Como criar um registro de atividades de tratamento (RAT) para dados de CPF

O RAT (Registro de Atividades de Tratamento) é um documento obrigatório pela LGPD que descreve como cada dado pessoal é tratado — e para empresas que consultam CPF via API, ele deve incluir a finalidade da consulta, a base legal, o operador (como a CPFHub.io), o prazo de retenção e as medidas de segurança aplicadas.

Introdução

O registro de atividades de tratamento (RAT) é uma obrigação prevista no artigo 37 da LGPD. Toda empresa que trata dados pessoais — incluindo CPF — deve manter um registro documentado das operações de tratamento realizadas. Esse documento é essencial para auditorias, para atender solicitações da ANPD e para demonstrar conformidade proativa.

Para empresas que utilizam APIs de consulta de CPF, como a da CPFHub.io, o RAT deve registrar cada integração com fornecedores externos, documentando quais dados são transmitidos e com qual finalidade.

O que é o RAT e por que é obrigatório

O RAT é um inventário documentado de todas as atividades de tratamento de dados pessoais realizadas pela empresa. Ele funciona como um mapa que responde:

• Quais dados pessoais são tratados -- CPF, nome, data de nascimento, etc.

• Para qual finalidade -- Onboarding, KYC, emissão de NF, prevenção de fraude.

• Com qual base legal -- Consentimento, obrigação legal, execução de contrato, legítimo interesse.

• Quem tem acesso -- Equipes internas, sistemas, fornecedores.

• Com quem os dados são compartilhados -- APIs de validação, bureaus de crédito, parceiros.

• Por quanto tempo são retidos -- Política de retenção por finalidade.

• Quais medidas de segurança são aplicadas -- Criptografia, controle de acesso, logs.

A ANPD pode solicitar o RAT a qualquer momento, e a ausência desse documento é considerada infração.

Estrutura do RAT para dados de CPF

Modelo de registro por atividade

Cada operação de tratamento deve ser documentada como uma entrada no RAT:

Exemplo prático: RAT para validação de CPF via API

Atividade 1: Validação de identidade no onboarding

RAT-CPF-001
-----------
Atividade: Validacao de CPF no cadastro de novos clientes
Dados tratados: CPF (somente numeros)
Dados retornados: Nome, genero, data de nascimento
Finalidade: Confirmar identidade do titular para abertura de conta
Base legal: Execucao de contrato (art. 7o, V)
Operador: CPFHub.io (API REST - GET /cpf/{cpf})
Compartilhamento: CPF enviado via HTTPS para api.cpfhub.io
Retencao: CPF armazenado por 5 anos; dados complementares
          descartados apos validacao
Seguranca: HTTPS/TLS 1.2+, API key em variavel de ambiente,
           logs com CPF mascarado, RBAC implementado
Responsavel: [Nome do DPO], [e-mail]
Data de criacao: 2024-01-15
Ultima revisao: 2024-11-28

Atividade 2: Prevenção de fraude em transações

RAT-CPF-002
-----------
Atividade: Validacao de CPF em transacoes acima de R$ 1.000
Dados tratados: CPF, nome
Dados retornados: Nome completo para match com dados informados
Finalidade: Prevenir fraudes com dados falsos em transacoes financeiras
Base legal: Legitimo interesse (art. 7o, IX)
Operador: CPFHub.io (API REST)
Compartilhamento: CPF enviado via HTTPS para api.cpfhub.io
Retencao: Resultado da validacao (sim/nao) retido por 5 anos;
          dados pessoais descartados apos processamento
Seguranca: HTTPS, criptografia AES-256 em repouso, acesso restrito
Responsavel: [Nome do DPO], [e-mail]
Data de criacao: 2024-03-10
Ultima revisao: 2024-11-28

Implementação técnica: log de auditoria para o RAT

Além do documento formal, implemente logs automáticos que alimentam o RAT:

import requests
import json
import logging
from datetime import datetime

logging.basicConfig(
    filename='rat_cpf_auditoria.log',
    level=logging.INFO,
    format='%(message)s'
)

def consultar_cpf_com_auditoria(cpf: str, finalidade: str,
                                 base_legal: str, operador: str) -> dict:
    url = f'https://api.cpfhub.io/cpf/{cpf}'
    headers = {
        'x-api-key': 'SUA_CHAVE_DE_API',
        'Accept': 'application/json'
    }

    response = requests.get(url, headers=headers, timeout=10)
    resultado = response.json()

    # Registro de auditoria com CPF mascarado
    cpf_mascarado = f'{cpf[:3]}.***.**{cpf[8]}-{cpf[9:]}'
    registro_auditoria = {
        'timestamp': datetime.now().isoformat(),
        'atividade': 'consulta_cpf_api',
        'cpf_mascarado': cpf_mascarado,
        'finalidade': finalidade,
        'base_legal': base_legal,
        'operador_api': 'CPFHub.io',
        'operador_interno': operador,
        'sucesso': resultado.get('success', False),
        'http_status': response.status_code
    }

    logging.info(json.dumps(registro_auditoria))
    return resultado

# Uso
resultado = consultar_cpf_com_auditoria(
    cpf='12345678900',
    finalidade='onboarding_kyc',
    base_legal='execucao_contrato_art7_v',
    operador='sistema_cadastro'
)

O log gerado contém todas as informações necessárias para alimentar o RAT de forma automatizada.

Ferramentas para manter o RAT

Planilhas estruturadas

Para empresas menores, uma planilha com as colunas do modelo acima é suficiente. Mantenha o arquivo com controle de acesso e versionamento.

Ferramentas de governança de dados

Para operações maiores, considere ferramentas dedicadas que automatizam a manutenção do RAT e integram com sistemas de auditoria.

Integração com sistemas de log

Configure os logs de auditoria da aplicação para alimentar automaticamente o RAT, reduzindo o trabalho manual e garantindo completude.

Revisão e atualização do RAT

O RAT não é um documento estático. Deve ser revisado:

• A cada nova atividade de tratamento -- Se um novo processo passa a utilizar CPF, adicione ao RAT.

• A cada mudança de fornecedor -- Se a empresa trocar de API de validação, atualize o registro do operador.

• Periodicamente -- Revisão semestral para garantir que o RAT reflete a realidade.

• Após incidentes -- Qualquer vazamento ou infração deve disparar uma revisão.

Erros comuns na criação do RAT

• RAT genérico demais -- Registros vagos como "tratamento de dados de clientes" não atendem à LGPD. Seja específico.

• Não incluir operadores terceiros -- APIs de validação, processadores de pagamento e parceiros devem constar no RAT.

• RAT desatualizado -- Um RAT que não reflete os processos atuais é tão problemático quanto não ter um.

• Não vincular bases legais -- Cada atividade deve ter base legal explícita.

• Esquecer medidas de segurança -- O RAT deve documentar as medidas técnicas aplicadas a cada atividade.

Perguntas frequentes

O RAT é obrigatório para todas as empresas que tratam CPF?

Sim, de acordo com o art. 37 da LGPD, toda empresa que trata dados pessoais — incluindo CPF — deve manter um RAT. A ANPD pode solicitá-lo a qualquer momento em processos de fiscalização ou investigação de incidentes. A ausência do documento é considerada infração à LGPD.

Como documentar a CPFHub.io como operadora no RAT?

No campo "Operador(es)" do RAT, registre: CPFHub.io — API REST de consulta de CPF, endpoint GET https://api.cpfhub.io/cpf/{CPF}, dados enviados: CPF do titular, dados recebidos: nome, gênero, data de nascimento. Documente também que a transmissão ocorre via HTTPS e que o CPF não é retido pela CPFHub.io além do necessário para a consulta.

Qual base legal usar para consulta de CPF via API?

Depende da finalidade. Para onboarding com abertura de conta, use execução de contrato (art. 7º, V). Para prevenção de fraude sem relação contratual prévia, use legítimo interesse (art. 7º, IX), documentando o balanceamento de interesses. Para cumprimento de obrigação regulatória (como IN RFB 2.219), use obrigação legal (art. 7º, II).

Com que frequência o RAT deve ser revisado?

O mínimo recomendado é uma revisão semestral para verificar se os processos documentados ainda correspondem à realidade. Além disso, o RAT deve ser atualizado sempre que houver mudança de fornecedor, nova finalidade de tratamento, novo sistema que processe CPF ou após qualquer incidente de segurança que envolva dados pessoais.

Conclusão

O registro de atividades de tratamento é uma obrigação da LGPD e uma ferramenta essencial de governança de dados. Para empresas que consultam CPFs via API, o RAT deve documentar cada operação de validação, incluindo a integração com provedores externos, as bases legais aplicadas e as medidas de segurança implementadas.

Cadastre-se em cpfhub.io — 50 consultas mensais gratuitas, sem cartão de crédito — e use os modelos de RAT deste artigo para documentar corretamente o tratamento de CPF na sua empresa desde o primeiro acesso.