# Compartilhamento de dados de CPF entre empresas: quando a LGPD permite > Entenda quando a LGPD permite o compartilhamento de dados de CPF entre empresas e como APIs de validação garantem conformidade legal. **Publicado:** 29/10/2024 **Autor:** Redação CPFHub.io **URL:** https://cpfhub.io/blog/compartilhamento-dados-cpf-entre-empresas-lgpd-permite --- A LGPD (Lei 13.709/2018) permite o compartilhamento de dados de CPF entre empresas desde que exista uma base legal válida — como execução de contrato, obrigação regulatória, proteção ao crédito ou consentimento do titular. Em vez de compartilhar bases completas de CPFs, empresas podem usar APIs de validação para confirmar a identidade em tempo real e minimizar a exposição de dados pessoais a terceiros. ## Introdução O compartilhamento de dados pessoais entre empresas tornou-se uma prática recorrente em cadeias de valor digitais -- de fintechs que se integram com bancos parceiros a e-commerces que repassam informações a transportadoras. Quando esses dados incluem o CPF, a Lei Geral de Proteção de Dados (LGPD) impõe regras claras sobre quando, como e em que condições esse compartilhamento pode ocorrer. --- ## O que a LGPD diz sobre compartilhamento de dados pessoais A LGPD (Lei 13.709/2018) não proíbe o compartilhamento de dados entre empresas, mas exige que ele seja feito com base em uma das dez bases legais previstas no artigo 7 da lei. O CPF, como dado pessoal, está sujeito a essas regras. ### Bases legais mais relevantes para compartilhamento de CPF * **Consentimento** -- O titular autoriza explicitamente o compartilhamento para finalidades específicas. Deve ser livre, informado e inequívoco. * **Execução de contrato** -- O compartilhamento é necessário para cumprir uma obrigação contratual com o titular. Exemplo: repassar CPF do comprador à transportadora para entrega. * **Obrigação legal ou regulatória** -- Quando uma lei ou norma exige o compartilhamento. Exemplo: envio de dados ao BACEN, Receita Federal ou COAF. * **Legítimo interesse** -- O controlador tem um interesse legítimo que não se sobrepõe aos direitos do titular. Requer elaboração de relatório de impacto (LIA). * **Proteção ao crédito** -- Base legal específica que permite consultas e compartilhamento de CPF para análise de crédito, conforme previsto na Lei do Cadastro Positivo. --- ## Cenários práticos de compartilhamento permitido ### 1. Fintechs e bancos parceiros Quando uma fintech opera como correspondente bancário ou intermediária, ela precisa compartilhar dados cadastrais do cliente com o banco emissor. Nesse caso, a base legal geralmente é a execução de contrato ou obrigação regulatória (normas do BACEN). ### 2. E-commerces e operadores logísticos O e-commerce compartilha CPF e nome do comprador com a transportadora para emissão de nota fiscal e identificação na entrega. A base legal é a execução de contrato. ### 3. Empresas e bureaus de crédito A consulta a bureaus de crédito envolve compartilhamento bilateral de CPF. A base legal é a proteção ao crédito, prevista diretamente na LGPD. ### 4. Grupos econômicos e parceiros de negócio Empresas do mesmo grupo econômico podem compartilhar dados entre si, desde que haja base legal válida e o titular seja informado. O compartilhamento entre empresas para fins de marketing exige consentimento. --- ## Riscos do compartilhamento sem conformidade O compartilhamento de CPF sem base legal adequada pode resultar em: * **Sanções da ANPD** -- Multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração. * **Danos reputacionais** -- Vazamentos ou uso indevido geram perda de confiança. * **Ações judiciais** -- O titular pode pleitear indenização por danos morais e materiais. * **Bloqueio de operações** -- A ANPD pode determinar a suspensão do tratamento de dados. --- ## Como APIs de validação de CPF ajudam na conformidade Uma alternativa ao compartilhamento direto de dados é a validação via API. Em vez de compartilhar a base de CPFs com um parceiro, a empresa pode validar o CPF em tempo real e compartilhar apenas o resultado da validação. ### Validação sem armazenamento desnecessário Com a API da [**CPFHub.io**](https://www.cpfhub.io/), a empresa consulta o CPF pontualmente e recebe nome, data de nascimento e gênero — sem precisar manter ou transferir uma base de dados própria de CPFs a parceiros. Exemplo de consulta com cURL: ```bash curl -X GET https://api.cpfhub.io/cpf/12345678900 \ -H "x-api-key: SUA_CHAVE_DE_API" \ -H "Accept: application/json" \ --max-time 10 ``` Resposta: ```json { "success": true, "data": { "cpf": "12345678900", "name": "Maria Souza", "nameUpper": "MARIA SOUZA", "gender": "F", "birthDate": "22/03/1985", "day": 22, "month": 3, "year": 1985 } } ``` Com essa abordagem, a empresa valida a identidade do titular sem precisar manter ou compartilhar uma base de dados de CPFs com terceiros. --- ## Boas práticas para compartilhamento de CPF entre empresas ### 1. Documentar a base legal Para cada fluxo de compartilhamento, registre qual base legal justifica a operação. Mantenha esse registro atualizado no inventário de dados da empresa. ### 2. Formalizar contratos com operadores Quando o compartilhamento ocorre com operadores de dados (terceiros que processam dados em nome do controlador), formalize as responsabilidades em contrato, incluindo cláusulas de confidencialidade e medidas de segurança. ### 3. Implementar o princípio da minimização Compartilhe apenas os dados estritamente necessários. Se o parceiro precisa apenas confirmar que o CPF é válido, não envie nome, data de nascimento e outros dados adicionais. ### 4. Manter registros de auditoria Registre cada operação de compartilhamento com data, hora, finalidade e base legal. Esses logs são fundamentais para auditorias e para responder a solicitações da ANPD. ### 5. Usar APIs em vez de bases compartilhadas Em vez de enviar planilhas ou bases de dados com CPFs a parceiros, utilize APIs para consultas pontuais. Isso reduz a superfície de risco e mantém o controle sobre os dados. --- ## Implementação com registro de auditoria Um exemplo prático de como validar CPF com registro de auditoria em Python: ```python import requests import logging from datetime import datetime logging.basicConfig(filename='auditoria_cpf.log', level=logging.INFO) CPFHUB_API_KEY = 'SUA_CHAVE_DE_API' def validar_cpf_com_auditoria(cpf: str, finalidade: str, base_legal: str) -> dict: url = f'https://api.cpfhub.io/cpf/{cpf}' headers = { 'x-api-key': CPFHUB_API_KEY, 'Accept': 'application/json' } response = requests.get(url, headers=headers, timeout=10) resultado = response.json() # Registrar auditoria logging.info( f'{datetime.utcnow().isoformat()} | ' f'CPF: {cpf[:3]}***{cpf[-2:]} | ' f'Finalidade: {finalidade} | ' f'Base legal: {base_legal} | ' f'Resultado: {resultado.get("success")}' ) return resultado ``` Esse modelo garante que cada consulta tenha sua finalidade e base legal registradas, facilitando auditorias e demonstrando conformidade com a LGPD. --- ## Perguntas frequentes ### Quais bases legais da LGPD permitem o compartilhamento de CPF entre empresas? As principais são: execução de contrato (quando necessário para cumprir obrigação contratual com o titular), obrigação legal ou regulatória (exigências de BACEN, Receita Federal ou COAF), proteção ao crédito (prevista expressamente na LGPD para análise de crédito) e consentimento (quando nenhuma outra base se aplica). A base de legítimo interesse também pode ser usada, mas exige elaboração de relatório de impacto (LIA). A [ANPD](https://www.gov.br/anpd) disponibiliza orientações sobre aplicação de cada base legal. ### A empresa pode compartilhar CPF com parceiros de marketing sem consentimento? Não. O compartilhamento de CPF para fins de marketing não se enquadra em execução de contrato, obrigação legal nem proteção ao crédito. O consentimento explícito do titular é obrigatório nesse caso. O consentimento deve ser específico para o compartilhamento com o parceiro nomeado e para a finalidade declarada — consentimentos genéricos não são válidos sob a LGPD. ### Como usar uma API de validação de CPF para evitar o compartilhamento desnecessário de dados? Em vez de enviar uma planilha de CPFs a um parceiro para que ele valide internamente, cada empresa consulta a API da CPFHub.io de forma independente. O parceiro recebe apenas o resultado da validação (válido/inválido, ou nome confirmado/divergente), sem ter acesso à base de dados de CPFs da outra empresa. Isso reduz a superfície de risco e mantém cada empresa como controladora dos seus próprios dados. ### A API bloqueia consultas quando o limite mensal é atingido? Não. A API da CPFHub.io nunca retorna HTTP 429 nem interrompe o serviço ao superar a cota mensal. Ao exceder o limite do plano, cada consulta adicional é cobrada automaticamente a R$0,15 — o serviço continua disponível sem interrupção, o que é fundamental para fluxos de compartilhamento que não podem tolerar falhas imprevistas. ### Leia também - [Base legal para tratamento de CPF: consentimento vs. legítimo interesse](https://cpfhub.io/blog/base-legal-para-tratamento-de-cpf-consentimento-vs-legitimo-interesse) - [Como fintechs de open finance podem validar CPF para compartilhamento de dados](https://cpfhub.io/blog/fintechs-open-finance-validar-cpf-compartilhamento-dados) - [Como criptografar dados de CPF em trânsito e em repouso conforme a LGPD](https://cpfhub.io/blog/como-criptografar-dados-de-cpf-em-transito-e-em-repouso-conforme-a-lgpd) - [O que é LGPD e como ela impacta empresas que usam APIs de CPF](https://cpfhub.io/blog/o-que-e-lgpd-e-como-ela-impacta-empresas-que-usam-apis-de-cpf) --- ## Conclusão O compartilhamento de dados de CPF entre empresas é permitido pela LGPD, desde que exista base legal adequada e que os princípios de minimização, segurança e transparência sejam respeitados. APIs de validação como a da CPFHub.io permitem confirmar identidades em tempo real sem transferir bases de dados completas a parceiros, reduzindo risco e custo de conformidade. Cadastre-se em [cpfhub.io](https://www.cpfhub.io/) — 50 consultas mensais gratuitas, sem cartão de crédito — e adote a abordagem de validação pontual para manter seus fluxos de dados dentro da LGPD.