Multas da LGPD por uso indevido de dados de CPF: casos reais no Brasil

Introdução

A ANPD já aplicou as primeiras multas sob a LGPD por uso indevido de dados pessoais, incluindo CPF: as penalidades chegaram a dezenas de milhares de reais mesmo em casos iniciais, com advertências e determinações de adequação. Empresas que coletam CPF sem base legal, compartilham sem consentimento ou não notificam vazamentos em prazo adequado estão no foco das fiscalizações.

A Lei Geral de Proteção de Dados (LGPD) está em vigor desde setembro de 2020, e a Autoridade Nacional de Proteção de Dados (ANPD) vem intensificando a fiscalização e aplicação de sanções. Entre os dados pessoais mais envolvidos em infrações está o CPF -- por ser amplamente coletado, frequentemente compartilhado e, muitas vezes, tratado sem os cuidados que a legislação exige.

Empresas que coletam, armazenam ou consultam CPFs sem base legal adequada, sem consentimento informado ou sem medidas de segurança estão sujeitas a multas que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.

As sanções previstas na LGPD

A LGPD prevê um escalonamento de sanções que a ANPD pode aplicar conforme a gravidade da infração.

Tipos de sanções

• Advertência -- Com prazo para adoção de medidas corretivas.

• Multa simples -- Até 2% do faturamento no último exercício, limitada a R$ 50 milhões por infração.

• Multa diária -- Com limite total de R$ 50 milhões.

• Publicização da infração -- Divulgação pública do nome da empresa e da infração cometida.

• Bloqueio dos dados -- Proibição temporária de usar os dados pessoais envolvidos.

• Eliminação dos dados -- Obrigação de excluir os dados pessoais coletados indevidamente.

• Suspensão do banco de dados -- Suspensão parcial do funcionamento do banco de dados por até 6 meses.

• Proibição parcial ou total do tratamento -- A empresa fica impedida de tratar dados pessoais.

Casos reais de penalidades envolvendo dados de CPF

Caso 1: Empresa de telecomunicações multada por compartilhamento indevido

Uma operadora de telecomunicações foi autuada por compartilhar dados de CPF de clientes com parceiros comerciais sem consentimento específico. Os dados eram usados para ofertas de crédito e seguros que os clientes não haviam solicitado. A ANPD determinou advertência com prazo para adequação e obrigação de notificar todos os titulares afetados.

A lição principal: compartilhar CPF com terceiros para finalidades diferentes daquelas informadas ao titular é infração clara da LGPD, mesmo quando existe contrato entre as partes.

Caso 2: Microempresa multada por coleta sem base legal

Em um dos primeiros casos de multa efetiva da ANPD, uma microempresa foi autuada por coletar e armazenar dados de CPF sem base legal definida e sem política de privacidade acessível. A multa, embora proporcionalmente menor por se tratar de pequena empresa, estabeleceu o precedente de que a LGPD se aplica a negócios de todos os portes.

Caso 3: Órgão público sancionado por exposição de dados

Um órgão público foi advertido pela ANPD após uma falha de segurança expor dados de CPF de cidadãos em página acessível publicamente na internet. A falta de medidas técnicas de proteção e a ausência de comunicação aos titulares agravaram a situação.

Caso 4: Empresa de dados sancionada por tratamento sem transparência

Uma empresa que comercializava dados de CPF para fins de marketing direto foi autuada por falta de transparência no tratamento. Os titulares não eram informados sobre a coleta nem sobre a finalidade do uso. A ANPD determinou a eliminação dos dados e aplicou multa.

Os erros mais comuns que levam a penalidades

Coleta sem base legal definida

A LGPD exige que toda coleta de dados pessoais tenha uma base legal explícita (consentimento, obrigação legal, legítimo interesse, etc.). Coletar CPF "para uso futuro" ou "por precaução" sem uma finalidade específica é infração.

Falta de consentimento informado

Quando a base legal é o consentimento, o titular deve ser informado de forma clara sobre a finalidade da coleta antes de fornecer o dado. Termos de uso genéricos que mencionam "dados pessoais" sem especificar o CPF não atendem à exigência.

Compartilhamento sem autorização

Repassar dados de CPF para parceiros comerciais, bureaus de crédito ou prestadores de serviço sem base legal específica ou sem informar o titular é uma das infrações mais frequentes.

Armazenamento excessivo

Manter dados de CPF por tempo indeterminado, mesmo após o encerramento da relação com o titular, viola o princípio da necessidade. A LGPD exige que os dados sejam eliminados quando a finalidade é alcançada, salvo obrigação legal de retenção.

Ausência de medidas de segurança

Armazenar CPFs em texto plano, sem criptografia, sem controle de acesso e sem monitoramento é negligência que agrava qualquer incidente de segurança.

Como tratar dados de CPF em conformidade com a LGPD

Defina a base legal antes de coletar

Para cada finalidade de uso do CPF, identifique a base legal aplicável:

Informe o titular de forma clara

No momento da coleta, explique em linguagem simples por que o CPF é necessário, como será usado e por quanto tempo será armazenado.

Use APIs em conformidade

Ao consultar CPFs via API, certifique-se de que o fornecedor opera em conformidade com a LGPD. A CPFHub.io opera em conformidade com a LGPD: criptografia em trânsito, autenticação por chave individual e política de retenção de logs documentada.

Minimize os dados coletados

Colete apenas o CPF se essa for a única informação necessária. Não solicite RG, endereço e renda se a finalidade é apenas emitir nota fiscal.

Implemente medidas de segurança técnicas

• Criptografia em repouso e em trânsito -- Dados de CPF devem ser criptografados no banco de dados e nas comunicações.

• Controle de acesso -- Apenas funcionários que precisam do dado devem ter acesso.

• Logs de acesso -- Registre quem acessou dados de CPF, quando e para qual finalidade.

• Anonimização quando possível -- Se a finalidade pode ser atingida sem o CPF completo, use dados anonimizados.

Exemplo prático: consulta em conformidade

Uma consulta de CPF via API da CPFHub.io já incorpora várias práticas de conformidade:

curl -X GET https://api.cpfhub.io/cpf/12345678900 \
    -H "x-api-key: SUA_CHAVE_DE_API" \
    -H "Accept: application/json"

{
    "success": true,
    "data": {
    "cpf": "12345678900",
    "name": "Ana Paula Ferreira",
    "nameUpper": "ANA PAULA FERREIRA",
    "gender": "F",
    "birthDate": "05/09/1992",
    "day": 5,
    "month": 9,
    "year": 1992
    }
}

• Comunicação criptografada -- HTTPS com TLS.

• Autenticação -- Chave de API individual por empresa.

• Dados mínimos -- Retorna apenas os campos necessários para identificação.

• Logs auditáveis -- Todas as consultas ficam registradas no dashboard.

Como se preparar para fiscalizações da ANPD

Mantenha um registro de operações de tratamento (ROPA)

Documente todas as operações que envolvem dados de CPF: coleta, consulta, armazenamento, compartilhamento e exclusão. Esse registro é o primeiro documento que a ANPD solicita em uma fiscalização.

Nomeie um Encarregado de Dados (DPO)

A LGPD exige que a empresa nomeie um encarregado de dados responsável por receber comunicações da ANPD e dos titulares. Mesmo empresas menores devem ter alguém designado para essa função.

Tenha um plano de resposta a incidentes

Em caso de vazamento de dados de CPF, a empresa tem 2 dias úteis para comunicar a ANPD. Um plano de resposta previamente definido garante que esse prazo seja cumprido.

Realize avaliações de impacto

Para operações de alto risco (como análise de crédito com dados de CPF), a LGPD recomenda a realização de Relatório de Impacto à Proteção de Dados Pessoais (RIPD), que documenta os riscos e as medidas mitigadoras.

Perguntas frequentes

Quais foram os primeiros casos de multa da ANPD por uso indevido de CPF?

A ANPD aplicou as primeiras multas administrativas em 2023, com destaque para casos envolvendo: compartilhamento de dados sem consentimento, falta de resposta a requisições de titulares e ausência de política de privacidade adequada. As multas variaram de advertência formal a valores na casa de dezenas de milhares de reais nas primeiras sanções.

Uma startup com poucos usuários pode ser multada pela ANPD por tratar CPF inadequadamente?

Sim. A LGPD se aplica a qualquer empresa que trate dados pessoais no Brasil, independentemente do porte. A ANPD tem histórico de iniciar investigações a partir de denúncias de titulares — e startups sem processos de compliance estabelecidos são vulneráveis a esse tipo de reclamação.

O que a ANPD considera para calcular o valor de uma multa por uso indevido de CPF?

Os fatores incluem: gravidade e natureza da infração, boa-fé do controlador, vantagem obtida, quantidade de dados afetados, dano causado aos titulares, capacidade econômica da empresa, reincidência e grau de cooperação. Empresas que notificam proativamente e cooperam tendem a receber sanções menores.

Como uma empresa pode demonstrar à ANPD que usa CPF adequadamente?

Documentação é a chave: política de privacidade atualizada com as finalidades de uso do CPF, registro das atividades de tratamento (artigo 37 da LGPD), evidências de base legal para cada tratamento, logs de consentimento quando aplicável e registros de resposta a requisições de titulares. Esses documentos são os primeiros solicitados em uma fiscalização.

Conclusão

As multas da LGPD por uso indevido de dados de CPF não são mais uma possibilidade teórica -- são uma realidade. A ANPD está ativa e os precedentes já estabelecidos demonstram que empresas de todos os portes estão sujeitas a sanções.

A prevenção é sempre mais barata que a penalidade. Defina bases legais claras, informe os titulares, implemente medidas de segurança e use fornecedores em conformidade. A CPFHub.io é um desses fornecedores: opera com criptografia em trânsito, autenticação por chave individual e política de retenção documentada. Acesse cpfhub.io para criar sua conta gratuitamente.