Quando uma API de CPF está hospedada em servidores fora do Brasil, cada consulta constitui uma transferência internacional de dados pessoais. A LGPD, em seus artigos 33 a 36, exige que o nível de proteção no destino seja equivalente ao previsto na legislação brasileira. A forma mais simples de evitar esse risco regulatório é escolher APIs hospedadas em território nacional — onde os dados não saem do Brasil e as obrigações dos artigos 33 a 36 não se aplicam.
Introdução
Empresas que utilizam serviços de cloud computing com data centers no exterior ou APIs com servidores fora do território nacional precisam garantir que o nível de proteção dos dados de CPF seja equivalente ao previsto na legislação brasileira.
Quando ocorre transferência internacional
A transferência internacional não se limita ao envio deliberado de dados. Ela ocorre em diversos cenários:
| Cenário | Transferência Internacional? | Observação |
|---|---|---|
| API hospedada nos EUA | Sim | Dados trafegam para fora do Brasil |
| API hospedada no Brasil (sa-east-1) | Não | Dados permanecem em território nacional |
| CDN com cache em múltiplas regiões | Possivelmente | Depende de onde os dados são cacheados |
| Backup em região estrangeira | Sim | Mesmo backups configuram transferência |
| Logs armazenados em cloud global | Possivelmente | Se logs contêm CPF e estão em servidores externos |
| Monitoramento com ferramenta SaaS exterior | Sim | Se dados de CPF são enviados para a ferramenta |
Hipóteses legais para transferência internacional
O artigo 33 da LGPD lista as situações em que a transferência é permitida:
- País com proteção adequada (Art. 33, I) -- a ANPD pode reconhecer países com nível adequado de proteção, mas até o momento a lista não foi publicada formalmente
- Cláusulas contratuais específicas (Art. 33, II, b) -- contratos com o provedor da API devem incluir cláusulas que garantam a proteção dos dados
- Cláusulas padrão contratuais (Art. 33, II, c) -- modelos de cláusulas definidos pela ANPD para transferência internacional
- Consentimento específico (Art. 33, VIII) -- o titular consente explicitamente com a transferência, informado sobre os riscos
- Proteção da vida (Art. 33, IV) -- em situações de emergência que envolvam proteção da vida do titular
- Cooperação jurídica internacional (Art. 33, III) -- para cumprimento de acordos internacionais
Avaliação técnica da localização da API
Antes de integrar com qualquer API de CPF, verifique onde os dados serão processados e armazenados:
# Verificar localização do servidor da API
# Resolução DNS e geolocalização do IP
# 1. Obter IP do servidor
dig +short api.cpfhub.io
# 2. Verificar geolocalização
curl -s "https://ipinfo.io/$(dig +short api.cpfhub.io | head -1)" \
| python3 -m json.tool
# 3. Verificar rota dos dados (traceroute)
traceroute -m 15 api.cpfhub.io
# 4. Verificar certificado SSL e emissor
echo | openssl s_client -connect api.cpfhub.io:443 2>/dev/null \
| openssl x509 -noout -subject -issuer -dates
Esses comandos ajudam a identificar se os dados de CPF trafegam por servidores em outros países durante a comunicação com a API.
Cláusulas contratuais para transferência internacional
Quando a transferência internacional é necessária, o contrato com o provedor deve incluir:
CLÁUSULA DE PROTEÇÃO DE DADOS PESSOAIS
TRANSFERÊNCIA INTERNACIONAL
8.1. O OPERADOR reconhece que o tratamento de dados pessoais
de titulares brasileiros está sujeito à Lei 13.709/2018 (LGPD).
8.2. O OPERADOR compromete-se a:
a) Tratar dados de CPF exclusivamente conforme as instruções
documentadas do CONTROLADOR;
b) Implementar medidas técnicas e organizacionais adequadas
para proteger os dados contra acesso não autorizado;
c) Garantir nível de proteção equivalente ao previsto na LGPD
brasileira;
d) Notificar o CONTROLADOR sobre qualquer incidente de
segurança envolvendo dados de CPF em até 48 horas;
e) Não transferir os dados para terceiros países sem
autorização prévia e por escrito do CONTROLADOR;
f) Ao término do contrato, devolver ou eliminar todos os
dados de CPF, conforme instrução do CONTROLADOR.
8.3. O OPERADOR submete-se à jurisdição brasileira para questões
relacionadas ao tratamento de dados pessoais de titulares
brasileiros.
Medidas técnicas para proteger dados em trânsito internacional
Quando a transferência internacional é inevitável, implemente proteções adicionais:
- Criptografia ponta a ponta -- criptografe o CPF antes de enviá-lo à API, de modo que mesmo o provedor não acesse o dado em texto aberto
- VPN site-to-site -- estabeleça um túnel criptografado entre sua infraestrutura e o provedor da API
- Tokenização prévia -- substitua o CPF por um token antes da transferência internacional, mantendo o mapeamento internamente
- Minimização extrema -- envie apenas o dado estritamente necessário para a operação, sem campos adicionais
- Monitoramento de rota -- monitore as rotas de rede para detectar desvios inesperados de tráfego
| Medida | Proteção | Complexidade |
|---|---|---|
| TLS 1.3 | Criptografia em trânsito | Baixa |
| VPN dedicada | Túnel criptografado | Média |
| Criptografia de payload | Proteção mesmo do provedor | Alta |
| Tokenização | Dado real não sai do Brasil | Alta |
Preferência por APIs hospedadas no Brasil
A forma mais simples de evitar questões de transferência internacional é utilizar APIs hospedadas em território brasileiro:
- Eliminação de risco regulatório -- dados que não saem do Brasil não estão sujeitos aos artigos 33 a 36 da LGPD
- Menor latência -- servidores no Brasil oferecem tempos de resposta menores para aplicações brasileiras
- Jurisdição clara -- em caso de litígio, a jurisdição brasileira é inquestionável
- Simplicidade contratual -- não há necessidade de cláusulas de transferência internacional
- Compliance facilitado -- menos requisitos para demonstrar conformidade em auditorias
Perguntas frequentes
Uma API de CPF hospedada nos EUA viola automaticamente a LGPD?
Não automaticamente — mas exige medidas adicionais. O artigo 33 da LGPD permite a transferência internacional desde que haja base legal adequada: cláusulas contratuais específicas com o provedor, consentimento explícito do titular ou reconhecimento do país de destino pela ANPD. Sem essas salvaguardas, a transferência pode ser considerada irregular.
O que a ANPD exige para transferência internacional de dados pessoais de CPF?
A ANPD orienta que o controlador deve formalizar a base legal para a transferência, garantir que o país ou organização destinatária ofereça nível de proteção equivalente à LGPD e manter registros dessa avaliação. Para CPF, classificado como dado pessoal comum, as cláusulas contratuais padrão (Art. 33, II, c) são a opção mais prática enquanto a lista de países adequados não é publicada.
Como verificar tecnicamente se uma API de CPF processa dados no Brasil?
Use dig +short api.provedor.io para obter o IP do servidor, depois consulte https://ipinfo.io/{IP} para verificar o país e a região de hospedagem. Para APIs em CDN, o IP pode variar por ponto de presença — nesse caso, solicite ao provedor documentação formal sobre onde os dados são processados e armazenados permanentemente.
Quais cláusulas contratuais são indispensáveis ao contratar uma API de CPF estrangeira?
O contrato deve incluir: obrigação de tratar os dados exclusivamente conforme instruções do controlador; garantia de nível de proteção equivalente à LGPD; notificação de incidentes em até 48 horas; proibição de subtransferência sem autorização prévia; e obrigação de devolução ou eliminação dos dados ao término do contrato — conforme modelo do Art. 33, II, b da LGPD.
Conclusão
A transferência internacional de dados de CPF via APIs exige atenção redobrada à conformidade com a LGPD. Antes de integrar com qualquer serviço externo, verifique a localização dos servidores, implemente cláusulas contratuais adequadas e aplique medidas técnicas de proteção em trânsito. Quando possível, prefira APIs hospedadas no Brasil para simplificar o compliance. A API do cpfhub.io opera em servidores brasileiros, eliminando a necessidade de cláusulas de transferência internacional.
Cadastre-se em cpfhub.io — 50 consultas mensais gratuitas, sem cartão de crédito — e valide CPF com conformidade LGPD total hoje mesmo.
CPFHub.io
Pronto para integrar a API?
50 consultas gratuitas para testar agora. Sem cartão de crédito. Acesso imediato à documentação.
Sobre a redação
Redação CPFHub.io
Time editorial especializado em APIs de CPF, identidade digital e compliance no mercado brasileiro. Produzimos guias técnicos, análises regulatórias e tutoriais sobre LGPD e KYC para desenvolvedores e líderes de produto.
