Fazer o data mapping de dados de CPF significa identificar e documentar todos os pontos onde esse dado é coletado, armazenado, processado e compartilhado na sua organização. Sem esse mapeamento, a empresa não consegue responder a solicitações de titulares, demonstrar conformidade à ANPD nem gerenciar riscos de vazamento com eficácia. O artigo 37 da Lei 13.709/2018 (LGPD) torna esse registro obrigatório para controladores e operadores de dados pessoais.
Introdução
O data mapping (mapeamento de dados) é o processo de identificar, catalogar e documentar todos os pontos onde dados pessoais são coletados, armazenados, processados e compartilhados dentro de uma organização. Para empresas que lidam com CPF — fintechs, e-commerces, seguradoras, plataformas de onboarding —, esse mapeamento é essencial para garantir conformidade com a LGPD e mitigar riscos de vazamento.
Sem um data mapping estruturado, a empresa não consegue responder perguntas básicas como "onde estão armazenados os CPFs dos nossos clientes?" ou "com quais sistemas compartilhamos esse dado?". Essas lacunas podem resultar em sanções da ANPD e em incidentes de segurança.
Por que o data mapping é obrigatório?
A LGPD, em seu artigo 37, determina que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem. O data mapping é a base para construir esse registro, pois identifica:
-
Quais dados pessoais são tratados — no caso, o CPF e dados associados.
-
Onde estão armazenados — bancos de dados, planilhas, sistemas legados, backups.
-
Quem tem acesso — equipes internas, fornecedores, parceiros.
-
Como são compartilhados — APIs, integrações, exportações manuais.
-
Qual a base legal — consentimento, obrigação legal, execução de contrato.
-
Por quanto tempo são retidos — políticas de retenção e exclusão.
Etapas do data mapping para dados de CPF
1. Inventário de sistemas e processos
Comece listando todos os sistemas, aplicações e processos que coletam ou processam CPF:
| Sistema/Processo | Tipo | Coleta CPF? | Armazena CPF? |
|---|---|---|---|
| Formulário de cadastro (site) | Aplicação web | Sim | Sim |
| ERP (módulo de clientes) | Sistema interno | Não | Sim |
| API de validação (CPFHub.io) | Serviço externo | Sim (envio) | Não |
| Planilha de cobrança | Arquivo manual | Não | Sim |
| Backup diário (AWS S3) | Armazenamento | Não | Sim |
| E-mail de suporte | Comunicação | Eventual | Eventual |
2. Mapeamento do fluxo de dados
Documente o caminho que o CPF percorre desde a coleta até o descarte:
-
Coleta — O CPF é informado pelo titular no formulário de cadastro.
-
Validação — O sistema envia o CPF para a API da CPFHub.io para verificação em tempo real.
-
Armazenamento — O CPF validado é salvo no banco de dados principal.
-
Processamento — O CPF é utilizado para emissão de notas fiscais e processos de KYC.
-
Compartilhamento — O CPF é enviado ao bureau de crédito para análise.
-
Backup — O banco de dados é copiado diariamente para armazenamento em nuvem.
-
Exclusão — O CPF é removido ao final do período de retenção definido.
3. Classificação de risco
Para cada ponto do fluxo, avalie o nível de risco:
| Ponto do fluxo | Risco | Justificativa |
|---|---|---|
| Formulário web | Médio | Dados em trânsito, requer HTTPS |
| API CPFHub.io | Baixo | Criptografia, sem armazenamento |
| Banco de dados | Alto | Concentração de dados, alvo de ataques |
| Planilha manual | Alto | Sem criptografia, acesso descontrolado |
| Backup em nuvem | Médio | Depende de configuração de segurança |
4. Documentação de bases legais
Para cada finalidade de uso do CPF, registre a base legal correspondente:
-
Onboarding — Execução de contrato (art. 7o, V).
-
Emissão de NF — Obrigação legal (art. 7o, II).
-
Prevenção de fraude — Legítimo interesse (art. 7o, IX).
-
Marketing personalizado — Consentimento (art. 7o, I).
Documentando a integração com APIs de validação
Quando a empresa utiliza uma API externa para validar CPF, como a da CPFHub.io, o mapeamento deve incluir os seguintes campos:
-
Nome do fornecedor — CPFHub.io.
-
Finalidade — Validação de identidade no onboarding.
-
Dados enviados — CPF (somente números).
-
Dados recebidos — Nome, gênero, data de nascimento.
-
Armazenamento pelo fornecedor — A CPFHub.io não armazena dados sensíveis além do necessário.
-
Base legal — Execução de contrato ou legítimo interesse.
Exemplo de como a validação acontece na prática:
const axios = require('axios');
async function validarCPF(cpf) {
try {
const response = await axios.get(
`https://api.cpfhub.io/cpf/${cpf}`,
{
headers: {
'x-api-key': 'SUA_CHAVE_DE_API',
'Accept': 'application/json'
},
timeout: 10000
}
);
if (response.data.success) {
// Registrar no log de auditoria (com CPF mascarado)
console.log(`Validação realizada: ${cpf.slice(0, 3)}.***.***-${cpf.slice(9)}`);
return response.data.data;
}
return null;
} catch (error) {
console.error('Erro na validação:', error.message);
return null;
}
}
validarCPF('12345678900');
Ferramentas para data mapping
Planilhas estruturadas
Para empresas menores, uma planilha bem organizada pode ser suficiente. Crie colunas para: sistema, dado coletado, finalidade, base legal, responsável, tempo de retenção e nível de risco.
Ferramentas especializadas
Para operações maiores, considere ferramentas dedicadas de data mapping e governança de dados que automatizam a descoberta de dados pessoais em bancos de dados, logs e sistemas.
Diagramas de fluxo
Represente visualmente o caminho dos dados de CPF na organização. Isso facilita a comunicação com equipes jurídicas, de compliance e de TI.
Erros comuns no data mapping de CPF
-
Ignorar planilhas e arquivos manuais — Muitas vezes, CPFs estão em planilhas compartilhadas que escapam do mapeamento.
-
Não documentar APIs externas — A integração com APIs de validação deve constar no mapeamento.
-
Esquecer backups e logs — Backups e logs de sistema frequentemente contêm CPFs e precisam ser mapeados.
-
Mapeamento estático — O data mapping deve ser atualizado continuamente, não apenas uma vez.
-
Não envolver todas as áreas — TI, jurídico, comercial, financeiro e RH podem tratar CPFs de formas diferentes.
Mantendo o data mapping atualizado
O mapeamento não é um exercício pontual. Ele deve ser revisado:
-
A cada novo sistema ou integração — Se a empresa começar a usar uma nova API ou ferramenta, atualize o mapa.
-
A cada mudança de processo — Alterações no fluxo de cadastro, cobrança ou atendimento impactam o mapeamento.
-
Periodicamente — No mínimo, uma revisão semestral para garantir que o mapa reflete a realidade.
-
Após incidentes — Qualquer vazamento ou incidente de segurança deve disparar uma revisão do mapeamento.
Perguntas frequentes
O data mapping de CPF é obrigatório para todas as empresas?
Sim. O artigo 37 da LGPD exige que controladores e operadores mantenham registro das operações de tratamento de dados pessoais. Como o CPF é um dado pessoal, qualquer empresa que o coleta, armazena ou compartilha está obrigada a documentar essas operações — independentemente do porte.
Como incluir a API CPFHub.io no data mapping da empresa?
Registre a CPFHub.io como operadora de dados no seu mapeamento: anote que o dado enviado é o número do CPF, que os dados recebidos são nome, gênero e data de nascimento, e que a CPFHub.io não armazena dados dos titulares consultados. Documente também a base legal utilizada (execução de contrato ou legítimo interesse) e mantenha um DPA (Data Processing Agreement) atualizado.
Quais ferramentas são recomendadas para data mapping de CPF em empresas maiores?
Plataformas como OneTrust, TrustArc e Privacera automatizam a descoberta de dados pessoais em bancos de dados e sistemas. Para empresas menores, uma planilha estruturada com as colunas corretas (sistema, dado, finalidade, base legal, responsável, retenção e risco) já atende às exigências do artigo 37 da LGPD.
Com que frequência o data mapping deve ser atualizado?
A ANPD recomenda revisão contínua. Na prática, realize uma revisão formal a cada seis meses e atualize o mapeamento sempre que um novo sistema for integrado, um processo for alterado ou um incidente de segurança ocorrer. Implemente um processo de notificação interno para que qualquer nova integração com CPF seja automaticamente adicionada ao mapa.
Conclusão
O data mapping de dados de CPF é a base para uma governança de dados eficaz e para a conformidade com a LGPD. Mapear onde os CPFs são coletados, armazenados, processados e compartilhados permite que a empresa gerencie riscos, responda a solicitações de titulares e esteja preparada para auditorias da ANPD.
Cadastre-se em cpfhub.io — 50 consultas mensais gratuitas, sem cartão de crédito — e inclua a CPFHub.io como um ponto de baixo risco no seu data mapping, com validação de identidade confiável e sem retenção de dados dos titulares.
CPFHub.io
Pronto para integrar a API?
50 consultas gratuitas para testar agora. Sem cartão de crédito. Acesso imediato à documentação.
Sobre a redação
Redação CPFHub.io
Time editorial especializado em APIs de CPF, identidade digital e compliance no mercado brasileiro. Produzimos guias técnicos, análises regulatórias e tutoriais sobre LGPD e KYC para desenvolvedores e líderes de produto.
