# Como documentar o fluxo de dados de CPF para atender auditorias da ANPD

> Aprenda a documentar o fluxo de dados de CPF na sua empresa para atender auditorias da ANPD e garantir conformidade com a LGPD.

**Publicado:** 14/09/2024
**Autor:** Redação CPFHub.io
**URL:** https://cpfhub.io/blog/como-documentar-o-fluxo-de-dados-de-cpf-para-atender-auditorias-da-anpd

---


Para atender auditorias da ANPD, documente o fluxo de dados de CPF com um Registro de Operações de Tratamento (ROPA) que identifique finalidade, base legal, sistemas envolvidos, compartilhamento com operadores e período de retenção — incluindo chamadas a APIs de terceiros como validadores de CPF. Logs de consulta com CPF mascarado, timestamps e finalidade declarada são as principais evidências que demonstram conformidade durante uma fiscalização.

## Introdução

A **Autoridade Nacional de Proteção de Dados (ANPD)** tem intensificado suas ações de fiscalização e pode solicitar a qualquer empresa que demonstre como coleta, processa, armazena e compartilha dados pessoais — incluindo o CPF. Ter uma documentação clara e completa do fluxo de dados de CPF é uma obrigação legal sob a LGPD e uma proteção concreta contra sanções administrativas.

---

## O que a ANPD pode solicitar

### Registro de operações de tratamento (ROPA)

A LGPD (artigo 37) exige que controladores e operadores mantenham registro das operações de tratamento de dados pessoais. Para o CPF, isso inclui:

* **Finalidade do tratamento** -- Por que o CPF é coletado e utilizado.

* **Base legal** -- Qual fundamento jurídico autoriza o tratamento (consentimento, obrigação legal, execução de contrato, etc.).

* **Categorias de dados** -- Quais dados são tratados junto com o CPF.

* **Período de retenção** -- Por quanto tempo o CPF é armazenado.

* **Compartilhamento** -- Com quem o CPF é compartilhado (inclusive APIs de terceiros).

### Relatório de Impacto à Proteção de Dados (RIPD)

A ANPD pode exigir a elaboração de um RIPD quando o tratamento de dados apresentar riscos elevados. O relatório deve conter:

* Descrição dos processos de tratamento.

* Medidas de segurança adotadas.

* Análise de riscos e impactos potenciais.

* Medidas de mitigação.

### Evidências de conformidade

* Políticas de privacidade publicadas.

* Registros de consentimento (quando aplicável).

* Logs de tratamento de dados.

* Contratos com operadores e processadores de dados.

---

## Mapeando o fluxo de dados do CPF

### Etapa 1: Identificar pontos de coleta

Documente todos os pontos onde o CPF é coletado:

* **Formulários web** -- Cadastro, checkout, contratação de serviços.

* **Aplicativos móveis** -- Telas de onboarding e perfil.

* **Atendimento telefônico** -- Coleta verbal por operadores.

* **Integrações com parceiros** -- Recebimento de CPF via API ou arquivo.

### Etapa 2: Mapear o processamento

Para cada ponto de coleta, documente:

* **O que acontece com o CPF** -- Validação, armazenamento, cruzamento com outros dados.

* **Quais sistemas processam o dado** -- Backend, banco de dados, APIs externas.

* **Quem tem acesso** -- Equipes e sistemas que podem visualizar o CPF.

### Etapa 3: Documentar o compartilhamento

O CPF pode ser compartilhado com:

* **APIs de validação** -- Como a [**CPFHub.io**](https://www.cpfhub.io/), que processa o CPF como operador de dados para fins de verificação de identidade e está sujeita às obrigações de operador previstas na LGPD.

* **Processadores de pagamento** -- Para emissão de nota fiscal e processamento de cobranças.

* **Órgãos reguladores** -- COAF, Receita Federal, Banco Central.

* **Parceiros comerciais** -- Conforme contratos e bases legais específicas.

### Etapa 4: Definir retenção e descarte

* Por quanto tempo cada sistema armazena o CPF.

* Qual o processo de descarte quando o período de retenção expira.

* Como garantir que cópias em backups também sejam descartadas.

---

## Estrutura do documento de fluxo de dados

### Modelo de registro por processo

| Campo | Descrição |
| --- | --- |
| Processo | Nome do processo (ex: "Validação de CPF no cadastro") |
| Finalidade | Verificação de identidade do cliente |
| Base legal | Execução de contrato (Art. 7, V da LGPD) |
| Dados tratados | CPF, nome, data de nascimento |
| Origem do dado | Formulário de cadastro (informado pelo titular) |
| Sistema de processamento | Backend da aplicação + API CPFHub.io |
| Compartilhamento | CPFHub.io (operador de dados) |
| Retenção | 5 anos após encerramento da relação |
| Medidas de segurança | HTTPS, API key, logs criptografados |

### Exemplo de diagrama de fluxo

```
[Usuário] → [Formulário Web] → [Backend da Aplicação]
 |
 ├→ [API CPFHub.io] → Validação
 | ↓
 | [Resposta: nome, gênero, nascimento]
 |
 ├→ [Banco de Dados] → Armazenamento
 |
 └→ [Sistema de Logs] → Auditoria
```

---

## Registrando consultas à API de CPF

Cada consulta à API deve ser registrada com informações suficientes para auditoria, mas sem armazenar dados desnecessários.

### Exemplo de log estruturado

```javascript
const registrarConsulta = async (cpf) => {
 const controller = new AbortController();
 const timeoutId = setTimeout(() => controller.abort(), 10000);

 const inicio = Date.now();

 try {
 const response = await fetch(`https://api.cpfhub.io/cpf/${cpf}`, {
 method: "GET",
 headers: {
 "x-api-key": "SUA_CHAVE_DE_API",
 "Accept": "application/json"
 },
 signal: controller.signal
 });

 clearTimeout(timeoutId);
 const data = await response.json();
 const duracao = Date.now() - inicio;

 // Registro de auditoria (CPF mascarado para proteção)
 const logAuditoria = {
 timestamp: new Date().toISOString(),
 operacao: "validacao_cpf",
 cpf_mascarado: cpf.substring(0, 3) + ".***.***-" + cpf.substring(9),
 resultado: data.success ? "sucesso" : "falha",
 tempo_resposta_ms: duracao,
 base_legal: "execucao_contrato",
 finalidade: "verificacao_identidade_cadastro",
 operador: "cpfhub.io"
 };

 await salvarLogAuditoria(logAuditoria);

 return data;
 } catch (error) {
 clearTimeout(timeoutId);
 throw error;
 }
};
```

### Boas práticas para logs

* **Mascare o CPF** -- Armazene apenas os 3 primeiros e 2 últimos dígitos nos logs.

* **Registre a finalidade** -- Documente por que a consulta foi realizada.

* **Inclua a base legal** -- Qual fundamento jurídico autorizou o tratamento.

* **Registre o tempo de resposta** -- Demonstra a eficiência do processo.

* **Não armazene dados desnecessários** -- O nome retornado pela API deve ser usado para validação, não necessariamente armazenado nos logs.

---

## Contrato com operadores de dados

Quando a empresa utiliza uma API de terceiros para validar CPFs, ela está compartilhando dados com um operador. A LGPD exige que:

* Exista um contrato formal definindo as obrigações do operador.

* O operador trate os dados apenas conforme as instruções do controlador.

* Medidas de segurança estejam definidas contratualmente.

* A finalidade do tratamento esteja claramente especificada.

A [**CPFHub.io**](https://www.cpfhub.io/) disponibiliza termos de serviço e DPA (Data Processing Agreement) que formalizam a relação de operador de dados, permitindo que sua empresa documente o compartilhamento de CPF de forma compliant com o artigo 37 da LGPD e as orientações da [ANPD](https://www.gov.br/anpd).

---

## Preparação para auditoria da ANPD

### Checklist de documentação

* Registro de operações de tratamento (ROPA) atualizado.

* Mapeamento de todos os fluxos de dados de CPF.

* Políticas de privacidade publicadas e atualizadas.

* Contratos com operadores de dados (incluindo APIs).

* Logs de consultas com timestamps e resultados.

* Registros de consentimento (quando aplicável).

* Relatório de Impacto (RIPD) elaborado para processos de alto risco.

* Plano de resposta a incidentes documentado.

* Evidência de treinamento de equipe sobre proteção de dados.

### Penalidades por não conformidade

* **Advertência** -- Com prazo para adoção de medidas corretivas.

* **Multa simples** -- Até 2% do faturamento, limitada a R$ 50 milhões por infração.

* **Multa diária** -- Para garantir o cumprimento de obrigação.

* **Publicização da infração** -- Dano reputacional.

* **Bloqueio ou eliminação dos dados** -- Interrupção do tratamento.

---

## Perguntas frequentes

### O que é o ROPA e por que ele é obrigatório para quem trata CPF?
O ROPA (Registro de Operações de Tratamento de Atividades) é o documento exigido pelo artigo 37 da LGPD que lista todas as operações de tratamento de dados pessoais. Para quem usa CPF em cadastros, validações ou cobranças, o ROPA deve mapear finalidade, base legal, sistemas envolvidos e compartilhamentos — incluindo APIs de validação. A [ANPD](https://www.gov.br/anpd) pode solicitar esse registro a qualquer momento durante uma fiscalização.

### Como documentar o compartilhamento de CPF com uma API de validação?
Inclua no ROPA uma linha específica para o processo de validação de CPF, identificando a API como operador de dados, a finalidade (verificação de identidade), a base legal (execução de contrato ou legítimo interesse) e as medidas de segurança (HTTPS, autenticação por API key). Mantenha o contrato ou DPA com o provedor da API como evidência do vínculo operador-controlador.

### Por quanto tempo devo armazenar os logs de consulta de CPF?
A LGPD não define prazo único — o período deve ser proporcional à finalidade. Para processos de onboarding e verificação de identidade, 5 anos é um prazo usual alinhado ao Código Civil e às exigências do COAF para setores regulados. O importante é definir e documentar o prazo no ROPA e garantir que o descarte aconteça conforme previsto.

### O mascaramento do CPF nos logs é suficiente para cumprir o princípio da minimização da LGPD?
O mascaramento (ex.: `123.***.***-01`) elimina a possibilidade de reidentificação direta a partir dos logs, o que atende ao princípio da necessidade. Para fins de auditoria, o CPF mascarado é suficiente para rastrear o processo sem expor o dado completo. O CPF íntegro deve estar apenas nos sistemas que efetivamente precisam dele para operar.

### Leia também

- [LGPD: CPF é dado pessoal sensível ou não? Entenda a classificação correta](https://cpfhub.io/blog/lgpd-cpf-e-dado-pessoal-sensivel-ou-nao-entenda-a-classificacao-correta)
- [Vazamento de CPF: responsabilidades da empresa e como prevenir](https://cpfhub.io/blog/vazamento-de-cpf-responsabilidades-da-empresa-e-como-prevenir)
- [KYC no Brasil: quais setores são obrigados a validar CPF por lei](https://cpfhub.io/blog/kyc-no-brasil-quais-setores-sao-obrigados-a-validar-cpf-por-lei)
- [Como atender às exigências do COAF para PLD/FT usando validação de CPF](https://cpfhub.io/blog/como-atender-as-exigencias-do-coaf-para-pld-ft-usando-validacao-de-cpf)

---

## Conclusão

Documentar o fluxo de dados de CPF é uma obrigação legal e uma proteção estratégica para qualquer empresa que trata esse dado. A ANPD pode solicitar evidências a qualquer momento, e estar preparado demonstra maturidade organizacional e respeito à privacidade dos titulares. A [**CPFHub.io**](https://www.cpfhub.io/) processa cada consulta via HTTPS com autenticação por API key e disponibiliza DPA para formalizar a relação de operador, facilitando o preenchimento do ROPA e a preparação para auditorias.

Cadastre-se em [cpfhub.io](https://www.cpfhub.io/) — 50 consultas mensais gratuitas, sem cartão de crédito — e implemente um fluxo de validação de CPF já documentado e auditável para atender às exigências da ANPD.