LGPD, fraude e dados sensíveis: onde a régua deve ser mais alta

2026-05-05 | IBeGI

LGPD Fraude

## Introdução A relação entre **LGPD, fraude e dados sensíveis** exige cuidado especial no crédito. A prevenção a fraude é legítima e necessária. Sem ela, aumentam perdas, golpes, falsidade cadastral, abertura indevida de contas, concessão de crédito fraudulenta e prejuízos ao consumidor. Mas a busca por segurança não autoriza qualquer tratamento de dados. O ponto crítico está nos dados sensíveis. Pela LGPD, dados sobre saúde, origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, vida sexual, dados genéticos e biométricos vinculados a pessoa natural recebem proteção reforçada. No crédito digital, a biometria merece destaque. Ela pode ser usada em processos de identificação e autenticação, mas exige governança superior à de dados cadastrais comuns. ## Fraude é finalidade legítima, mas não ilimitada Prevenir fraude é uma finalidade relevante para instituições financeiras, fintechs, varejistas, birôs e plataformas digitais. Verificar identidade, evitar uso indevido de documentos, impedir tomada de crédito por terceiros e proteger sistemas eletrônicos são objetivos compatíveis com a sustentabilidade do mercado. O problema começa quando a finalidade “antifraude” é usada de forma ampla demais. Nem todo dado sensível pode ser tratado sob o argumento genérico de segurança. A base legal precisa ser adequada ao tipo de dado e ao contexto. Para dados sensíveis, a hipótese de prevenção à fraude e segurança do titular é mais estreita: está ligada a processos de identificação e autenticação de cadastro em sistemas eletrônicos. Isso é diferente de usar dados sensíveis para score, segmentação de cobrança, precificação, ranqueamento comercial ou seleção de público. ## Biometria exige controle forte Biometria facial, voz, impressão digital ou outros identificadores biométricos podem reduzir fraude, mas também aumentam o risco em caso de uso indevido ou vazamento. Senhas podem ser trocadas; biometria, não. Por isso, operações biométricas devem ter: - finalidade clara; - base legal específica; - coleta mínima; - informação ao titular; - criptografia ou proteção equivalente; - segregação de acesso; - retenção limitada; - fornecedores auditáveis; - plano de resposta a incidente; - descarte quando a finalidade terminar. A organização deve evitar armazenar biometria “por via das dúvidas”. Se a validação puder ser feita com menor retenção, tokenização, prova de verificação ou arquitetura de menor exposição, esse desenho deve ser considerado. ## Dados sensíveis não devem alimentar score comum Uma regra prática para o setor: dados sensíveis não devem entrar na rotina ordinária de score, régua de cobrança, segmentação comercial ou política de preço. Mesmo que um atributo pareça estatisticamente correlacionado com risco, ele pode ser inadequado juridicamente e eticamente. A LGPD inclui o princípio da não discriminação, e a legislação do Cadastro Positivo também afasta elementos que não sejam vinculados à análise de risco de crédito ou que envolvam atributos sensíveis. Além disso, há o risco de proxies. O modelo pode não usar diretamente um dado sensível, mas usar variáveis que reproduzem efeitos discriminatórios. Endereço, padrão de consumo, ocupação, tipo de aparelho, comportamento digital ou origem da base podem carregar vieses. Isso não significa que todo uso seja proibido, mas exige avaliação técnica e jurídica. ## Fraude, Open Finance e compartilhamento regulado No ambiente financeiro, prevenção a fraude também se conecta a normas setoriais, segurança cibernética e compartilhamentos regulados. O Banco Central regula temas como SCR, Open Finance, segurança e mecanismos de troca de informações em contextos específicos. Atenção: regimes diferentes não devem ser misturados. Open Finance depende de autorização do cliente para compartilhamento de dados dentro de finalidade e prazo definidos. SCR tem lógica regulatória própria. Cadastro Positivo tem regime específico. Antifraude também pode ter fundamentos próprios. Uma mesma tela ou jornada digital não deve esconder várias finalidades sob uma autorização genérica. ## O que documentar Um programa antifraude alinhado à LGPD deve documentar: - finalidade de cada validação; - tipo de dado coletado; - base legal usada; - necessidade do dado; - fornecedor envolvido; - local de armazenamento; - prazo de retenção; - regras de acesso; - critérios de revisão; - impacto em decisões automatizadas; - medidas de segurança. Quando houver alto risco, grande escala, dados sensíveis ou decisão automatizada relevante, a empresa deve avaliar relatório de impacto ou documento equivalente de análise de risco. ## O papel da área de tecnologia Fraude não é apenas tema jurídico. A arquitetura técnica define o nível de exposição. Sistemas que copiam dados entre várias bases, mantêm imagens sem necessidade, liberam acesso amplo a operadores ou integram fornecedores sem rastreabilidade ampliam o risco. Boas escolhas técnicas incluem: - segregação de ambientes; - logs de consulta; - controle de privilégio mínimo; - mascaramento de dados; - revisão de acessos; - APIs com escopo limitado; - eliminação automática conforme retenção; - monitoramento de incidentes. A melhor governança é aquela que evita depender apenas de treinamento e intenção individual. ## Conclusão Prevenir fraude é indispensável. Mas, quando dados sensíveis entram na operação, a régua jurídica, técnica e ética precisa subir. O desafio do setor é construir segurança com proporcionalidade: proteger o crédito e o consumidor sem transformar dados sensíveis em matéria-prima ilimitada para modelos e automações. **Fontes oficiais para link externo:** - [LGPD — Lei nº 13.709/2018, texto compilado](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm) - [ANPD — Guia Orientativo sobre Legítimo Interesse](https://www.gov.br/anpd/pt-br/centrais-de-conteudo/materiais-educativos-e-publicacoes/guia_orientativo_hipoteses_legais_tratamento_de_dados_pessoais_legitimo_interesse) - [Banco Central — Open Finance](https://www.bcb.gov.br/estabilidadefinanceira/openfinance) ---