# Encarregado de dados (DPO): responsabilidades específicas para dados de CPF > Conheça as responsabilidades do encarregado de dados (DPO) no tratamento de CPF e como garantir conformidade com a LGPD. **Publicado:** 30/08/2024 **Autor:** Redação CPFHub.io **URL:** https://cpfhub.io/blog/encarregado-de-dados-dpo-responsabilidades-especificas-para-dados-de-cpf --- O encarregado de dados (DPO) é responsável por mapear todos os fluxos de CPF da organização, definir e documentar a base legal para cada uso, supervisionar os provedores de API que consultam esse dado e coordenar a resposta a incidentes de vazamento — tudo em conformidade com a LGPD e sob supervisão da [ANPD](https://www.gov.br/anpd). Para empresas que consultam CPFs via API, o DPO deve revisar o contrato com o provedor e exigir logs de auditoria mascarados antes de colocar a integração em produção. ## Introdução O **encarregado de dados** -- também conhecido como **DPO (Data Protection Officer)** -- é a pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre a empresa, os titulares de dados e a **ANPD (Autoridade Nacional de Proteção de Dados)**. A LGPD (art. 41) exige que toda empresa que trate dados pessoais indique um encarregado. Para empresas que consultam e armazenam CPFs -- fintechs, e-commerces, plataformas de saúde, seguradoras e prestadores de serviços em geral -- o DPO tem responsabilidades específicas relacionadas a esse tipo de dado. O CPF é um dos dados pessoais mais tratados no Brasil e, ao mesmo tempo, um dos mais sensíveis em termos de risco de fraude e uso indevido. --- ## O que a LGPD exige do DPO ### Atribuições legais (art. 41, parágrafo 2o) * **Aceitar reclamações e comunicações** dos titulares, prestar esclarecimentos e adotar providências. * **Receber comunicações** da ANPD e adotar providências. * **Orientar** os funcionários e os contratados da entidade sobre as práticas de proteção de dados. * **Executar as demais atribuições** determinadas pelo controlador ou estabelecidas em normas complementares. ### Perfil recomendado A LGPD não exige formação específica para o DPO, mas recomenda-se que tenha: * Conhecimento da legislação de proteção de dados. * Compreensão dos processos de negócio da empresa. * Capacidade de interlocução com áreas técnicas (TI, desenvolvimento). * Conhecimento de segurança da informação. --- ## Responsabilidades do DPO no tratamento de CPF ### Mapeamento de dados O DPO deve garantir que a empresa mantenha um mapa atualizado de todos os fluxos de dados que envolvem CPF: * **Onde o CPF é coletado** -- Formulários de cadastro, checkout, APIs de terceiros. * **Onde o CPF é armazenado** -- Bancos de dados, caches, logs, backups. * **Para onde o CPF é enviado** -- APIs externas, ferramentas de analytics, parceiros comerciais. * **Quem tem acesso** -- Equipes internas, prestadores de serviço, processadores de dados. * **Por quanto tempo é retido** -- Prazos de retenção por finalidade. ### Avaliação de base legal Para cada uso do CPF, o DPO deve verificar se existe base legal adequada: | Uso do CPF | Base legal provável | | --- | --- | | Onboarding de clientes | Execução de contrato | | Prevenção a fraudes | Legítimo interesse | | Cumprimento de KYC/PLD | Obrigação legal | | Marketing personalizado | Consentimento | | Emissão de NF-e | Obrigação legal | | Analytics | Legítimo interesse ou consentimento | ### Avaliação de riscos O DPO deve conduzir ou supervisionar avaliações de risco para o tratamento de CPF: * **RIPD (Relatório de Impacto à Proteção de Dados)** -- Obrigatório quando o tratamento pode gerar riscos significativos aos titulares. * **LIA (Legitimate Interest Assessment)** -- Necessário quando a base legal for legítimo interesse. * **Avaliação de fornecedores** -- Garantir que provedores de API de CPF operem em conformidade com a LGPD, transmitam dados apenas via HTTPS e não armazenem informações das consultas além do estritamente necessário. --- ## Supervisão de consultas de CPF via API Quando a empresa utiliza uma API para consultar CPFs, o DPO deve: ### Verificar a conformidade do provedor * A API opera em conformidade com a LGPD? * Quais dados são retornados? São adequados e necessários? * Os dados são transmitidos de forma segura (HTTPS)? * O provedor armazena dados das consultas? * Existe contrato de processamento de dados? ### Monitorar o uso da API * Quem na empresa tem acesso à API key? * Quantas consultas são realizadas por período? * Os logs de consulta são armazenados de forma segura? * O CPF é mascarado nos logs? ### Exemplo de log de auditoria que o DPO deve exigir ```python import requests import json from datetime import datetime def consultar_cpf_auditado(cpf, usuario_solicitante, finalidade): """ Consulta CPF com registro de auditoria conforme exigido pelo DPO. """ url = f"https://api.cpfhub.io/cpf/{cpf}" headers = { "x-api-key": "SUA_CHAVE_DE_API", "Accept": "application/json" } response = requests.get(url, headers=headers, timeout=10) dados = response.json() # Registro de auditoria conforme politica do DPO log_auditoria = { "timestamp": datetime.utcnow().isoformat(), "cpf_mascarado": f"{cpf[:3]}.***.***-{cpf[9:]}", "usuario_solicitante": usuario_solicitante, "finalidade": finalidade, "base_legal": "Execucao de contrato (art. 7, V)", "resultado": "sucesso" if dados.get("success") else "falha", "dados_retornados": ["name", "gender", "birthDate"] if dados.get("success") else [], "provedor": "CPFHub.io", "metodo": "GET /cpf/{cpf}" } # Em producao, salvar no sistema de auditoria print(json.dumps(log_auditoria, indent=2, ensure_ascii=False)) return dados resultado = consultar_cpf_auditado( cpf="12345678900", usuario_solicitante="sistema_cadastro", finalidade="Validacao de identidade no onboarding" ) ``` --- ## Gestão de direitos dos titulares O DPO é responsável por garantir que os direitos dos titulares sejam atendidos em relação aos dados de CPF: ### Direito de acesso (art. 18, II) O titular pode solicitar confirmação de que a empresa trata seu CPF e quais dados estão armazenados. O DPO deve ter mecanismos para responder a essa solicitação. ### Direito de correção (art. 18, III) Se os dados de CPF armazenados estiverem incorretos, o titular pode solicitar correção. O DPO deve garantir que o processo de correção seja viável. ### Direito de eliminação (art. 18, VI) O titular pode solicitar a eliminação dos dados de CPF, salvo quando houver obrigação legal de retenção. O DPO deve avaliar cada solicitação caso a caso. ### Direito de informação sobre compartilhamento (art. 18, VII) O titular pode perguntar com quais entidades seu CPF foi compartilhado. O DPO deve manter registros atualizados de todos os compartilhamentos. --- ## Resposta a incidentes Em caso de vazamento de dados de CPF, o DPO deve: 1. **Avaliar a gravidade** -- Quantos CPFs foram afetados? Quais outros dados foram expostos? 2. **Notificar a ANPD** -- Dentro de prazo razoável (a ANPD recomenda 2 dias úteis para incidentes graves). 3. **Notificar os titulares** -- Quando o incidente pode causar risco ou dano relevante. 4. **Implementar medidas corretivas** -- Corrigir a vulnerabilidade e prevenir recorrência. 5. **Documentar** -- Registrar todo o processo de resposta ao incidente. --- ## Checklist do DPO para dados de CPF * Mapeamento completo dos fluxos de CPF atualizado. * Base legal definida e documentada para cada uso. * RIPD produzido quando necessário. * Contrato com provedores de API revisado. * Logs de auditoria implementados e revisados. * Processo de atendimento a direitos dos titulares operacional. * Plano de resposta a incidentes testado. * Treinamento da equipe sobre tratamento de CPF realizado. * Política de retenção definida e implementada. * Revisão periódica de conformidade agendada. --- ## Perguntas frequentes ### A LGPD obriga toda empresa a ter um DPO para tratar dados de CPF? Sim. O art. 41 da LGPD exige que controladores e operadores indiquem um encarregado de dados, independentemente do porte da empresa ou do volume de dados tratados. Empresas que consultam CPFs de clientes via API são consideradas controladoras e devem designar um DPO — mesmo que seja um colaborador interno acumulando a função. ### O DPO precisa ser notificado sempre que a empresa contratar uma nova API de CPF? É uma boa prática e, em muitos casos, uma exigência interna de governança. O DPO deve avaliar se a API opera em conformidade com a LGPD, quais dados são retornados, como são transmitidos e se existe contrato de processamento de dados antes de a integração entrar em produção. ### Como o DPO deve tratar uma solicitação de eliminação de CPF quando há obrigação legal de retenção? O DPO avalia caso a caso: se existe obrigação legal de guardar o dado (por exemplo, para fins fiscais ou de PLD), a eliminação pode ser negada com justificativa documentada. O titular deve ser informado do motivo e do prazo previsto para a eliminação após o fim da obrigação legal. ### Qual é o prazo para notificar a ANPD em caso de vazamento de CPFs? A ANPD recomenda a comunicação em até 2 dias úteis para incidentes que possam causar risco ou dano relevante aos titulares. O DPO deve ter um plano de resposta a incidentes pré-aprovado que defina os gatilhos, o fluxo de comunicação interno e o modelo de notificação à autoridade. ### Leia também - [LGPD: CPF é dado pessoal sensível ou não? Entenda a classificação correta](https://cpfhub.io/blog/lgpd-cpf-e-dado-pessoal-sensivel-ou-nao-entenda-a-classificacao-correta) - [Vazamento de CPF: responsabilidades da empresa e como prevenir](https://cpfhub.io/blog/vazamento-de-cpf-responsabilidades-da-empresa-e-como-prevenir) - [KYC no Brasil: quais setores são obrigados a validar CPF por lei](https://cpfhub.io/blog/kyc-no-brasil-quais-setores-sao-obrigados-a-validar-cpf-por-lei) - [Como atender às exigências do COAF para PLD/FT usando validação de CPF](https://cpfhub.io/blog/como-atender-as-exigencias-do-coaf-para-pld-ft-usando-validacao-de-cpf) --- ## Conclusão O DPO desempenha um papel central na governança de dados de CPF. Desde o mapeamento dos fluxos até a resposta a incidentes, suas responsabilidades garantem que a empresa trate esse dado com a diligência exigida pela LGPD. Cadastre-se em [cpfhub.io](https://www.cpfhub.io/) — 50 consultas mensais gratuitas, sem cartão de crédito — e ofereça ao seu DPO uma API de CPF com transmissão segura via HTTPS e documentação de conformidade disponível para auditoria.