# LGPD: CPF é dado pessoal sensível ou não? Entenda a classificação correta > Entenda se o CPF é classificado como dado pessoal sensível pela LGPD, quais são as implicações legais e como tratar esse dado corretamente. **Publicado:** 03/03/2024 **Autor:** Redação CPFHub.io **URL:** https://cpfhub.io/blog/lgpd-cpf-e-dado-pessoal-sensivel-ou-nao-entenda-a-classificacao-correta --- ## Introdução O CPF é um dado pessoal comum — não sensível — segundo a [Lei 13.709/2018](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm) (LGPD): não se enquadra nas categorias especiais do artigo 5º (origem racial, saúde, biometria, etc.). Porém, por ser o principal identificador de uma pessoa física no Brasil, seu tratamento exige base legal clara e medidas de segurança adequadas — a classificação como dado comum não dispensa proteção rigorosa. Uma das dúvidas mais recorrentes entre empresas que lidam com dados de brasileiros é: o CPF é um dado pessoal sensível segundo a LGPD? Essa classificação impacta diretamente as obrigações legais da empresa, os controles de segurança exigidos e até as bases legais que podem ser utilizadas para justificar o tratamento desse dado. --- ## O que diz a LGPD sobre dados pessoais A LGPD (Lei n. 13.709/2018) define duas categorias principais de dados: ### Dado pessoal Segundo o artigo 5o, inciso I, dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável. Isso inclui nome, CPF, e-mail, endereço, telefone, entre outros. ### Dado pessoal sensível O artigo 5o, inciso II, define dado pessoal sensível como aquele que se refere a: * **Origem racial ou étnica** * **Convicção religiosa** * **Opinião política** * **Filiação a sindicato ou organização religiosa, filosófica ou política** * **Dado referente à saúde ou à vida sexual** * **Dado genético ou biométrico** A lista de dados sensíveis é taxativa (fechada), ou seja, apenas os tipos expressamente listados na lei são considerados sensíveis. --- ## CPF: dado pessoal, mas não sensível Com base na definição legal, o CPF é classificado como dado pessoal, mas não como dado pessoal sensível. Ele é um número de registro fiscal que identifica uma pessoa natural perante a Receita Federal, mas não revela informações sobre origem racial, convicção religiosa, saúde ou qualquer outra categoria listada no artigo 5o, inciso II. ### Por que essa distinção importa A classificação do dado determina quais bases legais podem ser utilizadas para justificar o tratamento e quais controles de segurança são exigidos: | Aspecto | Dado pessoal (ex.: CPF) | Dado sensível (ex.: dado de saúde) | | --- | --- | --- | | Bases legais disponíveis | 10 bases (art. 7o) | Bases restritas (art. 11) | | Legítimo interesse | Permitido | Não permitido | | Consentimento | Uma das opções | Obrigatório em muitos casos | | Controles de segurança | Proporcionais ao risco | Reforçados | | RIPD (Relatório de Impacto) | Pode ser exigido | Altamente recomendado | --- ## Bases legais para tratamento de CPF Mesmo não sendo dado sensível, o CPF é um dado pessoal e, portanto, precisa de uma base legal válida para ser tratado. As bases legais mais comuns para o tratamento de CPF são: ### Execução de contrato (art. 7o, V) Quando o CPF é necessário para cumprir um contrato ou executar procedimentos preliminares a um contrato. Exemplo: e-commerce que precisa do CPF para emitir nota fiscal. ### Cumprimento de obrigação legal (art. 7o, II) Quando uma lei ou regulamento exige o tratamento do CPF. Exemplo: instituições financeiras obrigadas a coletar CPF para KYC; plataformas de apostas que devem verificar a identidade do apostador. ### Legítimo interesse (art. 7o, IX) Quando o tratamento é necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto quando prevalecerem direitos e liberdades fundamentais do titular. Exemplo: e-commerce que válida CPF para prevenção a fraudes. ### Consentimento (art. 7o, I) Quando o titular autoriza expressamente o tratamento de seus dados. Deve ser livre, informado, inequívoco e para finalidade determinada. --- ## Como tratar CPF em conformidade com a LGPD ### Princípio da finalidade Colete e trate o CPF apenas para a finalidade específica declarada. Se a finalidade é emissão de nota fiscal, não use o CPF para marketing sem consentimento adicional. ### Princípio da necessidade Colete apenas os dados mínimos necessários. Se você precisa validar a identidade do usuário, a consulta ao CPF via API pode ser suficiente -- não é necessário armazenar todos os dados retornados permanentemente. ### Princípio da segurança Implemente medidas técnicas e administrativas para proteger o CPF contra acessos não autorizados, vazamentos e uso indevido. Isso inclui criptografia em trânsito e em repouso, controle de acesso e logs de auditoria. ### Transparência Informe ao titular que seu CPF será tratado, para qual finalidade e com quem será compartilhado. Essa informação deve constar na política de privacidade da empresa. --- ## A CPFHub.io e a conformidade LGPD A CPFHub.io foi desenvolvida para operar em conformidade com a LGPD: dados trafegam via HTTPS, o acesso é controlado por API key por conta, e a API retorna apenas nome, gênero e data de nascimento — nenhum dado que se enquadre como sensível pelo artigo 5º. * **Criptografia de dados** -- Todas as comunicações com a API são realizadas via HTTPS com criptografia TLS. * **Minimização de dados** -- A API retorna apenas os dados necessários para a validação: nome, gênero e data de nascimento. * **Não armazenamento de dados sensíveis** -- A CPFHub.io não armazena dados além do necessário para a prestação do serviço. * **Logs de auditoria** -- Todas as consultas são registradas para fins de rastreabilidade e conformidade. ### Exemplo de consulta conforme LGPD ```bash curl -X GET https://api.cpfhub.io/cpf/12345678900 \ -H "x-api-key: SUA_CHAVE_DE_API" \ -H "Accept: application/json" ``` ```json { "success": true, "data": { "cpf": "12345678900", "name": "Fernanda Lima Costa", "nameUpper": "FERNANDA LIMA COSTA", "gender": "F", "birthDate": "14/02/1995", "day": 14, "month": 2, "year": 1995 } } ``` Os dados retornados são estritamente cadastrais e não incluem nenhuma informação classificada como dado sensível pela LGPD. --- ## Erros comuns sobre CPF e LGPD ### Confundir dado pessoal com dado sensível O CPF é um dado pessoal, não sensível. Tratar o CPF com as mesmas restrições de um dado sensível é desnecessário e pode burocratizar processos que poderiam ser mais ágeis com bases legais como legítimo interesse. ### Achar que a LGPD proíbe o uso de CPF A LGPD não proíbe o tratamento de CPF. Ela exige que haja uma base legal válida, que o tratamento seja transparente e que medidas de segurança adequadas sejam implementadas. ### Não ter base legal documentada Mesmo que o tratamento de CPF seja legítimo, a empresa deve documentar qual base legal está sendo utilizada. Essa documentação é essencial em caso de fiscalização pela ANPD (Autoridade Nacional de Proteção de Dados). ### Armazenar CPF sem necessidade Se a finalidade é apenas validar a identidade em um momento específico (checkout, cadastro), considere consultar o CPF via API sem armazená-lo permanentemente. Isso reduz o risco de vazamento e simplifica a conformidade. --- ## Recomendações práticas para empresas 1. **Documente a base legal** -- Para cada uso de CPF, registre qual base legal do artigo 7o da LGPD está sendo utilizada. 2. **Implemente segurança proporcional** -- Use criptografia, controle de acesso e logs de auditoria para proteger os CPFs armazenados. 3. **Minimize o armazenamento** -- Se possível, consulte o CPF via API da CPFHub.io no momento em que precisar do dado e descarte a resposta em seguida, sem persistência. Isso elimina o risco de vazamento e simplifica a conformidade. 4. **Atualize a política de privacidade** -- Informe aos titulares que o CPF é coletado, para qual finalidade e com base em qual fundamento legal. 5. **Prepare-se para exercício de direitos** -- O titular pode solicitar acesso, correção ou exclusão de seus dados. Tenha processos definidos para atender essas solicitações. --- ## Perguntas frequentes ### Qual a diferença entre dado pessoal comum e dado sensível na LGPD? Dados sensíveis são listados taxativamente no artigo 5º da LGPD: origem racial, convicção religiosa, opinião política, filiação sindical, dados de saúde, vida sexual, dados genéticos ou biométricos. O CPF não está nessa lista — é dado pessoal comum. A distinção é importante porque dados sensíveis têm requisitos de tratamento mais restritivos. ### Tratar o CPF como dado comum significa que posso usá-lo livremente? Não. Dado pessoal comum ainda exige base legal válida para tratamento (artigo 7 da LGPD), finalidade específica declarada ao titular, segurança adequada e respeito aos direitos do titular. A diferença é que as bases legais disponíveis são mais amplas do que para dados sensíveis. ### Quando o CPF combinado com outros dados pode se tornar mais sensível? Quando associado a dados de saúde, histórico financeiro ou informações que permitam discriminação, o conjunto de dados tem impacto equivalente a dados sensíveis — mesmo que o CPF isolado seja comum. O RIPD (Relatório de Impacto à Proteção de Dados) deve considerar o risco combinado, não apenas o CPF em isolamento. ### A ANPD já se pronunciou sobre a classificação do CPF? A [ANPD](https://www.gov.br/anpd) tem orientado que o tratamento de CPF em larga escala (bases com milhões de registros) exige cuidados especiais mesmo sendo dado comum, devido ao risco de re-identificação e de uso indevido. O contexto e a escala do tratamento são tão relevantes quanto a classificação formal do dado. ### Leia também - [KYC no Brasil: quais setores são obrigados a validar CPF por lei](https://cpfhub.io/blog/kyc-no-brasil-quais-setores-sao-obrigados-a-validar-cpf-por-lei) - [Exigências da ANPD para dados de CPF via APIs](https://cpfhub.io/blog/exigencias-da-anpd-para-tratamento-de-dados-de-cpf-via-apis-de-terceiros) - [Como atender às exigências do COAF para PLD/FT usando validação de CPF](https://cpfhub.io/blog/como-atender-as-exigencias-do-coaf-para-pld-ft-usando-validacao-de-cpf) - [IA generativa e fraudes de identidade: por que validação de CPF é mais importante que nunca](https://cpfhub.io/blog/ia-generativa-e-fraudes-de-identidade-por-que-validacao-de-cpf-e-mais-importante-que-nunca) --- ## Conclusão O CPF é dado pessoal, não sensível — isso permite bases legais mais flexíveis, como legítimo interesse para antifraude. O que não muda é a obrigação de ter finalidade declarada, segurança adequada e respeito aos direitos do titular. Com a API da [cpfhub.io](https://www.cpfhub.io/), você consulta sem armazenar, reduzindo o risco de vazamento e simplificando a conformidade.