.png)
LGPD pagamentos é o conjunto de obrigações da Lei 13.709/2018 que recaem sobre empresas que processam transações financeiras digitais, determinando como dados pessoais de compradores e merchants devem ser coletados, tratados, armazenados e compartilhados com terceiros.
Em agosto de 2023, a ANPD aplicou sua primeira sanção administrativa sob a LGPD. Em 2024, a fiscalização acelerou: 34 processos administrativos concluídos, com penalidades que podem chegar a R$ 50 milhões por infração conforme o art. 52 da lei. O teto legal ainda não foi atingido em nenhum caso, mas o ritmo de autuações deixa claro que a fase de "vamos ver o que acontece" acabou.
Para um PSP, o risco é específico. A operação toca dados de dois lados ao mesmo tempo: o merchant (CNPJ, sócios, conta bancária, volume transacionado) e o comprador final (CPF, e-mail, endereço, comportamento de compra). A LGPD enxerga qualquer empresa que controle esses dois fluxos como controladora de dados nas duas pontas, e não distingue porte nem faturamento na hora de autuar.
Isso não é questão de TI.
É uma decisão que começa no CEO e, dependendo do tamanho da carteira de merchants, muda o orçamento de compliance dos próximos dois anos.
O que o regulador pede pelo nome
A lei nomeia documentos específicos que a ANPD pode solicitar a qualquer momento. Não um "programa de conformidade" genérico. Documentos com nome, estrutura e conteúdo definidos.
O primeiro é o RIPD (Relatório de Impacto à Proteção de Dados Pessoais), previsto no art. 38 da LGPD. Ele mapeia quais dados a plataforma trata, com que finalidade, por quanto tempo, quem tem acesso e quais riscos existem para o titular. Sem esse documento, a empresa não tem resposta formal para uma intimação.
O segundo é o Registro de Operações de Tratamento, a camada operacional do RIPD. Para um PSP, isso significa listar cada fluxo: onboarding de merchant, processamento de transação, consulta a bureau de crédito, compartilhamento com parceiros de análise de risco e armazenamento em nuvem. Cada fluxo com base legal identificada, conforme o art. 7 da lei.
O terceiro é a Política de Privacidade com canal real de atendimento ao titular. O comprador que pagou na plataforma tem direito a saber quais dados foram coletados, pedir exclusão e revogar consentimento. Se a empresa não responde esses pedidos em até 15 dias, está em descumprimento formal.
Papel vs. operação real
Muitas empresas de pagamentos têm um documento chamado "Política de Privacidade" publicado no site. Quase nenhuma tem o mapeamento de dados atualizado que o RIPD exige.
A diferença é que o regulador não investiga o texto da política. Investiga a capacidade operacional: a empresa consegue mostrar, hoje, quais sistemas acessam dados de CPF? Quem dentro da organização tem acesso ao extrato de transações de um comprador específico? Quando esses dados são excluídos após o encerramento do contrato com o merchant?
Já vimos casos em que a política estava redigida com cuidado, o site tinha um portal dedicado para titulares e o RIPD simplesmente não existia. A multa não leva em conta a elegância do que está publicado.
Vale dizer: adequação real não é barata nem rápida. Um processo completo de mapeamento em uma operação com dezenas de merchants e integrações com parceiros de risco pode levar meses. A questão não é ter tudo perfeito agora, é ter o que o regulador vai pedir documentado antes que ele peça.
4 pontos que o regulador investiga
A fiscalização da ANPD, conforme o Regulamento de Fiscalização (Resolução CD/ANPD nº 1/2021), cobre áreas específicas para empresas do setor financeiro.
1. Base legal documentada por fluxo de dado. Cada operação de tratamento precisa ter base legal nomeada e registrada. Para um PSP, as mais comuns são execução de contrato (art. 7, V) para o processamento e legítimo interesse (art. 7, IX) para prevenção de fraude. O que derruba na auditoria não é ausência de base legal: é base que existe mas não está documentada por fluxo, o que é tratado como se não existisse.
2. Atendimento ao titular com evidência. Não basta ter um e-mail de privacidade no site. O regulador quer ver SLA de resposta, histórico de atendimento e evidência de que os pedidos foram respondidos dentro do prazo. Para PSPs com carteiras ativas, isso inclui dados de compradores de merchants que encerraram contrato há um ou dois anos.
3. Segurança técnica e organizacional documentada. O art. 46 exige criptografia em trânsito e em repouso, controle de acesso por função, logs de auditoria e plano de resposta a incidentes. O ponto que mais aparece como lacuna em fiscalizações é a gestão de terceiros: parceiros, fornecedores de análise de risco e provedores de nuvem que acessam dados mas não estão mapeados como operadores.
4. DPO que conhece a operação. Não é só preencher o campo no site da ANPD. O art. 41 exige autonomia real do Encarregado dentro da estrutura. A autoridade pode solicitar contato direto com o DPO durante uma fiscalização, e uma resposta genérica de alguém que não sabe o que acontece no processamento piora o processo, não ajuda.
Infraestrutura e visibilidade de dados
Nós da Barte não somos solução de compliance LGPD. Esse trabalho exige DPO qualificado e escritório jurídico especializado. Quem oferecer "adequação LGPD" como feature de plataforma está vendendo algo que não existe.
Aliás, esse ponto merece ser dito com mais precisão: visibilidade de dados e conformidade regulatória são coisas diferentes. Infraestrutura te diz onde os dados trafegam. Compliance te diz se você tem base legal para tê-los lá. São camadas separadas, e confundir as duas é o tipo de erro que aparece na primeira fiscalização.
O que a infraestrutura resolve é a visibilidade sobre o fluxo. Quando uma empresa de pagamentos processa transações com marca própria, via checkout na sua URL, link de pagamento no seu portal e conta digital integrada à operação, os dados trafegam em um ambiente onde a empresa tem rastreabilidade real: quem acessou o quê, quando e em qual contexto.
Isso não substitui o RIPD. Mas é a diferença entre construir o mapeamento com registros reais e construí-lo na base da estimativa.
Pergunta para o seu provedor de infraestrutura atual: se a ANPD me intimar pedindo o log de acesso aos dados de CPF dos compradores que passaram pela plataforma nos últimos 12 meses, você consegue entregar isso em até 5 dias úteis, em formato estruturado?
Não é uma pergunta difícil. Se a resposta demorar para chegar, você já tem a resposta.
Perguntas frequentes sobre LGPD pagamentos
O que é LGPD pagamentos? LGPD pagamentos é o conjunto de obrigações da Lei 13.709/2018 aplicadas a empresas que processam transações financeiras digitais. Inclui regras sobre coleta, tratamento, armazenamento e compartilhamento de dados pessoais de compradores e merchants, com multas administrativas de até R$ 50 milhões por infração (art. 52 da lei).
PSP é controlador ou operador de dados segundo a LGPD? Depende do fluxo. Na relação com o comprador final, o PSP geralmente é controlador porque define como os dados de pagamento são tratados. Na relação com o merchant, pode atuar como operador quando processa dados a serviço deste. Na prática, a maioria dos PSPs é controladora e operadora ao mesmo tempo em fluxos distintos, o que amplia as obrigações em vez de simplificá-las.
Quais sanções a LGPD pode aplicar a uma empresa de pagamentos? As sanções do art. 52 incluem multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração. Além da multa, o regulador pode determinar bloqueio do banco de dados, suspensão parcial do funcionamento e publicização da infração. Para empresas de pagamentos, esse último ponto tem impacto direto na relação com merchants e parceiros.
O que é o RIPD e quem precisa elaborá-lo? O RIPD (Relatório de Impacto à Proteção de Dados Pessoais) é o documento do art. 38 da LGPD que mapeia operações de tratamento com potencial risco para titulares. Para empresas de pagamentos que processam dados financeiros em volume, a elaboração é recomendada mesmo quando não expressamente exigida. A ANPD pode solicitá-lo durante qualquer processo de fiscalização, sem aviso prévio.
Como a Barte lida com rastreabilidade de dados na operação? Na infraestrutura Barte, o processamento ocorre com a marca do operador: o checkout fica na URL da empresa de pagamentos, a conta digital é integrada à operação e o acesso aos dados de transação fica disponível para quem opera a plataforma. Não substituímos o DPO, mas quem usa a infraestrutura tem o mapa de dados necessário para construir o RIPD com registros reais.
Quer estruturar sua operação de pagamentos com visibilidade real sobre o fluxo de dados? Acesse whitelabel.barte.io.
.png)
.png)
.png)
.png)
.png)
.png)
