A LGPD (Lei 13.709/2018) obriga qualquer empresa que consulte CPFs via API a ter base legal documentada, política de privacidade atualizada e medidas técnicas de segurança. O descumprimento pode gerar multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração. Escolher um provedor de API em conformidade com a LGPD é parte dessa responsabilidade — a empresa controladora responde solidariamente pelos atos do operador.
Introdução
A LGPD (Lei Geral de Proteção de Dados — Lei 13.709/2018) transformou a forma como empresas brasileiras lidam com dados pessoais. Para empresas que consultam CPFs via API, entender a LGPD não é opcional — é uma obrigação legal com consequências sérias em caso de descumprimento.
O que é a LGPD
A LGPD é a lei brasileira que regulamenta o tratamento de dados pessoais por pessoas físicas e jurídicas, públicas e privadas. Inspirada no GDPR europeu, ela entrou em vigor em setembro de 2020 e suas sanções passaram a ser aplicadas em agosto de 2021.
Conceitos fundamentais
-
Dado pessoal — Qualquer informação que identifique ou possa identificar uma pessoa. O CPF é um dado pessoal.
-
Tratamento — Qualquer operação com dados pessoais: coleta, armazenamento, consulta, transmissão, eliminação.
-
Titular — A pessoa a quem o dado se refere.
-
Controlador — Quem decide sobre o tratamento dos dados (sua empresa).
-
Operador — Quem realiza o tratamento a mando do controlador (o provedor da API).
-
ANPD — Autoridade Nacional de Proteção de Dados, órgão fiscalizador.
Como a LGPD impacta o uso de APIs de CPF
1. Toda consulta é um tratamento de dados
Quando sua aplicação envia um CPF para uma API e recebe dados cadastrais de volta, isso constitui tratamento de dados pessoais nos termos da LGPD. Tanto a consulta quanto o armazenamento dos resultados precisam de base legal.
2. Você precisa de base legal
A LGPD exige que todo tratamento tenha uma das 10 bases legais previstas no artigo 7o. As mais comuns para consulta de CPF são:
| Base legal | Quando se aplica |
|---|---|
| Consentimento | O titular autorizou a consulta |
| Execução de contrato | Necessário para formalizar ou executar contrato |
| Obrigação legal | Exigido por lei ou regulamentação |
| Legítimo interesse | Necessário e proporcional para fins legítimos |
| Proteção ao crédito | Análise de risco e concessão de crédito |
3. Princípios que devem ser seguidos
-
Finalidade — A consulta deve ter propósito legítimo e específico.
-
Necessidade — Consulte apenas os dados que realmente precisa.
-
Transparência — Informe o titular que seus dados serão consultados.
-
Segurança — Proteja os dados contra acessos não autorizados.
-
Não discriminação — Não use os dados para fins discriminatórios.
Obrigações práticas para empresas
Documentar a base legal
Para cada caso de uso que envolva consulta de CPF, documente qual base legal se aplica e por quê.
Atualizar a política de privacidade
Inclua na política de privacidade que dados de CPF podem ser consultados via API, informando a finalidade e a base legal.
Escolher um provedor em conformidade
O provedor da API (operador) também precisa estar em conformidade com a LGPD. Se ele não estiver, sua empresa pode ser responsabilizada solidariamente. A CPFHub.io opera com infraestrutura segura, HTTPS obrigatório e política de privacidade transparente, facilitando a demonstração de conformidade para auditores e para a ANPD.
Implementar medidas de segurança
# Consulta segura via HTTPS com autenticação por API key
curl -X GET https://api.cpfhub.io/cpf/12345678900 \
-H "x-api-key: SUA_CHAVE_DE_API" \
-H "Accept: application/json"
-
Use HTTPS em todas as comunicações.
-
Armazene chaves de API em variáveis de ambiente.
-
Mascare CPFs em logs e interfaces.
-
Defina políticas de retenção de dados.
Atender direitos dos titulares
A LGPD garante ao titular direitos como acesso, correção, exclusão e portabilidade de seus dados. Sua empresa precisa ter processos para atender essas solicitações.
Sanções por descumprimento
| Sanção | Descrição |
|---|---|
| Advertência | Com prazo para adequação |
| Multa simples | Até 2% do faturamento, limitada a R$ 50 milhões por infração |
| Multa diária | Para forçar adequação |
| Publicização | Divulgação pública da infração |
| Bloqueio de dados | Proibição de uso dos dados até regularização |
| Eliminação de dados | Exclusão dos dados tratados irregularmente |
Checklist de conformidade LGPD para APIs de CPF
-
Base legal identificada e documentada para cada caso de uso.
-
Política de privacidade atualizada com menção à consulta de CPF.
-
Provedor de API em conformidade com a LGPD.
-
Comunicação via HTTPS e chaves protegidas.
-
Data minimization implementado.
-
Registros de auditoria mantidos.
-
Processo para atender direitos dos titulares definido.
-
Política de retenção e exclusão de dados estabelecida.
Perguntas frequentes
O que caracteriza tratamento de dados pessoais ao usar uma API de CPF?
Qualquer operação com o CPF — enviar o número para a API, receber dados cadastrais, armazenar o resultado — configura tratamento de dados pessoais segundo a LGPD. Isso significa que cada etapa precisa de base legal documentada, finalidade definida e medidas de segurança proporcionais ao risco.
Qual base legal é mais adequada para consulta de CPF em onboarding digital?
Depende do contexto. Para fintechs e marketplaces com contrato formal, a base mais comum é "execução de contrato" (art. 7º, V). Para prevenção a fraudes sem vínculo contratual prévio, "legítimo interesse" (art. 7º, IX) pode ser aplicável, desde que documentado em relatório de impacto. A ANPD orienta que a base deve ser identificada antes do início do tratamento.
A empresa é responsável pelos atos do provedor de API de CPF?
Sim. Segundo a LGPD, o controlador (sua empresa) responde solidariamente pelos atos do operador (provedor da API) quando o operador descumpre a lei ou as instruções do controlador. Por isso, verificar se o provedor possui política de privacidade, usa HTTPS e está em conformidade é parte da due diligence obrigatória.
Como responder a uma solicitação de titular de dados relacionada a consultas de CPF?
O titular pode solicitar acesso (quais dados foram consultados), correção ou exclusão. Sua empresa precisa ter registro de quais CPFs foram consultados, com qual finalidade e base legal, e em qual data. Esse log de auditoria é a base para responder ao titular dentro do prazo legal de 15 dias úteis.
Conclusão
A LGPD não proíbe a consulta de CPF via API — ela exige que isso seja feito com base legal, finalidade clara e medidas de segurança adequadas. Documentar cada decisão de tratamento, manter logs de auditoria e escolher um provedor em conformidade são os três pilares para reduzir o risco de sanções. A CPFHub.io oferece infraestrutura segura e está em conformidade com a LGPD, permitindo que sua empresa demonstre conformidade sem retrabalho.
Cadastre-se em cpfhub.io — 50 consultas mensais gratuitas, sem cartão de crédito.
CPFHub.io
Pronto para integrar a API?
50 consultas gratuitas para testar agora. Sem cartão de crédito. Acesso imediato à documentação.
Sobre a redação
Redação CPFHub.io
Time editorial especializado em APIs de CPF, identidade digital e compliance no mercado brasileiro. Produzimos guias técnicos, análises regulatórias e tutoriais sobre LGPD e KYC para desenvolvedores e líderes de produto.
