A LGPD impacta diretamente a coleta de CPF via APIs em três pontos: exige base legal para cada consulta, impõe minimização (não colete mais do que precisa), e estabelece responsabilidade solidária entre a empresa que consulta (controladora) e o fornecedor da API (operador) — tornando obrigatório o contrato de DPA com o fornecedor da API.
Introdução
Antes da LGPD, era comum que empresas coletassem e armazenassem dados de CPF sem critério definido, acumulando informações pessoais em bancos de dados sem controle de acesso, sem prazo de retenção e sem base legal documentada. A entrada em vigor da Lei 13.709/2018 transformou fundamentalmente essas práticas, exigindo justificativa para cada coleta, minimização dos dados armazenados e proteção adequada em todo o ciclo de vida.
Antes e depois da LGPD
A lei provocou mudanças estruturais na forma como dados de CPF são tratados:
| Aspecto | Antes da LGPD | Depois da LGPD |
|---|---|---|
| Coleta | Sem critério, coletava tudo disponível | Apenas dados necessários para a finalidade |
| Base legal | Não exigida | Obrigatória para cada tratamento |
| Consentimento | Genérico ou inexistente | Específico, informado e documentado |
| Armazenamento | Indefinido, sem prazo | Período definido com justificativa |
| Acesso | Sem controle granular | Princípio do menor privilégio |
| Compartilhamento | Livre entre sistemas e parceiros | Documentado com base legal |
| Exclusão | Raramente implementada | Obrigatória mediante solicitação |
| Incidentes | Sem obrigação de notificação | Notificação à ANPD em prazo razoável |
Impacto na coleta de dados via API
Ao consultar a API do CPFHub, a resposta inclui múltiplos campos de dados pessoais. A LGPD impõe que você colete apenas o necessário:
import requests
def consultar_cpf_lgpd_compliant(cpf: str, finalidade: str) -> dict:
"""Consulta CPF e retorna apenas os dados necessários
para a finalidade declarada."""
response = requests.get(
f"https://api.cpfhub.io/cpf/{cpf}",
headers={"x-api-key": "SUA_CHAVE_AQUI"},
timeout=10
)
data = response.json()
if not data.get("success"):
return {"valido": False}
api_data = data["data"]
# Minimização: retorna apenas campos necessários
campos_por_finalidade = {
"validacao_simples": {
"valido": True
},
"cadastro_cliente": {
"valido": True,
"cpf": api_data["cpf"],
"nome": api_data["name"]
},
"analise_credito": {
"valido": True,
"cpf": api_data["cpf"],
"nome": api_data["name"],
"data_nascimento": api_data["birthDate"],
"genero": api_data["gender"]
}
}
resultado = campos_por_finalidade.get(finalidade, {})
if not resultado:
raise ValueError(
f"Finalidade não reconhecida: {finalidade}"
)
return resultado
O ponto crucial é que a API retorna todos os campos disponíveis, mas a sua aplicação deve filtrar e armazenar apenas o que é estritamente necessário para a finalidade declarada.
Impacto no armazenamento
A LGPD trouxe exigências específicas para o armazenamento de dados de CPF:
- Retenção limitada -- defina prazos claros de armazenamento para cada tipo de dado e automatize a exclusão ao final do período
- Criptografia obrigatória -- dados de CPF em repouso devem ser protegidos com criptografia, preferencialmente em nível de campo
- Segregação de dados -- dados pessoais devem ser armazenados separadamente de dados operacionais quando possível
- Backup controlado -- backups que contêm dados de CPF devem seguir as mesmas políticas de proteção e retenção
- Registro de tratamento -- cada operação de armazenamento deve ser documentada no registro de atividades de tratamento (Art. 37)
A prática anterior de "armazenar tudo por via das dúvidas" é agora uma violação direta do princípio da necessidade (Art. 6o, III).
Adequação de sistemas legados
Muitas empresas mantêm sistemas legados que foram construídos antes da LGPD e armazenam dados de CPF sem as proteções necessárias:
- Inventário de dados -- mapeie todos os locais onde CPFs estão armazenados, incluindo planilhas, e-mails e sistemas não documentados
- Classificação retroativa -- aplique classificações de sensibilidade e defina bases legais para dados já existentes
- Criptografia retroativa -- implemente criptografia em campos de CPF já armazenados em texto aberto
- Limpeza de dados -- elimine dados de CPF que não possuem base legal ou finalidade atual para manutenção
- Atualização de contratos -- revise contratos com terceiros que processam dados de CPF para incluir cláusulas de proteção de dados
# Exemplo: identificar tabelas com CPF em texto aberto
# em banco PostgreSQL para planejamento de criptografia
psql -U admin -d producao -c "
SELECT
table_schema,
table_name,
column_name,
data_type
FROM information_schema.columns
WHERE column_name ILIKE '%cpf%'
ORDER BY table_schema, table_name;
"
Impacto nos contratos com provedores de API
A LGPD exige que contratos com operadores de dados (como provedores de API de CPF) contenham cláusulas específicas:
| Cláusula | Descrição | Art. LGPD |
|---|---|---|
| Finalidade do tratamento | Para que o operador pode usar os dados | Art. 39 |
| Instruções do controlador | Operador segue instruções documentadas | Art. 39 |
| Medidas de segurança | Padrões mínimos de proteção exigidos | Art. 46 |
| Notificação de incidentes | Prazo para comunicar vazamentos | Art. 48 |
| Sub-operadores | Autorização para envolvimento de terceiros | Art. 39 |
| Devolução ou exclusão | Tratamento dos dados ao término do contrato | Art. 16 |
| Auditoria | Direito do controlador de auditar o operador | Art. 39 |
Perguntas frequentes
A LGPD proíbe o uso de APIs de CPF de terceiros?
Não proíbe — autoriza desde que haja base legal válida e contrato de processamento de dados com o fornecedor. A ANPD já orientou que o uso de bases de dados de terceiros para validação de identidade é permitido quando há interesse legítimo (prevenção de fraudes) ou cumprimento de obrigação legal como base.
O que é um DPA (Data Processing Agreement) e por que é necessário para APIs de CPF?
DPA é o contrato entre o controlador (empresa que usa a API) e o operador (fornecedor da API) que define como os dados serão processados, as medidas de segurança adotadas e as responsabilidades em caso de incidente. A LGPD torna obrigatória essa formalização quando dados pessoais são processados por terceiros.
Posso usar uma API de CPF hospedada fora do Brasil?
A LGPD regula a transferência internacional de dados. Para APIs hospedadas fora do Brasil, é necessário que o país destinatário tenha proteção adequada reconhecida pela ANPD ou que haja mecanismo contratual equivalente (cláusulas contratuais padrão). Fornecedores que hospedam dados no Brasil ou em países com adequação facilitam o compliance.
Como a LGPD impacta o log de consultas de CPF via API?
Os logs de consulta são dados pessoais tratados pela empresa. Devem ter finalidade documentada (auditoria de KYC), prazo de retenção definido e segurança adequada. Não podem ser usados para fins diferentes do original (ex: marketing) sem nova base legal. O compartilhamento de logs com terceiros exige base legal específica.
Conclusão
A LGPD transformou fundamentalmente a forma como dados de CPF são coletados e armazenados via APIs. O paradigma mudou de "coletar tudo e armazenar indefinidamente" para "coletar o mínimo, com base legal documentada, e reter pelo tempo estritamente necessário". Ao integrar com a API do cpfhub.io, sua empresa obtém uma solução 100% aderente à LGPD, com contrato de DPA incluso, criptografia em trânsito e suporte técnico para adequação.
Cadastre-se em cpfhub.io — 50 consultas mensais gratuitas, sem cartão de crédito — e garanta que a coleta e o armazenamento de dados de CPF na sua empresa estejam em conformidade com a LGPD hoje mesmo.
CPFHub.io
Pronto para integrar a API?
50 consultas gratuitas para testar agora. Sem cartão de crédito. Acesso imediato à documentação.
Sobre a redação
Redação CPFHub.io
Time editorial especializado em APIs de CPF, identidade digital e compliance no mercado brasileiro. Produzimos guias técnicos, análises regulatórias e tutoriais sobre LGPD e KYC para desenvolvedores e líderes de produto.
