# Consentimento vs. execução de contrato: qual base legal usar para consultar CPF > Entenda a diferença entre consentimento e execução de contrato como bases legais para consultar CPF via API e qual usar em cada situação. **Publicado:** 29/09/2024 **Autor:** Redação CPFHub.io **URL:** https://cpfhub.io/blog/consentimento-vs-execucao-de-contrato-qual-base-legal-usar-para-consultar-cpf --- Use execução de contrato (Art. 7, V da LGPD) quando a consulta de CPF é necessária para verificar identidade em abertura de conta, concessão de crédito ou prestação de serviço — essa base é mais estável e não pode ser revogada enquanto o contrato estiver vigente. Use consentimento (Art. 7, I) quando a finalidade for personalização ou marketing, situações que vão além do escopo contratual e exigem autorização explícita do titular. ## Introdução A LGPD estabelece que todo tratamento de dados pessoais deve estar fundamentado em uma **base legal**. Quando uma empresa consulta o CPF de um cliente via API, ela está realizando tratamento de dados pessoais e precisa justificar legalmente essa operação. As duas bases legais mais utilizadas para esse cenário são o **consentimento** e a **execução de contrato**, e escolher a opção errada pode gerar vulnerabilidades jurídicas significativas. --- ## As bases legais da LGPD para tratamento de dados A LGPD (artigo 7) prevê 10 bases legais para o tratamento de dados pessoais. As mais relevantes para consulta de CPF são: * **Consentimento (Art. 7, I)** -- O titular autoriza expressamente o tratamento. * **Cumprimento de obrigação legal (Art. 7, II)** -- O tratamento é exigido por lei. * **Execução de contrato (Art. 7, V)** -- O tratamento é necessário para executar um contrato com o titular. * **Legítimo interesse (Art. 7, IX)** -- O tratamento atende a interesses legítimos do controlador, respeitando os direitos do titular. * **Proteção do crédito (Art. 7, X)** -- O tratamento é necessário para proteção do crédito. --- ## Consentimento: quando usar ### O que é O consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para uma finalidade determinada. ### Quando usar para consulta de CPF * **Personalização de ofertas** -- Quando o CPF é consultado para personalizar a experiência do usuário (saudações, ofertas de aniversário) sem que isso seja necessário para a prestação do serviço. * **Marketing direcionado** -- Quando os dados retornados pela consulta são usados para segmentação de campanhas. * **Enriquecimento de dados** -- Quando a empresa quer complementar seu cadastro com informações adicionais obtidas via API. ### Vantagens * Base legal mais clara e direta. * Demonstra respeito à autonomia do titular. * Facilita a comprovação de conformidade em auditorias. ### Desvantagens * **Pode ser revogado a qualquer momento** -- O titular pode retirar o consentimento, e a empresa deve parar de tratar os dados imediatamente. * **Exige mecanismo de gestão** -- A empresa precisa registrar quando, como e para que o consentimento foi dado. * **Não se aplica quando há outra base legal mais adequada** -- Se o tratamento é necessário para executar um contrato, o consentimento não é a melhor opção. --- ## Execução de contrato: quando usar ### O que é A base legal de execução de contrato autoriza o tratamento de dados quando ele é necessário para a execução de um contrato do qual o titular é parte, ou para procedimentos preliminares relacionados a um contrato. ### Quando usar para consulta de CPF * **Abertura de conta** -- A verificação de identidade é necessária para executar o contrato de abertura de conta. * **Concessão de crédito** -- A validação de CPF é requisito para análise e concessão de crédito. * **Emissão de nota fiscal** -- O CPF é necessário para cumprir obrigações fiscais vinculadas ao contrato de compra e venda. * **Contratação de serviços** -- Quando o contrato de prestação de serviço exige a identificação do contratante. ### Vantagens * **Não pode ser revogada** -- Enquanto o contrato estiver vigente, o tratamento é legítimo. * **Mais estável juridicamente** -- Menos sujeita a contestações do titular. * **Não exige consentimento separado** -- O contrato em si fundamenta o tratamento. ### Desvantagens * O tratamento deve ser **estritamente necessário** para a execução do contrato. * Não pode ser usada para finalidades além do escopo contratual. --- ## Comparação prática | Aspecto | Consentimento | Execução de contrato | | --- | --- | --- | | Revogabilidade | Pode ser revogado a qualquer momento | Válido enquanto o contrato existir | | Necessidade de coleta explícita | Sim (checkbox, assinatura) | Não (implícito na relação contratual) | | Escopo de uso | Limitado ao que foi consentido | Limitado ao necessário para o contrato | | Gestão | Exige registro e controle de consentimento | Contrato documenta a relação | | Finalidades permitidas | Marketing, personalização, enriquecimento | Identificação, verificação, prestação de serviço | | Estabilidade jurídica | Menor (sujeita a revogação) | Maior (vinculada ao contrato) | --- ## Implementação prática ### Cenário 1: Fintech com abertura de conta (execução de contrato) ```python import requests def validar_cpf_abertura_conta(cpf, nome_informado): """ Base legal: Execução de contrato (Art. 7, V da LGPD) Finalidade: Verificação de identidade para abertura de conta """ url = f"https://api.cpfhub.io/cpf/{cpf}" headers = { "x-api-key": "SUA_CHAVE_DE_API", "Accept": "application/json" } response = requests.get(url, headers=headers, timeout=10) data = response.json() if not data["success"]: return { "aprovado": False, "motivo": "CPF não localizado", "base_legal": "execucao_contrato" } nome_match = data["data"]["name"].lower() == nome_informado.lower() return { "aprovado": nome_match, "motivo": "Identidade confirmada" if nome_match else "Divergência", "base_legal": "execucao_contrato", "log": { "finalidade": "abertura_conta", "timestamp": "2024-09-29T10:00:00Z" } } ``` ### Cenário 2: E-commerce com personalização (consentimento) ```python def personalizar_experiencia(cpf, consentimento_ativo): """ Base legal: Consentimento (Art. 7, I da LGPD) Finalidade: Personalização de ofertas e comunicação """ if not consentimento_ativo: return {"personalizado": False, "motivo": "Sem consentimento"} url = f"https://api.cpfhub.io/cpf/{cpf}" headers = { "x-api-key": "SUA_CHAVE_DE_API", "Accept": "application/json" } response = requests.get(url, headers=headers, timeout=10) data = response.json() if data["success"]: primeiro_nome = data["data"]["name"].split()[0] genero = data["data"]["gender"] mes_nascimento = data["data"]["month"] return { "personalizado": True, "saudacao": f"Bem-vinda, {primeiro_nome}!" if genero == "F" else f"Bem-vindo, {primeiro_nome}!", "aniversario_mes": mes_nascimento, "base_legal": "consentimento" } return {"personalizado": False, "motivo": "CPF não localizado"} ``` --- ## Bases legais complementares ### Obrigação legal (Art. 7, II) Quando a consulta de CPF é exigida por legislação específica: * Regulamentação do BACEN para instituições financeiras. * Obrigações tributárias (emissão de nota fiscal com CPF). * Normas de PLD/FT do COAF. Nesse caso, a base legal é mais forte que o consentimento e a execução de contrato, pois não depende da vontade das partes. ### Legítimo interesse (Art. 7, IX) Pode ser usado quando a consulta de CPF atende a um interesse legítimo da empresa (como prevenção a fraudes), desde que não prejudique os direitos e liberdades fundamentais do titular. Exige a elaboração de um **teste de proporcionalidade** (LIA -- Legitimate Interest Assessment). ### Proteção do crédito (Art. 7, X) Específica para empresas que concedem crédito. A validação de CPF antes da concessão de crédito é diretamente amparada por essa base legal. --- ## Erros comuns na escolha da base legal * **Usar consentimento para tudo** -- Muitas empresas usam consentimento como padrão, mesmo quando outra base legal seria mais adequada e estável. * **Não documentar a base legal** -- A empresa deve registrar qual base legal fundamenta cada tratamento. * **Misturar finalidades** -- Usar a mesma consulta de CPF para verificação de identidade (contrato) e marketing (consentimento) sem separar as bases legais. * **Ignorar a revogabilidade do consentimento** -- Não ter processo para interromper o tratamento quando o consentimento é revogado. --- ## Perguntas frequentes ### Posso usar a mesma consulta de CPF para verificação de identidade e personalização ao mesmo tempo? Não sem separar as bases legais. A verificação de identidade pode ser fundamentada em execução de contrato, mas o uso dos dados para personalização exige consentimento separado. Documente cada finalidade com sua respectiva base legal e, se possível, implemente a personalização apenas após obter o consentimento explícito. ### O que acontece se o cliente revogar o consentimento de personalização? A empresa deve interromper imediatamente o uso dos dados para essa finalidade e desativar as personalizações ativas. A [LGPD (artigo 8, §5°)](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm) determina que a revogação deve ser tão simples quanto a concessão do consentimento. Os dados coletados antes da revogação podem ser mantidos se houver outra base legal vigente (ex: obrigação de guarda por prazo legal). ### A execução de contrato é válida para consultas de CPF em processos de pré-contrato? Sim. O Art. 7, V da LGPD cobre explicitamente "procedimentos preliminares relacionados a um contrato". Uma consulta de CPF durante a análise de crédito ou onboarding — antes da assinatura do contrato — está amparada por essa base legal, desde que o titular tenha solicitado a contratação. ### Como registrar e comprovar a base legal usada em cada consulta de CPF? Mantenha logs imutáveis com o identificador do tratamento, a finalidade, a base legal e o timestamp de cada consulta. A [ANPD](https://www.gov.br/anpd) recomenda que o Registro de Operações de Tratamento (ROT) documente essas informações, pois é o principal instrumento exigido em auditorias e investigações de incidentes. ### Leia também - [LGPD: CPF é dado pessoal sensível ou não? Entenda a classificação correta](https://cpfhub.io/blog/lgpd-cpf-e-dado-pessoal-sensivel-ou-nao-entenda-a-classificacao-correta) - [Vazamento de CPF: responsabilidades da empresa e como prevenir](https://cpfhub.io/blog/vazamento-de-cpf-responsabilidades-da-empresa-e-como-prevenir) - [KYC no Brasil: quais setores são obrigados a validar CPF por lei](https://cpfhub.io/blog/kyc-no-brasil-quais-setores-sao-obrigados-a-validar-cpf-por-lei) - [Como atender às exigências do COAF para PLD/FT usando validação de CPF](https://cpfhub.io/blog/como-atender-as-exigencias-do-coaf-para-pld-ft-usando-validacao-de-cpf) --- ## Conclusão A escolha entre consentimento e execução de contrato para consultar CPF depende da finalidade do tratamento. Para verificação de identidade vinculada a uma relação contratual, a execução de contrato é mais estável e adequada. Para personalização e marketing, o consentimento é a base correta. Misturar as duas finalidades sem separar as bases legais é o erro mais comum e o que mais expõe a empresa a riscos em auditorias da ANPD. Cadastre-se em [cpfhub.io](https://www.cpfhub.io/) — 50 consultas mensais gratuitas, sem cartão de crédito — e implemente consultas de CPF com a base legal correta já documentada no seu fluxo de onboarding.