Compartilhamento de dados de CPF entre empresas e LGPD

A LGPD (Lei 13.709/2018) permite o compartilhamento de dados de CPF entre empresas desde que exista uma base legal válida — como execução de contrato, obrigação regulatória, proteção ao crédito ou consentimento do titular. Em vez de compartilhar bases completas de CPFs, empresas podem usar APIs de validação para confirmar a identidade em tempo real e minimizar a exposição de dados pessoais a terceiros.

Introdução

O compartilhamento de dados pessoais entre empresas tornou-se uma prática recorrente em cadeias de valor digitais -- de fintechs que se integram com bancos parceiros a e-commerces que repassam informações a transportadoras. Quando esses dados incluem o CPF, a Lei Geral de Proteção de Dados (LGPD) impõe regras claras sobre quando, como e em que condições esse compartilhamento pode ocorrer.

O que a LGPD diz sobre compartilhamento de dados pessoais

A LGPD (Lei 13.709/2018) não proíbe o compartilhamento de dados entre empresas, mas exige que ele seja feito com base em uma das dez bases legais previstas no artigo 7 da lei. O CPF, como dado pessoal, está sujeito a essas regras.

Bases legais mais relevantes para compartilhamento de CPF

Consentimento -- O titular autoriza explicitamente o compartilhamento para finalidades específicas. Deve ser livre, informado e inequívoco.
Execução de contrato -- O compartilhamento é necessário para cumprir uma obrigação contratual com o titular. Exemplo: repassar CPF do comprador à transportadora para entrega.
Obrigação legal ou regulatória -- Quando uma lei ou norma exige o compartilhamento. Exemplo: envio de dados ao BACEN, Receita Federal ou COAF.
Legítimo interesse -- O controlador tem um interesse legítimo que não se sobrepõe aos direitos do titular. Requer elaboração de relatório de impacto (LIA).
Proteção ao crédito -- Base legal específica que permite consultas e compartilhamento de CPF para análise de crédito, conforme previsto na Lei do Cadastro Positivo.

Cenários práticos de compartilhamento permitido

1. Fintechs e bancos parceiros

Quando uma fintech opera como correspondente bancário ou intermediária, ela precisa compartilhar dados cadastrais do cliente com o banco emissor. Nesse caso, a base legal geralmente é a execução de contrato ou obrigação regulatória (normas do BACEN).

2. E-commerces e operadores logísticos

O e-commerce compartilha CPF e nome do comprador com a transportadora para emissão de nota fiscal e identificação na entrega. A base legal é a execução de contrato.

3. Empresas e bureaus de crédito

A consulta a bureaus de crédito envolve compartilhamento bilateral de CPF. A base legal é a proteção ao crédito, prevista diretamente na LGPD.

4. Grupos econômicos e parceiros de negócio

Empresas do mesmo grupo econômico podem compartilhar dados entre si, desde que haja base legal válida e o titular seja informado. O compartilhamento entre empresas para fins de marketing exige consentimento.

Riscos do compartilhamento sem conformidade

O compartilhamento de CPF sem base legal adequada pode resultar em:

Sanções da ANPD -- Multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração.
Danos reputacionais -- Vazamentos ou uso indevido geram perda de confiança.
Ações judiciais -- O titular pode pleitear indenização por danos morais e materiais.
Bloqueio de operações -- A ANPD pode determinar a suspensão do tratamento de dados.

Como APIs de validação de CPF ajudam na conformidade

Uma alternativa ao compartilhamento direto de dados é a validação via API. Em vez de compartilhar a base de CPFs com um parceiro, a empresa pode validar o CPF em tempo real e compartilhar apenas o resultado da validação.

Validação sem armazenamento desnecessário

Com a API da CPFHub.io, a empresa consulta o CPF pontualmente e recebe nome, data de nascimento e gênero — sem precisar manter ou transferir uma base de dados própria de CPFs a parceiros.

Exemplo de consulta com cURL:

curl -X GET https://api.cpfhub.io/cpf/12345678900 \
    -H "x-api-key: SUA_CHAVE_DE_API" \
    -H "Accept: application/json" \
    --max-time 10

Resposta:

{
    "success": true,
    "data": {
    "cpf": "12345678900",
    "name": "Maria Souza",
    "nameUpper": "MARIA SOUZA",
    "gender": "F",
    "birthDate": "22/03/1985",
    "day": 22,
    "month": 3,
    "year": 1985
    }
}

Com essa abordagem, a empresa valida a identidade do titular sem precisar manter ou compartilhar uma base de dados de CPFs com terceiros.

Boas práticas para compartilhamento de CPF entre empresas

1. Documentar a base legal

Para cada fluxo de compartilhamento, registre qual base legal justifica a operação. Mantenha esse registro atualizado no inventário de dados da empresa.

2. Formalizar contratos com operadores

Quando o compartilhamento ocorre com operadores de dados (terceiros que processam dados em nome do controlador), formalize as responsabilidades em contrato, incluindo cláusulas de confidencialidade e medidas de segurança.

3. Implementar o princípio da minimização

Compartilhe apenas os dados estritamente necessários. Se o parceiro precisa apenas confirmar que o CPF é válido, não envie nome, data de nascimento e outros dados adicionais.

4. Manter registros de auditoria

Registre cada operação de compartilhamento com data, hora, finalidade e base legal. Esses logs são fundamentais para auditorias e para responder a solicitações da ANPD.

5. Usar APIs em vez de bases compartilhadas

Em vez de enviar planilhas ou bases de dados com CPFs a parceiros, utilize APIs para consultas pontuais. Isso reduz a superfície de risco e mantém o controle sobre os dados.

Implementação com registro de auditoria

Um exemplo prático de como validar CPF com registro de auditoria em Python:

import requests
import logging
from datetime import datetime

logging.basicConfig(filename='auditoria_cpf.log', level=logging.INFO)

CPFHUB_API_KEY = 'SUA_CHAVE_DE_API'

def validar_cpf_com_auditoria(cpf: str, finalidade: str, base_legal: str) -> dict:
    url = f'https://api.cpfhub.io/cpf/{cpf}'
    headers = {
    'x-api-key': CPFHUB_API_KEY,
    'Accept': 'application/json'
    }

    response = requests.get(url, headers=headers, timeout=10)
    resultado = response.json()

    # Registrar auditoria
    logging.info(
    f'{datetime.utcnow().isoformat()} | '
    f'CPF: {cpf[:3]}***{cpf[-2:]} | '
    f'Finalidade: {finalidade} | '
    f'Base legal: {base_legal} | '
    f'Resultado: {resultado.get("success")}'
    )

    return resultado

Esse modelo garante que cada consulta tenha sua finalidade e base legal registradas, facilitando auditorias e demonstrando conformidade com a LGPD.

Perguntas frequentes

Quais bases legais da LGPD permitem o compartilhamento de CPF entre empresas?

As principais são: execução de contrato (quando necessário para cumprir obrigação contratual com o titular), obrigação legal ou regulatória (exigências de BACEN, Receita Federal ou COAF), proteção ao crédito (prevista expressamente na LGPD para análise de crédito) e consentimento (quando nenhuma outra base se aplica). A base de legítimo interesse também pode ser usada, mas exige elaboração de relatório de impacto (LIA). A ANPD disponibiliza orientações sobre aplicação de cada base legal.

A empresa pode compartilhar CPF com parceiros de marketing sem consentimento?

Não. O compartilhamento de CPF para fins de marketing não se enquadra em execução de contrato, obrigação legal nem proteção ao crédito. O consentimento explícito do titular é obrigatório nesse caso. O consentimento deve ser específico para o compartilhamento com o parceiro nomeado e para a finalidade declarada — consentimentos genéricos não são válidos sob a LGPD.

Como usar uma API de validação de CPF para evitar o compartilhamento desnecessário de dados?

Em vez de enviar uma planilha de CPFs a um parceiro para que ele valide internamente, cada empresa consulta a API da CPFHub.io de forma independente. O parceiro recebe apenas o resultado da validação (válido/inválido, ou nome confirmado/divergente), sem ter acesso à base de dados de CPFs da outra empresa. Isso reduz a superfície de risco e mantém cada empresa como controladora dos seus próprios dados.

A API bloqueia consultas quando o limite mensal é atingido?

Não. A API da CPFHub.io nunca retorna HTTP 429 nem interrompe o serviço ao superar a cota mensal. Ao exceder o limite do plano, cada consulta adicional é cobrada automaticamente a R$0,15 — o serviço continua disponível sem interrupção, o que é fundamental para fluxos de compartilhamento que não podem tolerar falhas imprevistas.

Conclusão

O compartilhamento de dados de CPF entre empresas é permitido pela LGPD, desde que exista base legal adequada e que os princípios de minimização, segurança e transparência sejam respeitados. APIs de validação como a da CPFHub.io permitem confirmar identidades em tempo real sem transferir bases de dados completas a parceiros, reduzindo risco e custo de conformidade. Cadastre-se em cpfhub.io — 50 consultas mensais gratuitas, sem cartão de crédito — e adote a abordagem de validação pontual para manter seus fluxos de dados dentro da LGPD.

CPFHub.io

Pronto para integrar a API?

50 consultas gratuitas para testar agora. Sem cartão de crédito. Acesso imediato à documentação.

Começar grátis Ver documentação

Sobre a redação

Redação CPFHub.io

Time editorial especializado em APIs de CPF, identidade digital e compliance no mercado brasileiro. Produzimos guias técnicos, análises regulatórias e tutoriais sobre LGPD e KYC para desenvolvedores e líderes de produto.

Compartilhamento de dados de CPF entre empresas: quando a LGPD permite