A ANPD exige que o tratamento de dados de CPF via APIs de terceiros tenha base legal válida (como interesse legítimo para prevenção de fraudes ou cumprimento de obrigação legal), que o titular seja informado sobre o processamento e que o controlador garanta que o operador (a API) processa os dados conforme a LGPD — o que inclui verificar a política de privacidade e os contratos do fornecedor da API.
Introdução
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável por fiscalizar o cumprimento da LGPD no Brasil. Para empresas que utilizam APIs de terceiros para consultar ou validar CPFs, entender as exigências regulatórias é fundamental para operar em conformidade e evitar sanções que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.
O tratamento de dados de CPF via APIs externas envolve uma relação entre controlador (a empresa que decide consultar o CPF) e operador (o provedor da API que processa a consulta). A CPFHub.io opera como operador de dados, processando consultas de CPF em nome dos controladores que utilizam a API, com infraestrutura e práticas alinhadas às exigências da LGPD.
Conceitos fundamentais da LGPD aplicáveis
Controlador e operador
Na relação de consulta de CPF via API:
-
Controlador -- A empresa que decide consultar o CPF. É responsável por definir a finalidade e a base legal do tratamento.
-
Operador -- O provedor da API (como a CPFHub.io) que realiza o tratamento em nome do controlador. Processa os dados conforme as instruções do controlador.
Dados pessoais tratados
A consulta de CPF via API envolve o tratamento dos seguintes dados pessoais:
| Dado | Classificação LGPD |
|---|---|
| Número do CPF | Dado pessoal |
| Nome completo | Dado pessoal |
| Data de nascimento | Dado pessoal |
| Gênero | Dado pessoal |
Nenhum desses dados é classificado como dado pessoal sensível (artigo 5, inciso II da LGPD), mas todos requerem base legal para tratamento.
Bases legais aplicáveis
A LGPD exige que todo tratamento de dados pessoais tenha uma base legal. Para consulta de CPF via API, as bases mais comuns são:
Execução de contrato (Art. 7, V)
Quando a validação de CPF é necessária para a prestação de um serviço contratado pelo titular. Exemplos:
- Abertura de conta bancária ou digital.
- Cadastro em plataforma de e-commerce.
- Contratação de serviço de assinatura.
Cumprimento de obrigação legal (Art. 7, II)
Quando a lei exige a verificação do CPF. Exemplos:
- Emissão de nota fiscal (exigência fiscal).
- KYC para instituições financeiras (Banco Central).
- Verificação de identidade em apostas online (regulamentação de iGaming).
Legítimo interesse (Art. 7, IX)
Quando a validação de CPF atende a um interesse legítimo do controlador, desde que não prevaleçam os direitos do titular. Exemplos:
- Prevenção de fraudes em checkout.
- Verificação de identidade para segurança da plataforma.
Consentimento (Art. 7, I)
Quando o titular autoriza expressamente a consulta de seus dados. Menos comum para CPF, pois geralmente outra base legal se aplica.
Obrigações do controlador
Ao utilizar uma API de consulta de CPF, o controlador deve cumprir as seguintes obrigações:
1. Definir e documentar a finalidade
Documente claramente por que os CPFs estão sendo consultados. A finalidade deve ser específica, legítima e informada ao titular.
- Correto: "Validar a identidade do cliente para abertura de conta digital, conforme exigência do Banco Central."
- Incorreto: "Consultar CPFs para uso geral."
2. Informar o titular
O titular deve ser informado de que seus dados serão consultados via API. Isso pode ser feito por meio de:
- Política de privacidade detalhada.
- Aviso no momento da coleta do CPF.
- Termos de uso que descrevam o tratamento.
3. Garantir a minimização de dados
Consulte apenas os dados necessários para a finalidade declarada. A API da CPFHub.io retorna somente os campos solicitados e não armazena dados além do necessário para processar a resposta, facilitando a aplicação do princípio da minimização.
4. Estabelecer prazo de retenção
Defina por quanto tempo os dados retornados pela API serão armazenados:
- Se a finalidade é apenas validação no momento do cadastro, os dados podem ser descartados após a verificação.
- Se a finalidade inclui auditoria, os dados podem ser retidos por um período definido (ex.: 5 anos para obrigações fiscais).
5. Manter registro das operações de tratamento
O artigo 37 da LGPD exige que o controlador mantenha registro das atividades de tratamento (ROPA). Para consultas de CPF via API, o registro deve incluir:
Atividade: Consulta de CPF para verificação de identidade
Controlador: [Nome da empresa]
Operador: CPFHub.io
Base legal: Execução de contrato
Finalidade: Verificar identidade no onboarding de clientes
Dados tratados: CPF, nome, data de nascimento, gênero
Volume: ~500 consultas/mês
Retenção: 12 meses
Medidas de segurança: HTTPS, API key em cofre de segredos
Obrigações na relação com o operador (API)
Contrato de processamento de dados
A LGPD recomenda (e, em muitos casos, exige) que a relação entre controlador e operador seja formalizada em contrato que defina:
- Escopo e finalidade do tratamento.
- Tipos de dados pessoais processados.
- Obrigações de segurança do operador.
- Procedimentos em caso de incidente de segurança.
- Diretrizes para exclusão de dados ao término da relação.
Due diligence do fornecedor
Antes de contratar uma API de consulta de CPF, verifique se o fornecedor:
- Declara conformidade com a LGPD.
- Implementa medidas de segurança adequadas (criptografia, controle de acesso).
- Possui política de privacidade transparente.
- Não armazena dados além do necessário.
- Oferece canais de comunicação para incidentes.
A CPFHub.io disponibiliza documentação de segurança e conformidade para auxiliar os controladores no processo de due diligence e na formalização do Acordo de Processamento de Dados (DPA).
Direitos dos titulares
O titular do CPF possui direitos que o controlador deve estar preparado para atender:
Direito de acesso (Art. 18, II)
O titular pode solicitar quais dados seus foram consultados via API. O controlador deve ser capaz de informar quando e por que a consulta foi realizada.
Direito de eliminação (Art. 18, VI)
O titular pode solicitar a eliminação dos dados armazenados, salvo quando houver obrigação legal de retenção.
Direito de informação (Art. 18, VII)
O titular pode solicitar informações sobre com quais entidades seus dados foram compartilhados, incluindo o uso de APIs de terceiros.
Como se preparar
- Mantenha logs de todas as consultas de CPF realizadas (data, hora, finalidade).
- Implemente um processo para atender solicitações de titulares dentro do prazo legal (15 dias).
- Tenha um canal de contato (e-mail ou formulário) para receber solicitações.
Exemplo de consulta em conformidade
Uma consulta à API da CPFHub.io que segue as melhores práticas de conformidade:
curl -X GET https://api.cpfhub.io/cpf/12345678900 \
-H "x-api-key: SUA_CHAVE_DE_API" \
-H "Accept: application/json"
import requests
import logging
from datetime import datetime
# Configurar log de auditoria (sem registrar dados pessoais)
logger = logging.getLogger("auditoria_cpf")
def consultar_cpf_lgpd(cpf, finalidade, usuario_responsavel, api_key):
"""Consulta CPF com registro de auditoria para conformidade LGPD."""
# Registrar a consulta no log de auditoria
logger.info(
f"Consulta CPF - Finalidade: {finalidade} - "
f"Responsável: {usuario_responsavel} - "
f"Data: {datetime.now().isoformat()} - "
f"CPF: ***{cpf[-4:]}" # Apenas últimos 4 dígitos no log
)
response = requests.get(
f"https://api.cpfhub.io/cpf/{cpf}",
headers={
"x-api-key": api_key,
"Accept": "application/json"
},
timeout=10
)
data = response.json()
# Registrar resultado (sem dados pessoais)
logger.info(
f"Resultado - Sucesso: {data.get('success')} - "
f"CPF: ***{cpf[-4:]}"
)
return data
Sanções por não conformidade
A ANPD pode aplicar as seguintes sanções:
| Sanção | Descrição |
|---|---|
| Advertência | Com prazo para adoção de medidas corretivas |
| Multa simples | Até 2% do faturamento, limitada a R$ 50 milhões por infração |
| Multa diária | Para garantir o cumprimento de determinação |
| Publicização | Divulgação pública da infração |
| Bloqueio de dados | Proibição temporária de uso dos dados |
| Eliminação de dados | Obrigação de excluir dados pessoais tratados irregularmente |
Checklist de conformidade
Antes de utilizar uma API de CPF em produção, verifique:
- Base legal definida e documentada.
- Finalidade específica e legítima.
- Política de privacidade atualizada com menção ao uso de APIs de terceiros.
- Registro de atividades de tratamento (ROPA) preenchido.
- Contrato com o operador (fornecedor da API) formalizado.
- Prazo de retenção de dados definido.
- Processo para atender direitos dos titulares implementado.
- Logs de auditoria configurados (sem dados pessoais sensíveis).
- DPO (Encarregado de dados) nomeado e informado.
Perguntas frequentes
Qual é a base legal para consultar CPF via API de terceiros?
As bases legais mais aplicáveis são: cumprimento de obrigação legal (para setores regulados como financeiro), interesse legítimo (prevenção de fraudes, artigo 10 da LGPD) e execução de contrato (verificação de identidade para formalizar relação contratual). A base legal deve estar documentada na política de privacidade da empresa.
A empresa precisa informar o titular que está consultando o CPF via API?
Sim, mas pode ser feito de forma genérica na política de privacidade e/ou nos termos de uso, informando que os dados são verificados contra bases de terceiros para confirmação de identidade. Não é necessário informar o nome específico do fornecedor da API.
O fornecedor da API de CPF é considerado operador conforme a LGPD?
Sim. O fornecedor da API processa dados pessoais em nome do controlador (a empresa que faz a consulta). Isso exige um Acordo de Processamento de Dados (DPA) entre as partes, garantindo que o operador segue as diretrizes do controlador e cumpre a LGPD.
Por quanto tempo os dados retornados pela API de CPF devem ser armazenados?
Apenas pelo tempo necessário para a finalidade que justificou o tratamento. Para validação de identidade em onboarding, o log da consulta pode ser mantido pelo período de vigência da relação contratual mais o prazo prescricional aplicável (geralmente 5 anos). Após esse período, os dados devem ser eliminados ou anonimizados.
Conclusão
O tratamento de dados de CPF via APIs de terceiros é uma prática legítima e necessária para inúmeros processos de negócio no Brasil, mas deve ser realizado em conformidade com as exigências da ANPD e da LGPD. Definir a base legal, informar o titular, documentar o tratamento e escolher um operador confiável são os pilares dessa conformidade.
A CPFHub.io foi desenvolvida para facilitar essa conformidade: infraestrutura segura, sem retenção desnecessária de dados e documentação disponível para apoiar o processo de due diligence do controlador.
Cadastre-se em cpfhub.io — 50 consultas mensais gratuitas, sem cartão de crédito — e consulte CPFs em conformidade com a LGPD hoje mesmo.
CPFHub.io
Pronto para integrar a API?
50 consultas gratuitas para testar agora. Sem cartão de crédito. Acesso imediato à documentação.
Sobre a redação
Redação CPFHub.io
Time editorial especializado em APIs de CPF, identidade digital e compliance no mercado brasileiro. Produzimos guias técnicos, análises regulatórias e tutoriais sobre LGPD e KYC para desenvolvedores e líderes de produto.
