Como Criar uma Política de Privacidade Alinhada à LGPD para Uso de APIs de CPF

A política de privacidade de uma empresa que usa APIs de CPF deve especificar: a finalidade do tratamento (verificação de identidade, prevenção de fraudes), a base legal utilizada (interesse legítimo ou execução de contrato), quem processa os dados (a empresa + o fornecedor da API como operador), o prazo de retenção e os direitos do titular — conforme exige a LGPD.

Introdução

Toda empresa que utiliza APIs de CPF para validação ou consulta de dados pessoais precisa de uma política de privacidade que reflita esse tratamento de forma transparente. A LGPD exige que os titulares sejam informados sobre quais dados são coletados, como são utilizados, por quanto tempo são armazenados e com quem são compartilhados. Uma política genérica copiada da internet não atende a essas exigências.

Elementos obrigatórios da política de privacidade

A LGPD define no artigo 9o que o titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados. A política deve conter:

Seções essenciais para APIs de CPF

Ao utilizar APIs de consulta de CPF, sua política deve endereçar especificamente o tratamento realizado por meio dessas integrações:

• Descrição do tratamento via API -- informe que dados de CPF são validados através de consulta a serviços externos para confirmar a identidade do titular
• Dados obtidos via API -- liste explicitamente os campos recebidos da API (CPF, nome, data de nascimento, gênero) e quais deles são efetivamente armazenados
• Base legal aplicável -- identifique a base legal específica para essa consulta, que geralmente é a execução de contrato (Art. 7o, V) ou o legítimo interesse (Art. 7o, IX)
• Compartilhamento com terceiros -- declare que dados são compartilhados com o provedor da API para fins de validação
• Responsabilidade compartilhada -- esclareça os papéis de controlador e operador na cadeia de tratamento

Modelo de cláusula para consulta de CPF via API

Abaixo, um exemplo de cláusula que pode ser adaptada à sua política:

4. VALIDAÇÃO DE IDENTIDADE POR CPF

4.1. Para fins de validação cadastral, consultamos seu CPF junto a
serviços especializados de consulta (API de validação de CPF).

4.2. Nessa consulta, os seguintes dados podem ser obtidos:
    - Número do CPF;
    - Nome completo vinculado ao CPF;
    - Data de nascimento;
    - Gênero.

4.3. Esses dados são utilizados exclusivamente para:
    a) Confirmar que o CPF informado é válido e ativo;
    b) Verificar a correspondência entre o nome informado e o
    registrado junto ao CPF;
    c) Prevenir fraudes de identidade.

4.4. Base legal: execução de contrato ou de procedimentos
preliminares (Art. 7o, V, LGPD) e prevenção à fraude
(Art. 11, II, "g", LGPD).

4.5. Período de retenção: os dados obtidos via consulta de CPF são
armazenados pelo período necessário à manutenção do seu cadastro
e por até 5 (cinco) anos após o encerramento da relação
contratual, conforme obrigações legais aplicáveis.

4.6. O serviço de consulta de CPF utilizado é operado pela CPFHub
(cpfhub.io), que atua como operador de dados conforme definido
pela LGPD.

Como documentar a base legal

Cada tratamento de dados de CPF precisa de uma base legal específica. Documente internamente a justificativa:

# Registro interno de bases legais por tratamento
BASES_LEGAIS_CPF = {
    "validacao_cadastro": {
    "base_legal": "Art. 7o, V - Execução de contrato",
    "descricao": "Validação do CPF durante cadastro do cliente",
    "dados_tratados": ["cpf", "name", "birthDate"],
    "retencao_dias": 1825, # 5 anos
    "responsavel": "Equipe de Cadastro"
    },
    "prevencao_fraude": {
    "base_legal": "Art. 7o, IX - Legítimo interesse",
    "descricao": "Consulta de CPF para prevenção à fraude",
    "dados_tratados": ["cpf", "name"],
    "retencao_dias": 365, # 1 ano
    "responsavel": "Equipe Antifraude"
    },
    "obrigacao_regulatoria": {
    "base_legal": "Art. 7o, II - Obrigação legal",
    "descricao": "Armazenamento de CPF por exigência do BACEN",
    "dados_tratados": ["cpf", "name", "birthDate", "gender"],
    "retencao_dias": 3650, # 10 anos
    "responsavel": "Equipe de Compliance"
    }
}

def obter_base_legal(finalidade: str) -> dict:
    """Retorna a base legal documentada para uma finalidade."""
    return BASES_LEGAIS_CPF.get(finalidade, {
    "base_legal": "Não definida",
    "descricao": "ALERTA: Tratamento sem base legal documentada"
    })

Manutenção e atualização da política

Uma política de privacidade não é um documento estático. Ela deve ser revisada e atualizada:

• A cada nova integração -- quando uma nova API de dados pessoais for integrada, a política deve ser atualizada para refletir o novo tratamento
• A cada mudança regulatória -- novas orientações da ANPD ou alterações na LGPD exigem revisão da política
• Semestralmente -- revisão periódica para garantir que a política reflete a prática atual da empresa
• Após incidentes -- um vazamento ou reclamação de titular pode revelar lacunas que precisam ser endereçadas
• Versionamento -- mantenha um histórico de versões com datas e resumo das alterações para fins de auditoria

Informe os titulares sobre alterações significativas e disponibilize a política em local de fácil acesso no site da empresa.

Perguntas frequentes

O que a LGPD exige que conste na política de privacidade sobre uso de CPF?

A política deve informar: que o CPF é coletado e verificado, a finalidade específica do tratamento, a base legal, se os dados são compartilhados com terceiros (como o fornecedor da API), o prazo de retenção, os direitos do titular e o canal para exercê-los. Linguagem clara e acessível é obrigatória — não use jargão jurídico sem explicação.

O fornecedor da API de CPF deve ser mencionado na política de privacidade?

Não é obrigatório nomear o fornecedor, mas é boa prática informar que "os dados são verificados em bases cadastrais de terceiros conforme previsto na LGPD". Se o fornecedor for mencionado, confirme que existe DPA (acordo de processamento de dados) assinado entre as partes.

Com que frequência a política de privacidade deve ser atualizada?

Sempre que houver mudança relevante no tratamento de dados: novo fornecedor de API, nova finalidade para os CPFs coletados, mudança no prazo de retenção ou novo fluxo de compartilhamento. Atualizações devem ser comunicadas aos titulares quando impactam direitos que eles exerceram.

Uma política de privacidade genérica copiada da internet é suficiente para a LGPD?

Não. A ANPD e tribunais têm considerado políticas genéricas como evidência de falta de comprometimento com a proteção de dados. A política deve refletir o tratamento real de dados da empresa, incluindo especificidades como o uso de APIs de CPF. Copiar sem adaptar é pior do que não ter política.

Conclusão

Uma política de privacidade alinhada à LGPD para uso de APIs de CPF não é apenas um documento legal, mas um compromisso de transparência com seus usuários. Ela deve descrever com precisão quais dados são obtidos via API, para qual finalidade, sob qual base legal e por quanto tempo são retidos. Ao utilizar a API do cpfhub.io, você garante que os dados verificados são tratados por um provedor em conformidade com a LGPD, simplificando a documentação da cadeia de tratamento e fortalecendo sua posição em auditorias.

Cadastre-se em cpfhub.io — 50 consultas mensais gratuitas, sem cartão de crédito — e comece a construir sua política de privacidade com base em dados reais.