# Exigências da ANPD para tratamento de dados de CPF via APIs de terceiros

> Entenda as exigências da ANPD para o tratamento de dados de CPF via APIs de terceiros e como garantir conformidade com a LGPD.

**Publicado:** 14/06/2024
**Autor:** Redação CPFHub.io
**URL:** https://cpfhub.io/blog/exigencias-da-anpd-para-tratamento-de-dados-de-cpf-via-apis-de-terceiros

---


A [ANPD](https://www.gov.br/anpd) exige que o tratamento de dados de CPF via APIs de terceiros tenha base legal válida (como interesse legítimo para prevenção de fraudes ou cumprimento de obrigação legal), que o titular seja informado sobre o processamento e que o controlador garanta que o operador (a API) processa os dados conforme a [LGPD](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm) — o que inclui verificar a política de privacidade e os contratos do fornecedor da API.

## Introdução

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável por fiscalizar o cumprimento da LGPD no Brasil. Para empresas que utilizam APIs de terceiros para consultar ou validar CPFs, entender as exigências regulatórias é fundamental para operar em conformidade e evitar sanções que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.

O tratamento de dados de CPF via APIs externas envolve uma relação entre controlador (a empresa que decide consultar o CPF) e operador (o provedor da API que processa a consulta). A [CPFHub.io](https://www.cpfhub.io/) opera como operador de dados, processando consultas de CPF em nome dos controladores que utilizam a API, com infraestrutura e práticas alinhadas às exigências da LGPD.

---

## Conceitos fundamentais da LGPD aplicáveis

### Controlador e operador

Na relação de consulta de CPF via API:

* **Controlador** -- A empresa que decide consultar o CPF. É responsável por definir a finalidade e a base legal do tratamento.

* **Operador** -- O provedor da API (como a CPFHub.io) que realiza o tratamento em nome do controlador. Processa os dados conforme as instruções do controlador.

### Dados pessoais tratados

A consulta de CPF via API envolve o tratamento dos seguintes dados pessoais:

| Dado | Classificação LGPD |
| --- | --- |
| Número do CPF | Dado pessoal |
| Nome completo | Dado pessoal |
| Data de nascimento | Dado pessoal |
| Gênero | Dado pessoal |

Nenhum desses dados é classificado como dado pessoal sensível (artigo 5, inciso II da LGPD), mas todos requerem base legal para tratamento.

---

## Bases legais aplicáveis

A LGPD exige que todo tratamento de dados pessoais tenha uma base legal. Para consulta de CPF via API, as bases mais comuns são:

### Execução de contrato (Art. 7, V)

Quando a validação de CPF é necessária para a prestação de um serviço contratado pelo titular. Exemplos:

* Abertura de conta bancária ou digital.
* Cadastro em plataforma de e-commerce.
* Contratação de serviço de assinatura.

### Cumprimento de obrigação legal (Art. 7, II)

Quando a lei exige a verificação do CPF. Exemplos:

* Emissão de nota fiscal (exigência fiscal).
* KYC para instituições financeiras (Banco Central).
* Verificação de identidade em apostas online (regulamentação de iGaming).

### Legítimo interesse (Art. 7, IX)

Quando a validação de CPF atende a um interesse legítimo do controlador, desde que não prevaleçam os direitos do titular. Exemplos:

* Prevenção de fraudes em checkout.
* Verificação de identidade para segurança da plataforma.

### Consentimento (Art. 7, I)

Quando o titular autoriza expressamente a consulta de seus dados. Menos comum para CPF, pois geralmente outra base legal se aplica.

---

## Obrigações do controlador

Ao utilizar uma API de consulta de CPF, o controlador deve cumprir as seguintes obrigações:

### 1. Definir e documentar a finalidade

Documente claramente por que os CPFs estão sendo consultados. A finalidade deve ser específica, legítima e informada ao titular.

* **Correto:** "Validar a identidade do cliente para abertura de conta digital, conforme exigência do Banco Central."
* **Incorreto:** "Consultar CPFs para uso geral."

### 2. Informar o titular

O titular deve ser informado de que seus dados serão consultados via API. Isso pode ser feito por meio de:

* Política de privacidade detalhada.
* Aviso no momento da coleta do CPF.
* Termos de uso que descrevam o tratamento.

### 3. Garantir a minimização de dados

Consulte apenas os dados necessários para a finalidade declarada. A API da [CPFHub.io](https://www.cpfhub.io/) retorna somente os campos solicitados e não armazena dados além do necessário para processar a resposta, facilitando a aplicação do princípio da minimização.

### 4. Estabelecer prazo de retenção

Defina por quanto tempo os dados retornados pela API serão armazenados:

* Se a finalidade é apenas validação no momento do cadastro, os dados podem ser descartados após a verificação.
* Se a finalidade inclui auditoria, os dados podem ser retidos por um período definido (ex.: 5 anos para obrigações fiscais).

### 5. Manter registro das operações de tratamento

O artigo 37 da LGPD exige que o controlador mantenha registro das atividades de tratamento (ROPA). Para consultas de CPF via API, o registro deve incluir:

```
Atividade: Consulta de CPF para verificação de identidade
Controlador: [Nome da empresa]
Operador: CPFHub.io
Base legal: Execução de contrato
Finalidade: Verificar identidade no onboarding de clientes
Dados tratados: CPF, nome, data de nascimento, gênero
Volume: ~500 consultas/mês
Retenção: 12 meses
Medidas de segurança: HTTPS, API key em cofre de segredos
```

---

## Obrigações na relação com o operador (API)

### Contrato de processamento de dados

A LGPD recomenda (e, em muitos casos, exige) que a relação entre controlador e operador seja formalizada em contrato que defina:

* Escopo e finalidade do tratamento.
* Tipos de dados pessoais processados.
* Obrigações de segurança do operador.
* Procedimentos em caso de incidente de segurança.
* Diretrizes para exclusão de dados ao término da relação.

### Due diligence do fornecedor

Antes de contratar uma API de consulta de CPF, verifique se o fornecedor:

* Declara conformidade com a LGPD.
* Implementa medidas de segurança adequadas (criptografia, controle de acesso).
* Possui política de privacidade transparente.
* Não armazena dados além do necessário.
* Oferece canais de comunicação para incidentes.

A [CPFHub.io](https://www.cpfhub.io/) disponibiliza documentação de segurança e conformidade para auxiliar os controladores no processo de due diligence e na formalização do Acordo de Processamento de Dados (DPA).

---

## Direitos dos titulares

O titular do CPF possui direitos que o controlador deve estar preparado para atender:

### Direito de acesso (Art. 18, II)

O titular pode solicitar quais dados seus foram consultados via API. O controlador deve ser capaz de informar quando e por que a consulta foi realizada.

### Direito de eliminação (Art. 18, VI)

O titular pode solicitar a eliminação dos dados armazenados, salvo quando houver obrigação legal de retenção.

### Direito de informação (Art. 18, VII)

O titular pode solicitar informações sobre com quais entidades seus dados foram compartilhados, incluindo o uso de APIs de terceiros.

### Como se preparar

* Mantenha logs de todas as consultas de CPF realizadas (data, hora, finalidade).
* Implemente um processo para atender solicitações de titulares dentro do prazo legal (15 dias).
* Tenha um canal de contato (e-mail ou formulário) para receber solicitações.

---

## Exemplo de consulta em conformidade

Uma consulta à API da CPFHub.io que segue as melhores práticas de conformidade:

```bash
curl -X GET https://api.cpfhub.io/cpf/12345678900 \
 -H "x-api-key: SUA_CHAVE_DE_API" \
 -H "Accept: application/json"
```

```python
import requests
import logging
from datetime import datetime

# Configurar log de auditoria (sem registrar dados pessoais)
logger = logging.getLogger("auditoria_cpf")

def consultar_cpf_lgpd(cpf, finalidade, usuario_responsavel, api_key):
 """Consulta CPF com registro de auditoria para conformidade LGPD."""

 # Registrar a consulta no log de auditoria
 logger.info(
 f"Consulta CPF - Finalidade: {finalidade} - "
 f"Responsável: {usuario_responsavel} - "
 f"Data: {datetime.now().isoformat()} - "
 f"CPF: ***{cpf[-4:]}" # Apenas últimos 4 dígitos no log
 )

 response = requests.get(
 f"https://api.cpfhub.io/cpf/{cpf}",
 headers={
 "x-api-key": api_key,
 "Accept": "application/json"
 },
 timeout=10
 )

 data = response.json()

 # Registrar resultado (sem dados pessoais)
 logger.info(
 f"Resultado - Sucesso: {data.get('success')} - "
 f"CPF: ***{cpf[-4:]}"
 )

 return data
```

---

## Sanções por não conformidade

A ANPD pode aplicar as seguintes sanções:

| Sanção | Descrição |
| --- | --- |
| Advertência | Com prazo para adoção de medidas corretivas |
| Multa simples | Até 2% do faturamento, limitada a R$ 50 milhões por infração |
| Multa diária | Para garantir o cumprimento de determinação |
| Publicização | Divulgação pública da infração |
| Bloqueio de dados | Proibição temporária de uso dos dados |
| Eliminação de dados | Obrigação de excluir dados pessoais tratados irregularmente |

---

## Checklist de conformidade

Antes de utilizar uma API de CPF em produção, verifique:

* Base legal definida e documentada.
* Finalidade específica e legítima.
* Política de privacidade atualizada com menção ao uso de APIs de terceiros.
* Registro de atividades de tratamento (ROPA) preenchido.
* Contrato com o operador (fornecedor da API) formalizado.
* Prazo de retenção de dados definido.
* Processo para atender direitos dos titulares implementado.
* Logs de auditoria configurados (sem dados pessoais sensíveis).
* DPO (Encarregado de dados) nomeado e informado.

---

## Perguntas frequentes

### Qual é a base legal para consultar CPF via API de terceiros?
As bases legais mais aplicáveis são: cumprimento de obrigação legal (para setores regulados como financeiro), interesse legítimo (prevenção de fraudes, artigo 10 da LGPD) e execução de contrato (verificação de identidade para formalizar relação contratual). A base legal deve estar documentada na política de privacidade da empresa.

### A empresa precisa informar o titular que está consultando o CPF via API?
Sim, mas pode ser feito de forma genérica na política de privacidade e/ou nos termos de uso, informando que os dados são verificados contra bases de terceiros para confirmação de identidade. Não é necessário informar o nome específico do fornecedor da API.

### O fornecedor da API de CPF é considerado operador conforme a LGPD?
Sim. O fornecedor da API processa dados pessoais em nome do controlador (a empresa que faz a consulta). Isso exige um Acordo de Processamento de Dados (DPA) entre as partes, garantindo que o operador segue as diretrizes do controlador e cumpre a LGPD.

### Por quanto tempo os dados retornados pela API de CPF devem ser armazenados?
Apenas pelo tempo necessário para a finalidade que justificou o tratamento. Para validação de identidade em onboarding, o log da consulta pode ser mantido pelo período de vigência da relação contratual mais o prazo prescricional aplicável (geralmente 5 anos). Após esse período, os dados devem ser eliminados ou anonimizados.

### Leia também

- [KYC no Brasil: quais setores são obrigados a validar CPF por lei](https://cpfhub.io/blog/kyc-no-brasil-quais-setores-sao-obrigados-a-validar-cpf-por-lei)
- [Golpe do CPF clonado em compras online: como detectar e prevenir](https://cpfhub.io/blog/golpe-cpf-clonado-compras-online-detectar-prevenir)
- [Como evitar chargebacks usando validação de CPF no checkout](https://cpfhub.io/blog/como-evitar-chargebacks-usando-validacao-de-cpf-no-checkout)
- [IA generativa e fraudes de identidade: por que validação de CPF é mais importante que nunca](https://cpfhub.io/blog/ia-generativa-e-fraudes-de-identidade-por-que-validacao-de-cpf-e-mais-importante-que-nunca)

---

## Conclusão

O tratamento de dados de CPF via APIs de terceiros é uma prática legítima e necessária para inúmeros processos de negócio no Brasil, mas deve ser realizado em conformidade com as exigências da ANPD e da LGPD. Definir a base legal, informar o titular, documentar o tratamento e escolher um operador confiável são os pilares dessa conformidade.

A [CPFHub.io](https://www.cpfhub.io/) foi desenvolvida para facilitar essa conformidade: infraestrutura segura, sem retenção desnecessária de dados e documentação disponível para apoiar o processo de due diligence do controlador.

Cadastre-se em [cpfhub.io](https://www.cpfhub.io/) — 50 consultas mensais gratuitas, sem cartão de crédito — e consulte CPFs em conformidade com a LGPD hoje mesmo.