# Como a regulamentação de IA no Brasil (PL 2338) impacta o uso de CPF em algoritmos

> Entenda como o PL 2338 de regulamentação de IA no Brasil impacta o uso de CPF em algoritmos de decisão automatizada e o que empresas precisam considerar.

**Publicado:** 15/05/2025
**Autor:** Redação CPFHub.io
**URL:** https://cpfhub.io/blog/como-a-regulamentacao-de-ia-no-brasil-pl-2338-impacta-o-uso-de-cpf-em-algoritmos

---


O [PL 2.338/2023](https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2338878) classifica como alto risco sistemas de IA que usam dados pessoais para decisões automatizadas que afetam direitos fundamentais. Para empresas que alimentam algoritmos de crédito, onboarding ou antifraude com dados retornados por consultas de CPF, isso significa novas obrigações de documentação, explicabilidade e revisão humana.

## Introdução

O Brasil avança na regulamentação da inteligência artificial com o PL 2338/2023, que estabelece princípios, direitos e deveres para o desenvolvimento e uso de sistemas de IA. Para empresas que utilizam CPF como dado de entrada em algoritmos de decisão automatizada — como análise de crédito, onboarding digital e prevenção de fraudes — essa legislação traz implicações diretas.

---

## O que propõe o PL 2338

### Classificação de risco

O projeto classifica sistemas de IA em níveis de risco. Sistemas que utilizam dados pessoais para decisões automatizadas que afetam direitos fundamentais — como concessão de crédito, acesso a serviços ou contratação — são considerados de alto risco.

### Transparência e explicabilidade

Empresas que utilizam IA de alto risco devem ser capazes de explicar como o algoritmo tomou uma decisão. Se o CPF é utilizado como dado de entrada para buscar informações que alimentam um modelo de IA, a empresa precisa documentar esse fluxo.

### Direito a revisão humana

Pessoas afetadas por decisões automatizadas têm o direito de solicitar revisão humana. Isso significa que, se um algoritmo nega crédito com base em dados obtidos via consulta de CPF, o solicitante pode pedir que uma pessoa analise o caso.

### Avaliação de impacto algorítmico

Sistemas de IA de alto risco devem passar por avaliações de impacto que documentem riscos, medidas de mitigação e mecanismos de supervisão humana.

---

## Como o CPF é usado em algoritmos de IA

### Onboarding e KYC automatizado

Algoritmos de IA analisam os dados retornados pela consulta de CPF — nome, gênero, data de nascimento — para validar automaticamente a identidade do usuário durante o onboarding.

### Scoring de crédito

Dados do CPF podem ser utilizados como uma das variáveis em modelos de scoring. A data de nascimento, por exemplo, pode indicar a faixa etária do solicitante.

### Detecção de fraudes

Modelos de IA identificam padrões anômalos comparando os dados declarados pelo usuário com os retornados pela API. Divergências de nome ou gênero podem sinalizar tentativas de fraude.

### Segmentação de clientes

Empresas utilizam dados demográficos associados ao CPF para alimentar algoritmos de segmentação e personalização de ofertas.

---

## Implicações práticas para empresas

### Documentação do fluxo de dados

Empresas que utilizam dados de CPF em sistemas de IA devem documentar cada etapa: coleta, consulta via API, armazenamento, processamento pelo algoritmo e decisão final.

### Minimização de dados

A regulamentação reforça o princípio da minimização já presente na LGPD. Utilize apenas os campos estritamente necessários da resposta da API. Se o algoritmo precisa apenas do nome para validação, não armazene data de nascimento ou gênero.

### Registro de auditoria

Mantenha logs detalhados de cada consulta de CPF que alimenta um sistema de IA, incluindo o propósito da consulta e a decisão resultante.

### Mecanismo de revisão

Implemente um canal para que usuários solicitem revisão humana de decisões automatizadas que envolvam seus dados.

---

## Exemplo de integração com documentação de auditoria

Veja como documentar uma consulta de CPF que alimenta um sistema de IA usando Python:

```python
import requests
import os
import json
from datetime import datetime

def consultar_cpf_auditado(cpf, finalidade):
 url = f"https://api.cpfhub.io/cpf/{cpf}"
 headers = {
 "x-api-key": os.environ["CPFHUB_API_KEY"],
 "Accept": "application/json"
 }

 response = requests.get(url, headers=headers, timeout=10)
 data = response.json()

 # Registro de auditoria
 log_auditoria = {
 "timestamp": datetime.utcnow().isoformat(),
 "cpf_hash": hash(cpf),
 "finalidade": finalidade,
 "status_http": response.status_code,
 "sucesso": data.get("success", False),
 "campos_utilizados": ["name", "birthDate"]
 }

 # Salvar log (em producao, usar banco de dados)
 print(json.dumps(log_auditoria, indent=2))

 return data

# Uso com finalidade documentada
resultado = consultar_cpf_auditado(
 "12345678900",
 "validacao_identidade_onboarding_ia"
)
```

---

## Boas práticas para conformidade

* **Classifique o nível de risco do seu sistema** -- Determine se o uso de CPF no seu algoritmo configura IA de alto risco segundo o PL 2338.

* **Implemente explicabilidade** -- Documente como os dados do CPF influenciam a decisão do algoritmo.

* **Garanta revisão humana** -- Disponibilize um canal para contestação de decisões automatizadas.

* **Realize avaliações de impacto** -- Conduza avaliações periódicas do impacto algorítmico, incluindo o uso de dados de CPF.

* **Use APIs confiáveis** -- A [**CPFHub.io**](https://www.cpfhub.io/) mantém conformidade com a LGPD e fornece dados cadastrais com rastreabilidade para fins de auditoria.

* **Minimize dados** -- Solicite e armazene apenas os campos estritamente necessários da resposta da API.

---

## Intersecção entre LGPD e regulamentação de IA

A LGPD já prevê direitos relacionados a decisões automatizadas (art. 20). O PL 2338 amplia e detalha essas proteções. Para empresas que utilizam CPF em algoritmos de IA, a conformidade exige atendimento simultâneo a ambas as legislações:

| Aspecto | LGPD | PL 2338 |
| --- | --- | --- |
| Consentimento | Necessário para tratamento de dados | Necessário para IA de alto risco |
| Explicabilidade | Direito a informação sobre critérios | Obrigação de explicar a lógica do algoritmo |
| Revisão humana | Direito a revisão de decisões automatizadas | Reforço e detalhamento do direito |
| Avaliação de impacto | RIPD (Relatório de Impacto) | Avaliação de impacto algorítmico |

---

## Perguntas frequentes

### O PL 2338 está em vigor no Brasil?
O PL 2338/2023 estava em tramitação no Senado até meados de 2025. Mesmo sem aprovação definitiva, ele sinaliza o caminho regulatório e muitas empresas já adotam suas diretrizes voluntariamente. O uso de CPF em algoritmos de IA já está sujeito à LGPD, que tem dispositivos sobre decisões automatizadas no artigo 20.

### O que é uma IA de alto risco segundo o PL 2338?
Sistemas de IA que tomam decisões que afetam direitos fundamentais — como aprovação de crédito, contratação, acesso a serviços essenciais ou análise de risco de fraude com base em dados pessoais. Algoritmos antifraude que usam CPF para bloquear transações ou cadastros podem se enquadrar nessa categoria.

### Como o artigo 20 da LGPD já protege titulares de CPF contra decisões algorítmicas?
O artigo 20 da [Lei 13.709/2018](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm) garante ao titular o direito de solicitar revisão de decisões tomadas exclusivamente por meios automatizados que afetem seus interesses. Isso inclui bloqueios de compra ou cadastro baseados em validação de CPF — o sistema deve ser capaz de oferecer revisão humana.

### Como documentar o uso de CPF em algoritmos de IA para fins regulatórios?
Documente: a finalidade do processamento, a base legal (interesse legítimo ou execução de contrato), os dados usados como input, o tipo de decisão tomada e os mecanismos de contestação disponíveis. Essa documentação é parte do Relatório de Impacto à Proteção de Dados (RIPD) exigido pela LGPD.

### Leia também

- [KYC no Brasil: quais setores são obrigados a validar CPF por lei](https://cpfhub.io/blog/kyc-no-brasil-quais-setores-sao-obrigados-a-validar-cpf-por-lei)
- [LGPD: CPF é dado pessoal sensível ou não? Entenda a classificação correta](https://cpfhub.io/blog/lgpd-cpf-e-dado-pessoal-sensivel-ou-nao-entenda-a-classificacao-correta)
- [IA generativa e fraudes de identidade: por que validação de CPF é mais importante que nunca](https://cpfhub.io/blog/ia-generativa-e-fraudes-de-identidade-por-que-validacao-de-cpf-e-mais-importante-que-nunca)
- [Onboarding digital em fintechs: como validar CPF em menos de 30 segundos](https://cpfhub.io/blog/onboarding-digital-em-fintechs-como-validar-cpf-em-menos-de-30-segundos)

---

## Conclusão

A regulamentação de IA no Brasil traz novas obrigações para empresas que utilizam CPF em algoritmos de decisão automatizada. Documentação, transparência e mecanismos de revisão humana passam a ser requisitos, não diferenciais. Integrar APIs de consulta de CPF confiáveis e em conformidade com a LGPD é o primeiro passo para um fluxo compliant. A [**CPFHub.io**](https://www.cpfhub.io/) fornece dados cadastrais com latência baixa e rastreabilidade para auditoria, facilitando o atendimento às exigências do PL 2338 e da LGPD simultaneamente.

Cadastre-se em [cpfhub.io](https://www.cpfhub.io/) — 50 consultas mensais gratuitas, sem cartão de crédito.