Consentimento vs. execução de contrato: qual base legal usar para consultar CPF

Use execução de contrato (Art. 7, V da LGPD) quando a consulta de CPF é necessária para verificar identidade em abertura de conta, concessão de crédito ou prestação de serviço — essa base é mais estável e não pode ser revogada enquanto o contrato estiver vigente. Use consentimento (Art. 7, I) quando a finalidade for personalização ou marketing, situações que vão além do escopo contratual e exigem autorização explícita do titular.

Introdução

A LGPD estabelece que todo tratamento de dados pessoais deve estar fundamentado em uma base legal. Quando uma empresa consulta o CPF de um cliente via API, ela está realizando tratamento de dados pessoais e precisa justificar legalmente essa operação. As duas bases legais mais utilizadas para esse cenário são o consentimento e a execução de contrato, e escolher a opção errada pode gerar vulnerabilidades jurídicas significativas.

As bases legais da LGPD para tratamento de dados

A LGPD (artigo 7) prevê 10 bases legais para o tratamento de dados pessoais. As mais relevantes para consulta de CPF são:

• Consentimento (Art. 7, I) -- O titular autoriza expressamente o tratamento.

• Cumprimento de obrigação legal (Art. 7, II) -- O tratamento é exigido por lei.

• Execução de contrato (Art. 7, V) -- O tratamento é necessário para executar um contrato com o titular.

• Legítimo interesse (Art. 7, IX) -- O tratamento atende a interesses legítimos do controlador, respeitando os direitos do titular.

• Proteção do crédito (Art. 7, X) -- O tratamento é necessário para proteção do crédito.

Consentimento: quando usar

O que é

O consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para uma finalidade determinada.

Quando usar para consulta de CPF

• Personalização de ofertas -- Quando o CPF é consultado para personalizar a experiência do usuário (saudações, ofertas de aniversário) sem que isso seja necessário para a prestação do serviço.

• Marketing direcionado -- Quando os dados retornados pela consulta são usados para segmentação de campanhas.

• Enriquecimento de dados -- Quando a empresa quer complementar seu cadastro com informações adicionais obtidas via API.

Vantagens

• Base legal mais clara e direta.

• Demonstra respeito à autonomia do titular.

• Facilita a comprovação de conformidade em auditorias.

Desvantagens

• Pode ser revogado a qualquer momento -- O titular pode retirar o consentimento, e a empresa deve parar de tratar os dados imediatamente.

• Exige mecanismo de gestão -- A empresa precisa registrar quando, como e para que o consentimento foi dado.

• Não se aplica quando há outra base legal mais adequada -- Se o tratamento é necessário para executar um contrato, o consentimento não é a melhor opção.

Execução de contrato: quando usar

O que é

A base legal de execução de contrato autoriza o tratamento de dados quando ele é necessário para a execução de um contrato do qual o titular é parte, ou para procedimentos preliminares relacionados a um contrato.

Quando usar para consulta de CPF

• Abertura de conta -- A verificação de identidade é necessária para executar o contrato de abertura de conta.

• Concessão de crédito -- A validação de CPF é requisito para análise e concessão de crédito.

• Emissão de nota fiscal -- O CPF é necessário para cumprir obrigações fiscais vinculadas ao contrato de compra e venda.

• Contratação de serviços -- Quando o contrato de prestação de serviço exige a identificação do contratante.

Vantagens

• Não pode ser revogada -- Enquanto o contrato estiver vigente, o tratamento é legítimo.

• Mais estável juridicamente -- Menos sujeita a contestações do titular.

• Não exige consentimento separado -- O contrato em si fundamenta o tratamento.

Desvantagens

• O tratamento deve ser estritamente necessário para a execução do contrato.

• Não pode ser usada para finalidades além do escopo contratual.

Comparação prática

Implementação prática

Cenário 1: Fintech com abertura de conta (execução de contrato)

import requests

def validar_cpf_abertura_conta(cpf, nome_informado):
    """
    Base legal: Execução de contrato (Art. 7, V da LGPD)
    Finalidade: Verificação de identidade para abertura de conta
    """
    url = f"https://api.cpfhub.io/cpf/{cpf}"
    headers = {
    "x-api-key": "SUA_CHAVE_DE_API",
    "Accept": "application/json"
    }

    response = requests.get(url, headers=headers, timeout=10)
    data = response.json()

    if not data["success"]:
    return {
    "aprovado": False,
    "motivo": "CPF não localizado",
    "base_legal": "execucao_contrato"
    }

    nome_match = data["data"]["name"].lower() == nome_informado.lower()

    return {
    "aprovado": nome_match,
    "motivo": "Identidade confirmada" if nome_match else "Divergência",
    "base_legal": "execucao_contrato",
    "log": {
    "finalidade": "abertura_conta",
    "timestamp": "2024-09-29T10:00:00Z"
    }
    }

Cenário 2: E-commerce com personalização (consentimento)

def personalizar_experiencia(cpf, consentimento_ativo):
    """
    Base legal: Consentimento (Art. 7, I da LGPD)
    Finalidade: Personalização de ofertas e comunicação
    """
    if not consentimento_ativo:
    return {"personalizado": False, "motivo": "Sem consentimento"}

    url = f"https://api.cpfhub.io/cpf/{cpf}"
    headers = {
    "x-api-key": "SUA_CHAVE_DE_API",
    "Accept": "application/json"
    }

    response = requests.get(url, headers=headers, timeout=10)
    data = response.json()

    if data["success"]:
    primeiro_nome = data["data"]["name"].split()[0]
    genero = data["data"]["gender"]
    mes_nascimento = data["data"]["month"]

    return {
    "personalizado": True,
    "saudacao": f"Bem-vinda, {primeiro_nome}!" if genero == "F"
    else f"Bem-vindo, {primeiro_nome}!",
    "aniversario_mes": mes_nascimento,
    "base_legal": "consentimento"
    }

    return {"personalizado": False, "motivo": "CPF não localizado"}

Bases legais complementares

Obrigação legal (Art. 7, II)

Quando a consulta de CPF é exigida por legislação específica:

• Regulamentação do BACEN para instituições financeiras.

• Obrigações tributárias (emissão de nota fiscal com CPF).

• Normas de PLD/FT do COAF.

Nesse caso, a base legal é mais forte que o consentimento e a execução de contrato, pois não depende da vontade das partes.

Legítimo interesse (Art. 7, IX)

Pode ser usado quando a consulta de CPF atende a um interesse legítimo da empresa (como prevenção a fraudes), desde que não prejudique os direitos e liberdades fundamentais do titular. Exige a elaboração de um teste de proporcionalidade (LIA -- Legitimate Interest Assessment).

Proteção do crédito (Art. 7, X)

Específica para empresas que concedem crédito. A validação de CPF antes da concessão de crédito é diretamente amparada por essa base legal.

Erros comuns na escolha da base legal

• Usar consentimento para tudo -- Muitas empresas usam consentimento como padrão, mesmo quando outra base legal seria mais adequada e estável.

• Não documentar a base legal -- A empresa deve registrar qual base legal fundamenta cada tratamento.

• Misturar finalidades -- Usar a mesma consulta de CPF para verificação de identidade (contrato) e marketing (consentimento) sem separar as bases legais.

• Ignorar a revogabilidade do consentimento -- Não ter processo para interromper o tratamento quando o consentimento é revogado.

Perguntas frequentes

Posso usar a mesma consulta de CPF para verificação de identidade e personalização ao mesmo tempo?

Não sem separar as bases legais. A verificação de identidade pode ser fundamentada em execução de contrato, mas o uso dos dados para personalização exige consentimento separado. Documente cada finalidade com sua respectiva base legal e, se possível, implemente a personalização apenas após obter o consentimento explícito.

O que acontece se o cliente revogar o consentimento de personalização?

A empresa deve interromper imediatamente o uso dos dados para essa finalidade e desativar as personalizações ativas. A LGPD (artigo 8, §5°) determina que a revogação deve ser tão simples quanto a concessão do consentimento. Os dados coletados antes da revogação podem ser mantidos se houver outra base legal vigente (ex: obrigação de guarda por prazo legal).

A execução de contrato é válida para consultas de CPF em processos de pré-contrato?

Sim. O Art. 7, V da LGPD cobre explicitamente "procedimentos preliminares relacionados a um contrato". Uma consulta de CPF durante a análise de crédito ou onboarding — antes da assinatura do contrato — está amparada por essa base legal, desde que o titular tenha solicitado a contratação.

Como registrar e comprovar a base legal usada em cada consulta de CPF?

Mantenha logs imutáveis com o identificador do tratamento, a finalidade, a base legal e o timestamp de cada consulta. A ANPD recomenda que o Registro de Operações de Tratamento (ROT) documente essas informações, pois é o principal instrumento exigido em auditorias e investigações de incidentes.

Conclusão

A escolha entre consentimento e execução de contrato para consultar CPF depende da finalidade do tratamento. Para verificação de identidade vinculada a uma relação contratual, a execução de contrato é mais estável e adequada. Para personalização e marketing, o consentimento é a base correta. Misturar as duas finalidades sem separar as bases legais é o erro mais comum e o que mais expõe a empresa a riscos em auditorias da ANPD.

Cadastre-se em cpfhub.io — 50 consultas mensais gratuitas, sem cartão de crédito — e implemente consultas de CPF com a base legal correta já documentada no seu fluxo de onboarding.