# O Impacto da LGPD nas Práticas de Coleta e Armazenamento de Dados de CPF via APIs

> Entenda como a LGPD transformou as práticas de coleta e armazenamento de dados de CPF via APIs e o que mudou para empresas brasileiras.

**Publicado:** 28/05/2024
**Autor:** Redação CPFHub.io
**URL:** https://cpfhub.io/blog/impacto-lgpd-coleta-armazenamento-dados-cpf-apis

---


A [LGPD](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm) impacta diretamente a coleta de CPF via APIs em três pontos: exige base legal para cada consulta, impõe minimização (não colete mais do que precisa), e estabelece responsabilidade solidária entre a empresa que consulta (controladora) e o fornecedor da API (operador) — tornando obrigatório o contrato de DPA com o fornecedor da API.

## Introdução

Antes da LGPD, era comum que empresas coletassem e armazenassem dados de CPF sem critério definido, acumulando informações pessoais em bancos de dados sem controle de acesso, sem prazo de retenção e sem base legal documentada. A entrada em vigor da Lei 13.709/2018 transformou fundamentalmente essas práticas, exigindo justificativa para cada coleta, minimização dos dados armazenados e proteção adequada em todo o ciclo de vida.

## Antes e depois da LGPD

A lei provocou mudanças estruturais na forma como dados de CPF são tratados:

| Aspecto | Antes da LGPD | Depois da LGPD |
|---------|---------------|----------------|
| Coleta | Sem critério, coletava tudo disponível | Apenas dados necessários para a finalidade |
| Base legal | Não exigida | Obrigatória para cada tratamento |
| Consentimento | Genérico ou inexistente | Específico, informado e documentado |
| Armazenamento | Indefinido, sem prazo | Período definido com justificativa |
| Acesso | Sem controle granular | Princípio do menor privilégio |
| Compartilhamento | Livre entre sistemas e parceiros | Documentado com base legal |
| Exclusão | Raramente implementada | Obrigatória mediante solicitação |
| Incidentes | Sem obrigação de notificação | Notificação à ANPD em prazo razoável |

---

## Impacto na coleta de dados via API

Ao consultar a API do CPFHub, a resposta inclui múltiplos campos de dados pessoais. A LGPD impõe que você colete apenas o necessário:

```python
import requests

def consultar_cpf_lgpd_compliant(cpf: str, finalidade: str) -> dict:
 """Consulta CPF e retorna apenas os dados necessários
 para a finalidade declarada."""
 response = requests.get(
 f"https://api.cpfhub.io/cpf/{cpf}",
 headers={"x-api-key": "SUA_CHAVE_AQUI"},
 timeout=10
 )
 data = response.json()

 if not data.get("success"):
 return {"valido": False}

 api_data = data["data"]

 # Minimização: retorna apenas campos necessários
 campos_por_finalidade = {
 "validacao_simples": {
 "valido": True
 },
 "cadastro_cliente": {
 "valido": True,
 "cpf": api_data["cpf"],
 "nome": api_data["name"]
 },
 "analise_credito": {
 "valido": True,
 "cpf": api_data["cpf"],
 "nome": api_data["name"],
 "data_nascimento": api_data["birthDate"],
 "genero": api_data["gender"]
 }
 }

 resultado = campos_por_finalidade.get(finalidade, {})
 if not resultado:
 raise ValueError(
 f"Finalidade não reconhecida: {finalidade}"
 )
 return resultado
```

O ponto crucial é que a API retorna todos os campos disponíveis, mas a sua aplicação deve filtrar e armazenar apenas o que é estritamente necessário para a finalidade declarada.

---

## Impacto no armazenamento

A LGPD trouxe exigências específicas para o armazenamento de dados de CPF:

- **Retenção limitada** -- defina prazos claros de armazenamento para cada tipo de dado e automatize a exclusão ao final do período
- **Criptografia obrigatória** -- dados de CPF em repouso devem ser protegidos com criptografia, preferencialmente em nível de campo
- **Segregação de dados** -- dados pessoais devem ser armazenados separadamente de dados operacionais quando possível
- **Backup controlado** -- backups que contêm dados de CPF devem seguir as mesmas políticas de proteção e retenção
- **Registro de tratamento** -- cada operação de armazenamento deve ser documentada no registro de atividades de tratamento (Art. 37)

A prática anterior de "armazenar tudo por via das dúvidas" é agora uma violação direta do princípio da necessidade (Art. 6o, III).

---

## Adequação de sistemas legados

Muitas empresas mantêm sistemas legados que foram construídos antes da LGPD e armazenam dados de CPF sem as proteções necessárias:

- **Inventário de dados** -- mapeie todos os locais onde CPFs estão armazenados, incluindo planilhas, e-mails e sistemas não documentados
- **Classificação retroativa** -- aplique classificações de sensibilidade e defina bases legais para dados já existentes
- **Criptografia retroativa** -- implemente criptografia em campos de CPF já armazenados em texto aberto
- **Limpeza de dados** -- elimine dados de CPF que não possuem base legal ou finalidade atual para manutenção
- **Atualização de contratos** -- revise contratos com terceiros que processam dados de CPF para incluir cláusulas de proteção de dados

```bash
# Exemplo: identificar tabelas com CPF em texto aberto
# em banco PostgreSQL para planejamento de criptografia

psql -U admin -d producao -c "
SELECT
 table_schema,
 table_name,
 column_name,
 data_type
FROM information_schema.columns
WHERE column_name ILIKE '%cpf%'
ORDER BY table_schema, table_name;
"
```

---

## Impacto nos contratos com provedores de API

A LGPD exige que contratos com operadores de dados (como provedores de API de CPF) contenham cláusulas específicas:

| Cláusula | Descrição | Art. LGPD |
|----------|-----------|-----------|
| Finalidade do tratamento | Para que o operador pode usar os dados | Art. 39 |
| Instruções do controlador | Operador segue instruções documentadas | Art. 39 |
| Medidas de segurança | Padrões mínimos de proteção exigidos | Art. 46 |
| Notificação de incidentes | Prazo para comunicar vazamentos | Art. 48 |
| Sub-operadores | Autorização para envolvimento de terceiros | Art. 39 |
| Devolução ou exclusão | Tratamento dos dados ao término do contrato | Art. 16 |
| Auditoria | Direito do controlador de auditar o operador | Art. 39 |

---

## Perguntas frequentes

### A LGPD proíbe o uso de APIs de CPF de terceiros?
Não proíbe — autoriza desde que haja base legal válida e contrato de processamento de dados com o fornecedor. A [ANPD](https://www.gov.br/anpd) já orientou que o uso de bases de dados de terceiros para validação de identidade é permitido quando há interesse legítimo (prevenção de fraudes) ou cumprimento de obrigação legal como base.

### O que é um DPA (Data Processing Agreement) e por que é necessário para APIs de CPF?
DPA é o contrato entre o controlador (empresa que usa a API) e o operador (fornecedor da API) que define como os dados serão processados, as medidas de segurança adotadas e as responsabilidades em caso de incidente. A LGPD torna obrigatória essa formalização quando dados pessoais são processados por terceiros.

### Posso usar uma API de CPF hospedada fora do Brasil?
A LGPD regula a transferência internacional de dados. Para APIs hospedadas fora do Brasil, é necessário que o país destinatário tenha proteção adequada reconhecida pela ANPD ou que haja mecanismo contratual equivalente (cláusulas contratuais padrão). Fornecedores que hospedam dados no Brasil ou em países com adequação facilitam o compliance.

### Como a LGPD impacta o log de consultas de CPF via API?
Os logs de consulta são dados pessoais tratados pela empresa. Devem ter finalidade documentada (auditoria de KYC), prazo de retenção definido e segurança adequada. Não podem ser usados para fins diferentes do original (ex: marketing) sem nova base legal. O compartilhamento de logs com terceiros exige base legal específica.

### Leia também

- [LGPD: CPF é dado pessoal sensível ou não? Entenda a classificação correta](https://cpfhub.io/blog/lgpd-cpf-e-dado-pessoal-sensivel-ou-nao-entenda-a-classificacao-correta)
- [Exigências da ANPD para dados de CPF via APIs](https://cpfhub.io/blog/exigencias-da-anpd-para-tratamento-de-dados-de-cpf-via-apis-de-terceiros)
- [KYC no Brasil: quais setores são obrigados a validar CPF por lei](https://cpfhub.io/blog/kyc-no-brasil-quais-setores-sao-obrigados-a-validar-cpf-por-lei)
- [Como atender às exigências do COAF para PLD/FT usando validação de CPF](https://cpfhub.io/blog/como-atender-as-exigencias-do-coaf-para-pld-ft-usando-validacao-de-cpf)

---

## Conclusão

A LGPD transformou fundamentalmente a forma como dados de CPF são coletados e armazenados via APIs. O paradigma mudou de "coletar tudo e armazenar indefinidamente" para "coletar o mínimo, com base legal documentada, e reter pelo tempo estritamente necessário". Ao integrar com a API do [cpfhub.io](https://www.cpfhub.io/), sua empresa obtém uma solução 100% aderente à LGPD, com contrato de DPA incluso, criptografia em trânsito e suporte técnico para adequação.

Cadastre-se em [cpfhub.io](https://www.cpfhub.io/) — 50 consultas mensais gratuitas, sem cartão de crédito — e garanta que a coleta e o armazenamento de dados de CPF na sua empresa estejam em conformidade com a LGPD hoje mesmo.