Como responder a solicitações de acesso a dados de CPF segundo a LGPD

Introdução

A LGPD garante ao titular o direito de solicitar acesso a seus dados de CPF armazenados pela empresa: o prazo de resposta é de 15 dias, a confirmação de identidade do solicitante é obrigatória antes de fornecer qualquer dado, e a resposta deve ser completa — incluindo finalidade do tratamento, com quem foi compartilhado e por quanto tempo será mantido.

A Lei Geral de Proteção de Dados (LGPD) garante ao titular o direito de solicitar acesso aos seus dados pessoais tratados por qualquer empresa. Quando o dado em questão é o CPF -- um dos identificadores mais sensíveis no contexto brasileiro --, a resposta precisa ser clara, completa e dentro do prazo legal.

Muitas empresas ainda não estão preparadas para atender a essas solicitações de forma adequada. A falta de processos definidos resulta em respostas atrasadas, incompletas ou que não atendem ao formato exigido pela ANPD (Autoridade Nacional de Proteção de Dados). Cada falha nesse processo pode resultar em advertências, multas ou danos reputacionais.

O que a LGPD garante ao titular

Direitos fundamentais

A LGPD (Lei 13.709/2018) estabelece os seguintes direitos do titular em relação aos seus dados pessoais:

• Confirmação de tratamento -- Saber se a empresa trata dados dele.

• Acesso aos dados -- Obter cópia dos dados pessoais tratados.

• Correção -- Solicitar atualização de dados incompletos ou incorretos.

• Anonimização, bloqueio ou eliminação -- Para dados desnecessários ou tratados em desconformidade.

• Portabilidade -- Transferir dados para outro fornecedor.

• Eliminação -- Solicitar a exclusão de dados tratados com base no consentimento.

• Informação sobre compartilhamento -- Saber com quais entidades os dados foram compartilhados.

• Revogação do consentimento -- Retirar o consentimento a qualquer momento.

Prazo de resposta

A empresa deve responder a solicitações do titular em até 15 dias, contados da data do recebimento da solicitação. Para solicitações simples de confirmação de tratamento, a resposta deve ser imediata ou em formato simplificado.

Tipos de solicitações envolvendo dados de CPF

Solicitação de acesso completo

O titular quer saber quais dados de CPF a empresa possui e como são usados. A resposta deve incluir:

• O número do CPF armazenado.
• A finalidade do tratamento (ex: emissão de nota fiscal, prevenção de fraudes).
• A base legal utilizada (ex: obrigação legal, legítimo interesse).
• Com quem os dados foram compartilhados.
• O período de retenção previsto.
• A origem dos dados (se foram coletados diretamente do titular ou de terceiros).

Solicitação de correção

O titular identificou que o nome vinculado ao CPF está incorreto ou desatualizado. Nesse caso, a empresa deve corrigir o dado e confirmar a correção ao titular.

Solicitação de eliminação

O titular deseja que a empresa elimine seus dados de CPF. A empresa deve verificar se existe obrigação legal de retenção antes de atender. Se houver (ex: prazo fiscal), deve informar ao titular o motivo da retenção e o prazo previsto para eliminação.

Solicitação de informação sobre compartilhamento

O titular quer saber com quais empresas ou serviços seu CPF foi compartilhado. Se a empresa usa a API da CPFHub.io para consultar CPFs, isso deve ser informado como parte da cadeia de tratamento.

Como estruturar o processo de resposta

Passo 1: Canal de recebimento

Defina canais claros para receber solicitações:

• E-mail do DPO/Encarregado (ex: dpo@suaempresa.com.br).
• Formulário na página de privacidade do site.
• Atendimento presencial, se aplicável.

Passo 2: Verificação de identidade

Antes de fornecer dados, confirme que o solicitante é realmente o titular do CPF. Isso pode ser feito por:

• Envio de código por e-mail cadastrado.
• Confirmação de dados que só o titular conheceria.
• Autenticação via Gov.br, se aplicável.

A API da CPFHub.io pode ser usada nessa etapa para confirmar que o CPF informado pelo solicitante corresponde ao titular esperado:

curl -X GET https://api.cpfhub.io/cpf/12345678900 \
    -H "x-api-key: SUA_CHAVE_DE_API" \
    -H "Accept: application/json"

{
    "success": true,
    "data": {
    "cpf": "12345678900",
    "name": "Renata Almeida Costa",
    "nameUpper": "RENATA ALMEIDA COSTA",
    "gender": "F",
    "birthDate": "17/04/1986",
    "day": 17,
    "month": 4,
    "year": 1986
    }
}

Passo 3: Levantamento dos dados

Identifique todos os sistemas e bancos de dados onde o CPF do titular é armazenado ou processado:

• Banco de dados principal.
• CRM e sistemas de atendimento.
• Sistemas de faturamento e emissão de NF.
• Logs de acesso e auditoria.
• Serviços terceirizados (APIs, bureaus de crédito, etc.).

Passo 4: Elaboração da resposta

A resposta deve ser clara, em linguagem acessível e conter:

• Dados pessoais tratados (CPF, nome, etc.).
• Finalidade de cada tratamento.
• Base legal aplicável.
• Período de retenção.
• Lista de terceiros com quem os dados foram compartilhados.
• Informações sobre medidas de segurança adotadas.

Passo 5: Envio e registro

Envie a resposta ao titular dentro do prazo de 15 dias e registre internamente:

• Data de recebimento da solicitação.
• Data de envio da resposta.
• Conteúdo da resposta.
• Responsável pelo atendimento.

Modelo de resposta para solicitação de acesso

Veja um modelo adaptável para responder a solicitações de acesso a dados de CPF:

"Prezado(a) [Nome do Titular],

Em atendimento à sua solicitação de acesso aos dados pessoais, datada de [data], informamos os dados tratados por nossa empresa:

Dados pessoais tratados:

• CPF: [número]
• Nome: [nome completo]

Finalidade do tratamento:

• Emissão de nota fiscal (base legal: obrigação legal)
• Prevenção de fraudes (base legal: legítimo interesse)

Período de retenção: 5 anos após a última transação, conforme legislação fiscal.

Compartilhamento com terceiros:

• CPFHub.io (consulta para validação de identidade)
• [ERP/Sistema de NF] (emissão de nota fiscal)

Medidas de segurança: Criptografia em repouso e em trânsito, controle de acesso baseado em função, logs de auditoria.

Caso deseje exercer outros direitos (correção, eliminação, portabilidade), entre em contato pelo mesmo canal.

Atenciosamente, [Nome do DPO/Encarregado]"

Casos especiais

O titular solicita eliminação, mas existe obrigação de retenção

Se o CPF precisa ser mantido por obrigação legal (ex: fiscal, regulatória), informe ao titular:

"O CPF será mantido pelo prazo de [X] anos conforme [legislação aplicável]. Após esse período, os dados serão eliminados automaticamente. Enquanto retidos, os dados são usados exclusivamente para a finalidade legal e protegidos por medidas de segurança adequadas."

O titular não é cliente da empresa

Se alguém solicita acesso e a empresa não possui dados daquele CPF, a resposta deve confirmar a ausência de tratamento:

"Informamos que não localizamos dados pessoais vinculados ao CPF informado em nossos sistemas."

Solicitações em massa ou automatizadas

Se a empresa recebe um volume incomum de solicitações do mesmo titular ou de forma automatizada, pode solicitar esclarecimentos adicionais antes de processar, desde que não impeça o exercício do direito.

Ferramentas para gerenciar solicitações

Registro de Operações de Tratamento (ROPA)

Mantenha um ROPA atualizado que documenta todos os tratamentos envolvendo CPF. Isso acelera a resposta a solicitações, pois o levantamento de dados já está mapeado.

Sistema de tickets

Use um sistema de tickets (Jira, Zendesk, Freshdesk) para registrar e acompanhar cada solicitação, garantindo que prazos sejam cumpridos.

Dashboard de APIs

O dashboard da CPFHub.io registra automaticamente todas as consultas realizadas, facilitando o levantamento de dados para resposta a solicitações de titulares.

Preparação preventiva

Política de privacidade clara

Inclua na política de privacidade uma seção específica sobre dados de CPF, informando:

• Quais dados são coletados.
• Para quais finalidades.
• Com quem são compartilhados.
• Por quanto tempo são retidos.
• Como exercer direitos.

Treinamento da equipe

Todos os colaboradores que lidam com dados de CPF devem saber como identificar e encaminhar solicitações de titulares.

Automatização onde possível

Para empresas com grande volume de clientes, considere automatizar o processo de resposta com portais de autoatendimento onde o titular pode consultar seus próprios dados após autenticação.

Perguntas frequentes

Em quanto tempo a empresa deve responder a uma solicitação de acesso a dados de CPF?

O prazo legal é de 15 dias a partir do recebimento da solicitação. A resposta deve ser imediata e gratuita para o titular. Se não for possível atender no prazo por complexidade do pedido, a empresa deve comunicar o titular, justificar e fornecer prazo alternativo razoável.

A empresa pode exigir que o titular comprove identidade antes de fornecer os dados de CPF?

Sim. A verificação de identidade do solicitante é obrigatória e prudente — sem ela, dados de uma pessoa poderiam ser entregues a outra. O método de verificação deve ser proporcional à sensibilidade dos dados solicitados. Para CPF, uma verificação básica (e-mail cadastrado + código de confirmação) costuma ser suficiente.

O que deve constar na resposta a uma solicitação de acesso a dados de CPF?

A resposta completa deve incluir: confirmação de que o CPF está sendo tratado (ou não), finalidade do tratamento, com quem os dados foram compartilhados, tempo de retenção previsto e, se aplicável, origem dos dados caso não tenham sido coletados diretamente do titular.

Uma empresa pode negar uma solicitação de acesso a dados de CPF?

Em casos limitados sim: quando a solicitação é de terceiro sem comprovação de representação legal, quando o cumprimento comprometeria segredo industrial ou direitos de terceiros, ou quando os dados já foram eliminados. A negativa deve ser fundamentada e comunicada ao titular no mesmo prazo de 15 dias.

Conclusão

Responder adequadamente a solicitações de acesso a dados de CPF não é apenas uma obrigação legal — é uma demonstração de respeito pelo titular e de maturidade organizacional em proteção de dados. O processo exige canais definidos, verificação de identidade, levantamento completo dos dados e resposta dentro do prazo de 15 dias. A CPFHub.io facilita tanto a verificação de identidade quanto o rastreamento de consultas, tornando esse processo mais ágil e auditável. Acesse cpfhub.io e comece com 50 consultas gratuitas por mês.