Legal

Compliance e Governança de Dados

Versão 4.0 | Última atualização: 16 de maio de 2026

Filosofia de dados

Na CPFHub.io, segurança da informação e privacidade são tratadas como interdependentes. A plataforma foi construída sob o conceito de Privacy by Design, garantindo que cada decisão técnica respeite a integridade dos dados pessoais desde a concepção. Não comercializamos listas de contatos nem operamos como data broker.

Estrutura jurídica do tratamento

A CPFHub.io atua em dois papéis distintos conforme a LGPD (arts. 5.º, 42 e 43):

CPFHub.io como Controladora

Para os dados cadastrais, de faturamento e de uso da plataforma fornecidos diretamente pelos Clientes, a CPFHub.io é a Controladora e determina as finalidades e os meios do tratamento.

CPFHub.io como Operadora

Para os dados pessoais de terceiros processados via API, a CPFHub.io atua como Operadora, agindo estritamente por instrução do Cliente. O Cliente, nesse contexto, é o Controlador e carrega a responsabilidade primária pela legalidade de cada consulta perante os titulares (LGPD, art. 42, §1.º).

Bases legais aplicáveis às consultas via API

A base legal de cada consulta é determinada pelo Cliente conforme sua finalidade. As bases mais frequentes são:

  • Legítimo Interesse (art. 7.º, IX): prevenção a fraudes e segurança transacional, quando os interesses do controlador ou do próprio titular prevalecem sobre os riscos ao titular.
  • Prevenção à fraude e segurança (art. 11, II, “g”): autoriza o tratamento de dados sem consentimento quando indispensável para garantia da segurança do titular em processos de identificação.
  • Execução de contrato (art. 7.º, V): quando a verificação de identidade é etapa necessária à formalização de uma relação contratual com o titular.

Princípio da necessidade e minimização (art. 6.º, III)

A API retorna apenas os dados biográficos estritamente necessários para confirmar identidade, evitando exposição desnecessária de informações.

Conformidade com a Lei Felca (Lei 15.211/2025)

A Lei 15.211/2025 (“ECA Digital”) estabelece obrigações de verificação de idade para plataformas digitais que oferecem conteúdo ou serviços inadequados a menores. Quando Clientes utilizam a API da CPFHub.io para atender a essas obrigações, o Cliente permanece responsável pela conformidade com a lei, devendo:

  • implementar os mecanismos de controle exigidos pela ANPD;
  • obter o consentimento do responsável legal quando necessário (LGPD, art. 14);
  • documentar as medidas adotadas para fins de prestação de contas (accountability).

A CPFHub.io fornece a infraestrutura de verificação; a decisão de acesso ou bloqueio do usuário final é exclusivamente do Cliente.

Retenção e transparência

Logs técnicos são retidos por 12 meses para rastreabilidade de incidentes, correção de erros e auditoria de conformidade, em alinhamento com os arts. 7.º, V e IX da LGPD e o Marco Civil da Internet (Lei 12.965/2014). Após esse período, os dados são eliminados ou anonimizados de forma irreversível.

Medidas de segurança

  • Infraestrutura 100% hospedada no Brasil.
  • Criptografia em trânsito (TLS 1.3) e em repouso (AES-256).
  • Autenticação multifator (MFA) e princípio do privilégio mínimo.
  • Isolamento de bases de logs técnicos das bases de produção.
  • Revisões periódicas de acesso e conformidade.

Canal de comunicação com o DPO

Conforme o art. 41 da LGPD, a CPFHub.io mantém canal direto para questões de privacidade e proteção de dados. O Encarregado de Dados pode ser contatado pelo e-mail dpo@cpfhub.io. Responderemos no prazo legal de 15 dias.