# Como criar um registro de atividades de tratamento (RAT) para dados de CPF > Aprenda a criar um registro de atividades de tratamento (RAT) para dados de CPF conforme a LGPD. Modelo prático e exemplos de implementação. **Publicado:** 28/03/2025 **Autor:** Redação CPFHub.io **URL:** https://cpfhub.io/blog/como-criar-um-registro-de-atividades-de-tratamento-rat-para-dados-de-cpf --- O RAT (Registro de Atividades de Tratamento) é um documento obrigatório pela LGPD que descreve como cada dado pessoal é tratado — e para empresas que consultam CPF via API, ele deve incluir a finalidade da consulta, a base legal, o operador (como a CPFHub.io), o prazo de retenção e as medidas de segurança aplicadas. ## Introdução O registro de atividades de tratamento (RAT) é uma obrigação prevista no artigo 37 da LGPD. Toda empresa que trata dados pessoais — incluindo CPF — deve manter um registro documentado das operações de tratamento realizadas. Esse documento é essencial para auditorias, para atender solicitações da ANPD e para demonstrar conformidade proativa. Para empresas que utilizam APIs de consulta de CPF, como a da [CPFHub.io](https://www.cpfhub.io/), o RAT deve registrar cada integração com fornecedores externos, documentando quais dados são transmitidos e com qual finalidade. --- ## O que é o RAT e por que é obrigatório O RAT é um inventário documentado de todas as atividades de tratamento de dados pessoais realizadas pela empresa. Ele funciona como um mapa que responde: * **Quais dados pessoais são tratados** -- CPF, nome, data de nascimento, etc. * **Para qual finalidade** -- Onboarding, KYC, emissão de NF, prevenção de fraude. * **Com qual base legal** -- Consentimento, obrigação legal, execução de contrato, legítimo interesse. * **Quem tem acesso** -- Equipes internas, sistemas, fornecedores. * **Com quem os dados são compartilhados** -- APIs de validação, bureaus de crédito, parceiros. * **Por quanto tempo são retidos** -- Política de retenção por finalidade. * **Quais medidas de segurança são aplicadas** -- Criptografia, controle de acesso, logs. A [ANPD](https://www.gov.br/anpd) pode solicitar o RAT a qualquer momento, e a ausência desse documento é considerada infração. --- ## Estrutura do RAT para dados de CPF ### Modelo de registro por atividade Cada operação de tratamento deve ser documentada como uma entrada no RAT: | Campo | Descrição | | --- | --- | | ID da atividade | Identificador único (ex.: RAT-CPF-001) | | Descrição da atividade | Validação de CPF no onboarding de clientes | | Dados pessoais tratados | CPF, nome completo, data de nascimento | | Categoria de titulares | Clientes pessoa física | | Finalidade | Verificar identidade para abertura de conta | | Base legal | Execução de contrato (art. 7o, V, LGPD) | | Controlador | Nome da empresa, CNPJ | | Operador(es) | CPFHub.io (API de validação) | | Compartilhamento | CPF enviado à API CPFHub.io para consulta | | Transferência internacional | Não aplicável | | Prazo de retenção | 5 anos após encerramento do contrato | | Medidas de segurança | HTTPS, criptografia em repouso, RBAC, logs | | DPO responsável | Nome e contato do encarregado | --- ## Exemplo prático: RAT para validação de CPF via API ### Atividade 1: Validação de identidade no onboarding ``` RAT-CPF-001 ----------- Atividade: Validacao de CPF no cadastro de novos clientes Dados tratados: CPF (somente numeros) Dados retornados: Nome, genero, data de nascimento Finalidade: Confirmar identidade do titular para abertura de conta Base legal: Execucao de contrato (art. 7o, V) Operador: CPFHub.io (API REST - GET /cpf/{cpf}) Compartilhamento: CPF enviado via HTTPS para api.cpfhub.io Retencao: CPF armazenado por 5 anos; dados complementares descartados apos validacao Seguranca: HTTPS/TLS 1.2+, API key em variavel de ambiente, logs com CPF mascarado, RBAC implementado Responsavel: [Nome do DPO], [e-mail] Data de criacao: 2024-01-15 Ultima revisao: 2024-11-28 ``` ### Atividade 2: Prevenção de fraude em transações ``` RAT-CPF-002 ----------- Atividade: Validacao de CPF em transacoes acima de R$ 1.000 Dados tratados: CPF, nome Dados retornados: Nome completo para match com dados informados Finalidade: Prevenir fraudes com dados falsos em transacoes financeiras Base legal: Legitimo interesse (art. 7o, IX) Operador: CPFHub.io (API REST) Compartilhamento: CPF enviado via HTTPS para api.cpfhub.io Retencao: Resultado da validacao (sim/nao) retido por 5 anos; dados pessoais descartados apos processamento Seguranca: HTTPS, criptografia AES-256 em repouso, acesso restrito Responsavel: [Nome do DPO], [e-mail] Data de criacao: 2024-03-10 Ultima revisao: 2024-11-28 ``` --- ## Implementação técnica: log de auditoria para o RAT Além do documento formal, implemente logs automáticos que alimentam o RAT: ```python import requests import json import logging from datetime import datetime logging.basicConfig( filename='rat_cpf_auditoria.log', level=logging.INFO, format='%(message)s' ) def consultar_cpf_com_auditoria(cpf: str, finalidade: str, base_legal: str, operador: str) -> dict: url = f'https://api.cpfhub.io/cpf/{cpf}' headers = { 'x-api-key': 'SUA_CHAVE_DE_API', 'Accept': 'application/json' } response = requests.get(url, headers=headers, timeout=10) resultado = response.json() # Registro de auditoria com CPF mascarado cpf_mascarado = f'{cpf[:3]}.***.**{cpf[8]}-{cpf[9:]}' registro_auditoria = { 'timestamp': datetime.now().isoformat(), 'atividade': 'consulta_cpf_api', 'cpf_mascarado': cpf_mascarado, 'finalidade': finalidade, 'base_legal': base_legal, 'operador_api': 'CPFHub.io', 'operador_interno': operador, 'sucesso': resultado.get('success', False), 'http_status': response.status_code } logging.info(json.dumps(registro_auditoria)) return resultado # Uso resultado = consultar_cpf_com_auditoria( cpf='12345678900', finalidade='onboarding_kyc', base_legal='execucao_contrato_art7_v', operador='sistema_cadastro' ) ``` O log gerado contém todas as informações necessárias para alimentar o RAT de forma automatizada. --- ## Ferramentas para manter o RAT ### Planilhas estruturadas Para empresas menores, uma planilha com as colunas do modelo acima é suficiente. Mantenha o arquivo com controle de acesso e versionamento. ### Ferramentas de governança de dados Para operações maiores, considere ferramentas dedicadas que automatizam a manutenção do RAT e integram com sistemas de auditoria. ### Integração com sistemas de log Configure os logs de auditoria da aplicação para alimentar automaticamente o RAT, reduzindo o trabalho manual e garantindo completude. --- ## Revisão e atualização do RAT O RAT não é um documento estático. Deve ser revisado: * **A cada nova atividade de tratamento** -- Se um novo processo passa a utilizar CPF, adicione ao RAT. * **A cada mudança de fornecedor** -- Se a empresa trocar de API de validação, atualize o registro do operador. * **Periodicamente** -- Revisão semestral para garantir que o RAT reflete a realidade. * **Após incidentes** -- Qualquer vazamento ou infração deve disparar uma revisão. --- ## Erros comuns na criação do RAT * **RAT genérico demais** -- Registros vagos como "tratamento de dados de clientes" não atendem à LGPD. Seja específico. * **Não incluir operadores terceiros** -- APIs de validação, processadores de pagamento e parceiros devem constar no RAT. * **RAT desatualizado** -- Um RAT que não reflete os processos atuais é tão problemático quanto não ter um. * **Não vincular bases legais** -- Cada atividade deve ter base legal explícita. * **Esquecer medidas de segurança** -- O RAT deve documentar as medidas técnicas aplicadas a cada atividade. --- ## Perguntas frequentes ### O RAT é obrigatório para todas as empresas que tratam CPF? Sim, de acordo com o art. 37 da LGPD, toda empresa que trata dados pessoais — incluindo CPF — deve manter um RAT. A [ANPD](https://www.gov.br/anpd) pode solicitá-lo a qualquer momento em processos de fiscalização ou investigação de incidentes. A ausência do documento é considerada infração à LGPD. ### Como documentar a CPFHub.io como operadora no RAT? No campo "Operador(es)" do RAT, registre: CPFHub.io — API REST de consulta de CPF, endpoint `GET https://api.cpfhub.io/cpf/{CPF}`, dados enviados: CPF do titular, dados recebidos: nome, gênero, data de nascimento. Documente também que a transmissão ocorre via HTTPS e que o CPF não é retido pela CPFHub.io além do necessário para a consulta. ### Qual base legal usar para consulta de CPF via API? Depende da finalidade. Para onboarding com abertura de conta, use execução de contrato (art. 7º, V). Para prevenção de fraude sem relação contratual prévia, use legítimo interesse (art. 7º, IX), documentando o balanceamento de interesses. Para cumprimento de obrigação regulatória (como IN RFB 2.219), use obrigação legal (art. 7º, II). ### Com que frequência o RAT deve ser revisado? O mínimo recomendado é uma revisão semestral para verificar se os processos documentados ainda correspondem à realidade. Além disso, o RAT deve ser atualizado sempre que houver mudança de fornecedor, nova finalidade de tratamento, novo sistema que processe CPF ou após qualquer incidente de segurança que envolva dados pessoais. ### Leia também - [LGPD: CPF é dado pessoal sensível ou não? Entenda a classificação correta](https://cpfhub.io/blog/lgpd-cpf-e-dado-pessoal-sensivel-ou-nao-entenda-a-classificacao-correta) - [Retenção de dados de CPF: por quanto tempo é permitido armazenar](https://cpfhub.io/blog/retencao-de-dados-de-cpf-por-quanto-tempo-e-permitido-armazenar) - [KYC no Brasil: quais setores são obrigados a validar CPF por lei](https://cpfhub.io/blog/kyc-no-brasil-quais-setores-sao-obrigados-a-validar-cpf-por-lei) - [Como implementar controle de acesso baseado em função (RBAC) para dados de CPF](https://cpfhub.io/blog/como-implementar-controle-de-acesso-baseado-em-funcao-rbac-para-dados-de-cpf) --- ## Conclusão O registro de atividades de tratamento é uma obrigação da LGPD e uma ferramenta essencial de governança de dados. Para empresas que consultam CPFs via API, o RAT deve documentar cada operação de validação, incluindo a integração com provedores externos, as bases legais aplicadas e as medidas de segurança implementadas. Cadastre-se em [cpfhub.io](https://www.cpfhub.io/) — 50 consultas mensais gratuitas, sem cartão de crédito — e use os modelos de RAT deste artigo para documentar corretamente o tratamento de CPF na sua empresa desde o primeiro acesso.