Quais São os Direitos do Usuário Sobre Seus Dados de CPF Segundo a LGPD

A LGPD garante ao titular oito direitos sobre seus dados de CPF: confirmação de tratamento, acesso, correção, anonimização/bloqueio/eliminação, portabilidade, informação sobre compartilhamento, revogação de consentimento e revisão de decisão automatizada. Empresas devem ter canal de atendimento funcional para exercício desses direitos com prazo de resposta de 15 dias.

Introdução

A LGPD (Lei 13.709/2018) confere ao titular dos dados um conjunto robusto de direitos sobre suas informações pessoais, incluindo dados de CPF. Empresas que utilizam APIs de consulta de CPF precisam estar preparadas para atender essas solicitações de forma ágil e documentada. Ignorar ou atrasar o atendimento pode resultar em sanções administrativas, multas e danos reputacionais.

Os direitos do titular na LGPD

O artigo 18 da LGPD lista os direitos que o titular pode exercer a qualquer momento:

Direito de confirmação e acesso

O titular tem direito a saber se a empresa trata seus dados e, em caso afirmativo, acessar uma cópia completa:

const express = require("express");
const app = express();

// Endpoint para solicitação de acesso aos dados
app.get("/api/meus-dados/:cpf", async (req, res) => {
    const { cpf } = req.params;

    // Verificar identidade do solicitante (autenticação prévia)
    if (!req.user || req.user.cpf !== cpf) {
    return res.status(403).json({
    error: "Acesso negado. Você só pode consultar seus dados."
    });
    }

    // Buscar dados em todos os sistemas
    const dadosArmazenados = await buscarDadosPorCPF(cpf);

    if (!dadosArmazenados) {
    return res.json({
    mensagem: "Não tratamos dados vinculados a este CPF.",
    cpf_consultado: true,
    dados_encontrados: false
    });
    }

    // Retornar dados conforme Art. 18, II
    res.json({
    titular: {
    cpf_mascarado: `***.${cpf.slice(3,6)}.***-${cpf.slice(9)}`,
    dados_armazenados: dadosArmazenados.campos,
    finalidade: dadosArmazenados.finalidade,
    base_legal: dadosArmazenados.baseLegal,
    data_coleta: dadosArmazenados.dataColeta,
    tempo_retencao: dadosArmazenados.retencao,
    compartilhado_com: dadosArmazenados.terceiros
    }
    });
});

O acesso deve ser fornecido em formato claro e completo, dentro de prazo razoável (a LGPD não define prazo específico, mas a ANPD recomenda até 15 dias).

Direito de correção

Quando o titular identifica dados incorretos vinculados ao seu CPF, ele pode solicitar a retificação. Isso é especialmente relevante quando dados retornados pela API de CPF são armazenados:

• Nome incorreto -- diferenças entre o nome registrado na base da API e a grafia correta do titular devem ser corrigidas no sistema local
• Data de nascimento -- erros cadastrais na origem podem se propagar para sistemas que armazenam a resposta da API
• Gênero -- atualizações legais de gênero devem ser refletidas nos registros armazenados
• Validar com a fonte -- após a correção local, revalide com a API do CPFHub para confirmar consistência

A empresa deve manter registro da correção, incluindo o valor anterior, o novo valor, a data da alteração e a identificação de quem solicitou.

Direito de eliminação e anonimização

O titular pode solicitar a eliminação de dados tratados com base no consentimento. Para dados de CPF, isso implica:

• Identificar todos os repositórios -- banco de dados principal, caches, logs, backups e sistemas de terceiros que receberam o dado
• Avaliar exceções legais -- obrigações regulatórias podem justificar a retenção de alguns dados mesmo após a solicitação
• Anonimizar quando possível -- se o dado não pode ser eliminado por obrigação legal, anonimize-o removendo a possibilidade de identificação
• Confirmar ao titular -- informe quais dados foram eliminados e quais foram retidos com a respectiva justificativa

def anonimizar_dados_cpf(registro: dict) -> dict:
    """Anonimiza dados de CPF mantendo utilidade estatística."""
    registro_anonimo = {
    "id": registro["id"],
    "cpf": None, # removido
    "cpf_hash": None, # removido
    "nome": None, # removido
    "genero": registro.get("genero"), # mantido para estatística
    "faixa_etaria": calcular_faixa_etaria(
    registro.get("data_nascimento")
    ),
    "data_nascimento": None, # removido
    "regiao": registro.get("uf"), # mantido para estatística
    "data_cadastro": registro["data_cadastro"],
    "anonimizado_em": datetime.utcnow().isoformat(),
    "motivo": "Solicitação do titular - Art. 18, IV LGPD"
    }
    return registro_anonimo

Como estruturar o canal de atendimento

A LGPD exige que a empresa disponibilize meios fáceis para o titular exercer seus direitos:

• Canal dedicado -- disponibilize formulário web, e-mail específico (ex: privacidade@empresa.com) ou área no portal do cliente
• Prazo de resposta -- responda à solicitação inicial em até 15 dias úteis, conforme orientação da ANPD
• Protocolo de acompanhamento -- forneça número de protocolo para que o titular acompanhe o status da solicitação
• Verificação de identidade -- confirme a identidade do solicitante antes de fornecer dados ou executar ações
• Registro de solicitações -- mantenha log completo de todas as solicitações recebidas e ações tomadas
• Escalonamento -- defina fluxo de escalonamento para solicitações complexas que exijam análise jurídica

Perguntas frequentes

O titular pode exigir que a empresa corrija um CPF errado em seu cadastro?

Sim. O direito de correção (artigo 18, III da LGPD) garante ao titular solicitar a atualização de dados incompletos, inexatos ou desatualizados. A empresa deve atender no prazo de 15 dias. Após a correção, deve confirmar ao titular que os dados foram atualizados em todos os sistemas relevantes.

Um usuário pode pedir portabilidade dos seus dados de CPF para outro fornecedor?

A portabilidade (artigo 18, V da LGPD) garante ao titular receber seus dados pessoais em formato estruturado e interoperável. Para CPF especificamente, o dado em si é de propriedade do titular e da Receita Federal — o que se porta são os dados complementares associados ao CPF no cadastro da empresa.

A empresa pode cobrar pelo exercício de direitos de dados de CPF?

Não. O artigo 18 da LGPD determina que o atendimento é "gratuito e facilitado". Qualquer tentativa de cobrar pelo acesso, correção ou exclusão de dados pessoais é violação direta da lei e sujeita a sanção da ANPD.

O que é o direito de revisão de decisão automatizada e quando se aplica ao CPF?

Quando um sistema automatizado usa o CPF para tomar uma decisão que afeta o titular — como recusar um cadastro, bloquear uma compra ou negar crédito —, o titular tem direito de solicitar revisão humana dessa decisão. A empresa deve ter processo claro para esse tipo de solicitação.

Conclusão

Os direitos do titular sobre dados de CPF são amplos e devem ser tratados com seriedade pela organização. Desde a confirmação de tratamento até a eliminação e portabilidade, cada direito exige processos técnicos e organizacionais bem definidos. Ao utilizar a API do cpfhub.io, a empresa garante que os dados obtidos via consulta de CPF podem ser localizados, acessados e excluídos de forma controlada — facilitando o atendimento a qualquer solicitação de titular. O provedor opera como consulta em tempo real, sem retenção permanente dos dados pelo cliente, o que simplifica o mapeamento de dados e a resposta a exercício de direitos.

Cadastre-se em cpfhub.io — 50 consultas mensais gratuitas, sem cartão de crédito — e comece com uma integração pronta para atender os direitos dos titulares.