LGPD: CPF é dado pessoal sensível ou não? Entenda a classificação correta

Introdução

O CPF é um dado pessoal comum — não sensível — segundo a Lei 13.709/2018 (LGPD): não se enquadra nas categorias especiais do artigo 5º (origem racial, saúde, biometria, etc.). Porém, por ser o principal identificador de uma pessoa física no Brasil, seu tratamento exige base legal clara e medidas de segurança adequadas — a classificação como dado comum não dispensa proteção rigorosa.

Uma das dúvidas mais recorrentes entre empresas que lidam com dados de brasileiros é: o CPF é um dado pessoal sensível segundo a LGPD? Essa classificação impacta diretamente as obrigações legais da empresa, os controles de segurança exigidos e até as bases legais que podem ser utilizadas para justificar o tratamento desse dado.

O que diz a LGPD sobre dados pessoais

A LGPD (Lei n. 13.709/2018) define duas categorias principais de dados:

Dado pessoal

Segundo o artigo 5o, inciso I, dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável. Isso inclui nome, CPF, e-mail, endereço, telefone, entre outros.

Dado pessoal sensível

O artigo 5o, inciso II, define dado pessoal sensível como aquele que se refere a:

• Origem racial ou étnica
• Convicção religiosa
• Opinião política
• Filiação a sindicato ou organização religiosa, filosófica ou política
• Dado referente à saúde ou à vida sexual
• Dado genético ou biométrico

A lista de dados sensíveis é taxativa (fechada), ou seja, apenas os tipos expressamente listados na lei são considerados sensíveis.

CPF: dado pessoal, mas não sensível

Com base na definição legal, o CPF é classificado como dado pessoal, mas não como dado pessoal sensível. Ele é um número de registro fiscal que identifica uma pessoa natural perante a Receita Federal, mas não revela informações sobre origem racial, convicção religiosa, saúde ou qualquer outra categoria listada no artigo 5o, inciso II.

Por que essa distinção importa

A classificação do dado determina quais bases legais podem ser utilizadas para justificar o tratamento e quais controles de segurança são exigidos:

Bases legais para tratamento de CPF

Mesmo não sendo dado sensível, o CPF é um dado pessoal e, portanto, precisa de uma base legal válida para ser tratado. As bases legais mais comuns para o tratamento de CPF são:

Execução de contrato (art. 7o, V)

Quando o CPF é necessário para cumprir um contrato ou executar procedimentos preliminares a um contrato. Exemplo: e-commerce que precisa do CPF para emitir nota fiscal.

Cumprimento de obrigação legal (art. 7o, II)

Quando uma lei ou regulamento exige o tratamento do CPF. Exemplo: instituições financeiras obrigadas a coletar CPF para KYC; plataformas de apostas que devem verificar a identidade do apostador.

Legítimo interesse (art. 7o, IX)

Quando o tratamento é necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto quando prevalecerem direitos e liberdades fundamentais do titular. Exemplo: e-commerce que válida CPF para prevenção a fraudes.

Consentimento (art. 7o, I)

Quando o titular autoriza expressamente o tratamento de seus dados. Deve ser livre, informado, inequívoco e para finalidade determinada.

Como tratar CPF em conformidade com a LGPD

Princípio da finalidade

Colete e trate o CPF apenas para a finalidade específica declarada. Se a finalidade é emissão de nota fiscal, não use o CPF para marketing sem consentimento adicional.

Princípio da necessidade

Colete apenas os dados mínimos necessários. Se você precisa validar a identidade do usuário, a consulta ao CPF via API pode ser suficiente -- não é necessário armazenar todos os dados retornados permanentemente.

Princípio da segurança

Implemente medidas técnicas e administrativas para proteger o CPF contra acessos não autorizados, vazamentos e uso indevido. Isso inclui criptografia em trânsito e em repouso, controle de acesso e logs de auditoria.

Transparência

Informe ao titular que seu CPF será tratado, para qual finalidade e com quem será compartilhado. Essa informação deve constar na política de privacidade da empresa.

A CPFHub.io e a conformidade LGPD

A CPFHub.io foi desenvolvida para operar em conformidade com a LGPD: dados trafegam via HTTPS, o acesso é controlado por API key por conta, e a API retorna apenas nome, gênero e data de nascimento — nenhum dado que se enquadre como sensível pelo artigo 5º.

• Criptografia de dados -- Todas as comunicações com a API são realizadas via HTTPS com criptografia TLS.

• Minimização de dados -- A API retorna apenas os dados necessários para a validação: nome, gênero e data de nascimento.

• Não armazenamento de dados sensíveis -- A CPFHub.io não armazena dados além do necessário para a prestação do serviço.

• Logs de auditoria -- Todas as consultas são registradas para fins de rastreabilidade e conformidade.

Exemplo de consulta conforme LGPD

curl -X GET https://api.cpfhub.io/cpf/12345678900 \
    -H "x-api-key: SUA_CHAVE_DE_API" \
    -H "Accept: application/json"

{
    "success": true,
    "data": {
    "cpf": "12345678900",
    "name": "Fernanda Lima Costa",
    "nameUpper": "FERNANDA LIMA COSTA",
    "gender": "F",
    "birthDate": "14/02/1995",
    "day": 14,
    "month": 2,
    "year": 1995
    }
}

Os dados retornados são estritamente cadastrais e não incluem nenhuma informação classificada como dado sensível pela LGPD.

Erros comuns sobre CPF e LGPD

Confundir dado pessoal com dado sensível

O CPF é um dado pessoal, não sensível. Tratar o CPF com as mesmas restrições de um dado sensível é desnecessário e pode burocratizar processos que poderiam ser mais ágeis com bases legais como legítimo interesse.

Achar que a LGPD proíbe o uso de CPF

A LGPD não proíbe o tratamento de CPF. Ela exige que haja uma base legal válida, que o tratamento seja transparente e que medidas de segurança adequadas sejam implementadas.

Não ter base legal documentada

Mesmo que o tratamento de CPF seja legítimo, a empresa deve documentar qual base legal está sendo utilizada. Essa documentação é essencial em caso de fiscalização pela ANPD (Autoridade Nacional de Proteção de Dados).

Armazenar CPF sem necessidade

Se a finalidade é apenas validar a identidade em um momento específico (checkout, cadastro), considere consultar o CPF via API sem armazená-lo permanentemente. Isso reduz o risco de vazamento e simplifica a conformidade.

Recomendações práticas para empresas

1. Documente a base legal -- Para cada uso de CPF, registre qual base legal do artigo 7o da LGPD está sendo utilizada.

2. Implemente segurança proporcional -- Use criptografia, controle de acesso e logs de auditoria para proteger os CPFs armazenados.

3. Minimize o armazenamento -- Se possível, consulte o CPF via API da CPFHub.io no momento em que precisar do dado e descarte a resposta em seguida, sem persistência. Isso elimina o risco de vazamento e simplifica a conformidade.

4. Atualize a política de privacidade -- Informe aos titulares que o CPF é coletado, para qual finalidade e com base em qual fundamento legal.

5. Prepare-se para exercício de direitos -- O titular pode solicitar acesso, correção ou exclusão de seus dados. Tenha processos definidos para atender essas solicitações.

Perguntas frequentes

Qual a diferença entre dado pessoal comum e dado sensível na LGPD?

Dados sensíveis são listados taxativamente no artigo 5º da LGPD: origem racial, convicção religiosa, opinião política, filiação sindical, dados de saúde, vida sexual, dados genéticos ou biométricos. O CPF não está nessa lista — é dado pessoal comum. A distinção é importante porque dados sensíveis têm requisitos de tratamento mais restritivos.

Tratar o CPF como dado comum significa que posso usá-lo livremente?

Não. Dado pessoal comum ainda exige base legal válida para tratamento (artigo 7 da LGPD), finalidade específica declarada ao titular, segurança adequada e respeito aos direitos do titular. A diferença é que as bases legais disponíveis são mais amplas do que para dados sensíveis.

Quando o CPF combinado com outros dados pode se tornar mais sensível?

Quando associado a dados de saúde, histórico financeiro ou informações que permitam discriminação, o conjunto de dados tem impacto equivalente a dados sensíveis — mesmo que o CPF isolado seja comum. O RIPD (Relatório de Impacto à Proteção de Dados) deve considerar o risco combinado, não apenas o CPF em isolamento.

A ANPD já se pronunciou sobre a classificação do CPF?

A ANPD tem orientado que o tratamento de CPF em larga escala (bases com milhões de registros) exige cuidados especiais mesmo sendo dado comum, devido ao risco de re-identificação e de uso indevido. O contexto e a escala do tratamento são tão relevantes quanto a classificação formal do dado.

Conclusão

O CPF é dado pessoal, não sensível — isso permite bases legais mais flexíveis, como legítimo interesse para antifraude. O que não muda é a obrigação de ter finalidade declarada, segurança adequada e respeito aos direitos do titular. Com a API da cpfhub.io, você consulta sem armazenar, reduzindo o risco de vazamento e simplificando a conformidade.