Como a ANPD fiscaliza o uso de APIs de consulta de CPF

A ANPD fiscaliza o uso de APIs de consulta de CPF avaliando seis critérios principais: base legal para o tratamento, finalidade e necessidade, transparência com o titular, segurança técnica da integração, contrato formal com o provedor da API e registro das atividades de tratamento — empresas que documentam esses pontos proativamente reduzem o risco de processos sancionadores.

Introdução

A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão responsável por fiscalizar o cumprimento da LGPD no Brasil. Com o crescimento do uso de APIs de consulta de CPF por fintechs, e-commerces e plataformas digitais, a ANPD tem dedicado atenção especial à forma como esses dados são coletados, processados e compartilhados por meio de integrações automatizadas.

Para empresas que utilizam APIs de validação de CPF, entender como a fiscalização funciona é essencial para evitar sanções e garantir que o tratamento de dados esteja em conformidade.

Como a ANPD atua na fiscalização

A ANPD utiliza diferentes mecanismos para fiscalizar o tratamento de dados pessoais:

Fiscalização reativa

Ocorre a partir de denúncias de titulares, organizações da sociedade civil ou de outros órgãos públicos. Quando um titular identifica que seus dados de CPF foram utilizados indevidamente, ele pode registrar uma reclamação diretamente na ANPD.

Fiscalização proativa

A ANPD realiza fiscalizações de ofício, especialmente em setores de maior risco, como serviços financeiros, saúde e tecnologia. Empresas que operam com grandes volumes de dados pessoais, incluindo CPF, estão entre os alvos prioritários.

Processos administrativos sancionadores

Quando identificada uma infração, a ANPD instaura um processo administrativo que pode resultar em:

• Advertência -- com prazo para adoção de medidas corretivas.

• Multa simples -- de até 2% do faturamento, limitada a R$ 50 milhões por infração.

• Multa diária -- até que a irregularidade seja corrigida.

• Publicização da infração -- divulgação pública do descumprimento.

• Bloqueio ou eliminação dos dados -- suspensão do tratamento.

O que a ANPD avalia em relação a APIs de CPF

Ao fiscalizar o uso de APIs de consulta de CPF, a ANPD analisa diversos aspectos:

1. Base legal para o tratamento

A ANPD verifica se a empresa possui base legal válida para consultar o CPF de titulares. O uso de uma API de validação deve estar amparado por uma das hipóteses do artigo 7o da LGPD, como execução de contrato, obrigação legal ou legítimo interesse.

2. Finalidade e necessidade

A consulta de CPF deve ter uma finalidade específica e declarada. A ANPD avalia se a empresa está coletando apenas os dados necessários (princípio da minimização) e se a finalidade justifica o tratamento.

3. Transparência com o titular

O titular deve ser informado sobre a consulta de seu CPF via API. Isso inclui avisos de privacidade, políticas de privacidade e termos de uso que mencionem o uso de serviços de validação de identidade.

4. Segurança da integração

A ANPD avalia as medidas técnicas adotadas para proteger os dados durante a transmissão e o armazenamento:

• Uso de HTTPS e criptografia em trânsito.

• Controle de acesso às chaves de API.

• Logs de auditoria das consultas realizadas.

• Política de gestão de credenciais.

5. Relação com fornecedores (operadores)

A ANPD verifica se existe um contrato formal entre a empresa (controlador) e o provedor da API (operador), definindo responsabilidades sobre o tratamento de dados, medidas de segurança e obrigações de conformidade.

6. Registro de atividades de tratamento

A empresa deve manter um registro documentado das atividades de tratamento que envolvem CPF, incluindo consultas realizadas via API, conforme exigido pelo artigo 37 da LGPD.

Como se preparar para uma fiscalização

Documente a integração com a API

Mantenha documentação atualizada sobre como a API de consulta de CPF é utilizada:

curl -X GET https://api.cpfhub.io/cpf/12345678900 \
    -H "x-api-key: SUA_CHAVE_DE_API" \
    -H "Accept: application/json" \
    --max-time 10

A resposta retornada:

{
    "success": true,
    "data": {
    "cpf": "12345678900",
    "name": "João da Silva",
    "nameUpper": "JOÃO DA SILVA",
    "gender": "M",
    "birthDate": "15/06/1990",
    "day": 15,
    "month": 6,
    "year": 1990
    }
}

Registre quais campos da resposta são utilizados e armazenados, e quais são descartados após o processamento.

Implemente logs de auditoria

Registre cada consulta de CPF realizada, incluindo data, hora, finalidade e responsável. Utilize CPF mascarado nos logs para minimizar riscos:

import requests
import logging
from datetime import datetime

logging.basicConfig(filename='auditoria_cpf.log', level=logging.INFO)

def consultar_cpf_auditado(cpf: str, finalidade: str, operador: str):
    url = f'https://api.cpfhub.io/cpf/{cpf}'
    headers = {
    'x-api-key': 'SUA_CHAVE_DE_API',
    'Accept': 'application/json'
    }

    response = requests.get(url, headers=headers, timeout=10)
    resultado = response.json()

    # Log com CPF mascarado
    cpf_mascarado = f'{cpf[:3]}.***.**{cpf[8]}-{cpf[9:]}'
    logging.info(
    f'{datetime.now().isoformat()} | '
    f'CPF: {cpf_mascarado} | '
    f'Finalidade: {finalidade} | '
    f'Operador: {operador} | '
    f'Sucesso: {resultado.get("success")}'
    )

    return resultado

consultar_cpf_auditado('12345678900', 'onboarding_kyc', 'sistema_cadastro')

Mantenha contratos com fornecedores

Formalize a relação com o provedor da API por meio de contrato ou termos de serviço que incluam cláusulas de proteção de dados, responsabilidades do operador e medidas de segurança.

Revise periodicamente

Conduza revisões periódicas da integração, verificando se as práticas continuam aderentes à LGPD e se há mudanças regulatórias que impactem o tratamento.

Casos reais de fiscalização da ANPD

A ANPD já abriu processos administrativos contra empresas que utilizaram dados de CPF de forma inadequada. Entre os padrões mais comuns de infração estão:

• Coleta de CPF sem base legal -- empresas que consultam CPFs sem justificativa legítima.

• Falta de transparência -- ausência de avisos de privacidade informando o titular sobre a consulta.

• Compartilhamento indevido -- repasse de dados de CPF a terceiros sem amparo legal.

• Falha de segurança -- vazamento de dados de CPF por falhas técnicas na integração ou armazenamento.

O papel do provedor da API na conformidade

O provedor da API de consulta de CPF atua como operador de dados e tem responsabilidades próprias sob a LGPD. Ao escolher um provedor, verifique se ele:

• Opera em conformidade com a LGPD.

• Utiliza criptografia em trânsito e em repouso.

• Não armazena dados sensíveis além do necessário.

• Oferece logs e registros para auditoria.

• Possui SLA documentado e política de segurança.

A API do CPFHub.io foi projetada com esses requisitos em mente, facilitando a formalização do contrato de operador exigido pela ANPD e a documentação das medidas de segurança para eventual fiscalização.

Perguntas frequentes

Toda empresa que usa uma API de consulta de CPF precisa de um contrato com o provedor?

Sim. Sob a LGPD, o provedor da API é considerado operador de dados e a empresa contratante é o controlador. O artigo 39 da lei exige que o controlador formalize essa relação por contrato ou instrumento equivalente, definindo as responsabilidades do operador sobre o tratamento de dados, as medidas de segurança aplicadas e as obrigações em caso de incidente. A ausência desse contrato é uma das primeiras irregularidades verificadas em processos da ANPD.

O que deve constar no registro de atividades de tratamento relacionado às consultas de CPF?

O registro deve incluir: finalidade do tratamento, base legal utilizada, categorias de dados tratados (CPF e dados cadastrais retornados), nome do operador (provedor da API), medidas de segurança técnicas e organizacionais, e prazo de retenção dos dados. O artigo 37 da LGPD exige que esse registro seja mantido atualizado e apresentado à ANPD sempre que solicitado.

Como a ANPD diferencia o uso legítimo de uma API de CPF do uso indevido?

A ANPD analisa se há uma finalidade específica e proporcional ao dado coletado. Validar o CPF de um cliente durante um onboarding financeiro tem base legal clara (execução de contrato ou obrigação legal). Consultar CPFs de terceiros sem relação com o titular, ou usar os dados para finalidades não declaradas na política de privacidade, é considerado uso indevido. O princípio da minimização exige que apenas os campos necessários para a finalidade declarada sejam utilizados e armazenados.

Quais medidas técnicas a ANPD considera mínimas para uma integração segura com APIs de CPF?

A ANPD avalia: uso de HTTPS em todas as requisições, chaves de API gerenciadas com rotação periódica e acesso restrito por perfil, logs de auditoria com CPF mascarado, não armazenamento de dados além do período necessário e política documentada de gestão de incidentes. Guardar a chave de API no código-fonte ou em repositórios públicos é considerado falha de segurança grave e pode embasar um processo sancionador.

Conclusão

A fiscalização da ANPD sobre o uso de APIs de consulta de CPF é uma realidade. Empresas que utilizam essas integrações precisam documentar bases legais, implementar medidas de segurança, manter logs de auditoria e formalizar contratos com fornecedores. A preparação proativa é sempre mais barata e menos disruptiva do que responder a um processo sancionador.

Cadastre-se em cpfhub.io — 50 consultas mensais gratuitas, sem cartão de crédito — e comece a validar CPFs com um provedor que opera em conformidade com a LGPD e facilita a documentação exigida pela ANPD.