Campos
