CDC, LGPD e BACEN: o que cada regulação impõe na cobrança automatizada
Guia prático dos três pilares regulatórios que toda operação de cobrança com IA no Brasil precisa observar, e como a Dyvit implementa cada um por design.
A cobrança automatizada no Brasil não opera em vácuo regulatório. Ao contrário: é um dos segmentos mais regulados do mercado financeiro, com sobreposição de normas que cobrem a relação com o consumidor (CDC), o tratamento de dados pessoais (LGPD) e a infraestrutura de pagamento (BACEN).
Empresas que tratam compliance como pós-venda, algo a ser resolvido quando a regulação bate à porta, constroem em areia. Empresas que incorporam compliance como arquitetura constroem com vantagem competitiva.
Este guia não é aconselhamento jurídico. É um mapeamento prático das principais obrigações e de como cada uma é implementada num sistema de cobrança com IA.
CDC: Código de Defesa do Consumidor
O CDC é a base. O artigo 42 estabelece o princípio fundamental: o consumidor inadimplente não pode ser exposto ao ridículo, nem submetido a constrangimento ou ameaça. Simples na teoria, complicado na prática quando você tem centenas de atendentes humanos com autonomia de tom.
O que o CDC proíbe na cobrança
Horários proibidos: contato para fins de cobrança antes das 8h e após as 20h em dias de semana, e aos domingos e feriados. Muitos sistemas automatizados ignoram isso. O risco não é apenas de multa: é de nulidade do procedimento de cobrança e dano moral ao consumidor.
Informação a terceiros: é vedado revelar a terceiros, incluindo vizinhos, colegas de trabalho e parentes, a situação de inadimplência do devedor. Cobrança em local de trabalho é permitida apenas quando não há outro meio de contato.
Ameaça e constrangimento: qualquer linguagem que implique consequência desproporcional, ameaça penal inexistente ou pressão psicológica abusiva configura violação. "Suas informações serão encaminhadas ao Ministério Público": mentira e violação.
O agente opera dentro de janelas configuradas pelo credor, com hard limit nos horários do CDC. Toda mensagem passa por um filtro de linguagem que identifica e bloqueia padrões de constrangimento antes do envio. O tom é configurável, mas os limites legais não são.
A questão do "agente automatizado" na relação de consumo
O CDC não prevê explicitamente agentes de IA: foi escrito em 1990. Mas o SENACON (Secretaria Nacional do Consumidor) já publicou notas técnicas indicando que a relação de consumo mediada por IA é regida pelos mesmos princípios: transparência, identificação e respeito ao consumidor.
Na prática: o agente precisa se identificar como automatizado quando perguntado. Não precisa se apresentar como "robô" em toda mensagem, pois isso seria contraproducente, mas não pode afirmar ser humano. A Dyvit configura o agente para se identificar como "assistente Dyvit" e, se questionado diretamente sobre sua natureza, confirmar que é um sistema automatizado.
LGPD: Lei Geral de Proteção de Dados
A LGPD entrou em vigor em 2020 e estabeleceu um framework completo para tratamento de dados pessoais no Brasil. Para operações de cobrança, os pontos críticos são: base legal para tratamento, finalidade, minimização de dados, prazo de retenção e direitos do titular.
Base legal para cobrança
A cobrança de dívidas se enquadra em duas bases legais da LGPD: cumprimento de obrigação legal (quando há contrato com o devedor) e legítimo interesse (para recuperação de crédito). Isso significa que você não precisa de consentimento do devedor para cobrar, mas precisa de proporcionalidade e transparência.
O que precisa de consentimento explícito: usar os dados do devedor para fins além da cobrança (enriquecimento de perfil para marketing, por exemplo). Usar para cobrança de dívida diferente da relação original. Compartilhar com terceiros para finalidades não previstas.
Direitos do titular que impactam a operação
| Direito LGPD | Impacto na Cobrança | Como implementar |
|---|---|---|
| Acesso aos dados | Devedor pode solicitar quais dados você tem sobre ele | Portal de privacidade com exportação em até 15 dias |
| Correção | Devedor pode corrigir dados incorretos (telefone, email) | Canal direto para atualização com confirmação |
| Oposição ao tratamento | Pode se opor ao uso de dados para cobrança automatizada | Opt-out imediato e permanente registrado no sistema |
| Portabilidade | Pode solicitar seus dados em formato estruturado | Exportação em JSON/CSV dentro de 15 dias |
| Eliminação | Pode solicitar exclusão após liquidação da dívida | Exclusão em 30 dias após quitação, com prazo mínimo obrigatório |
Retenção de dados: o prazo que ninguém lembra
A LGPD não fixa um prazo único de retenção: ela exige que o prazo seja proporcional à finalidade. Para operações de crédito, o Código Civil prevê prescrição de 5 anos para cobranças. O BACEN exige manutenção de registros de operações financeiras por 5 anos. Na prática: dados de cobrança devem ser retidos por 5 anos após a quitação ou prescrição, e depois excluídos ou anonimizados.
Armazenamento 100% em datacenters brasileiros. Política de retenção automática de 5 anos com exclusão programada. Canal de exercício de direitos do titular integrado ao painel do credor. Logs de consentimento e opt-out imutáveis.
BACEN: Banco Central do Brasil
O BACEN regula a cobrança de forma indireta (via regulação das instituições financeiras que originam o crédito) e direta (via regulação do Pix e do sistema de pagamentos). Para uma empresa de cobrança com IA, os pontos relevantes são três.
Registro de ocorrências e auditabilidade
Toda comunicação de cobrança mediada por plataforma digital deve ser auditável. O BACEN exige que instituições financeiras mantenham registros de todas as interações com clientes inadimplentes por prazo mínimo de 5 anos, com possibilidade de acesso rápido em caso de reclamação no Banco Central ou no PROCON.
Isso é, na prática, uma exigência de log completo de conversas. Cada mensagem enviada, cada resposta recebida, cada link Pix gerado: tudo precisa estar gravado e vinculado ao contrato específico.
Regulação do Pix em contexto de cobrança
A Resolução BCB nº 1 regulamenta os links de cobrança Pix. Os principais requisitos: identificação clara do beneficiário (o credor), valor e data de vencimento explícitos, chave Pix válida e registrada no DICT, e cancelamento da cobrança em caso de acordo de desconto (não dá para gerar um link novo e deixar o original ativo).
White-label e subcontratação
Empresas de cobrança que operam em nome de instituições financeiras reguladas pelo BACEN estão sujeitas ao escrutínio indireto do Banco Central. Isso significa que o credor é responsável pelos atos do prestador de serviços de cobrança. A due diligence precisa ser documentada.
Compliance não é um custo. É um filtro que elimina concorrentes que atalham. As regulações do CDC, LGPD e BACEN criam uma barreira de entrada para quem constrói corretamente desde o início, e uma barreira de saída para quem ignora até ser autuado. Para quem opera dentro das regras, a regulação é um ativo.
Na plataforma Dyvit, compliance se estende além da cobrança: faturamento, billing recorrente, assinaturas, checkout multi-pagamento e reconciliação operam dentro dos mesmos guardrails regulatórios. Cada ação de cada agente é registrada com audit trail completo.
Conformidade por design, do faturamento à reconciliação
Veja como a Dyvit implementa CDC, LGPD e BACEN nativamente em toda a plataforma: billing, cobrança, checkout e reconciliação.
Agendar demonstração