# LGPD e Receita Federal: dupla conformidade ao consultar CPFs via API

> Entenda como garantir conformidade simultânea com a LGPD e as normas da Receita Federal ao consultar CPFs via API.

**Publicado:** 26/11/2024
**Autor:** Redação CPFHub.io
**URL:** https://cpfhub.io/blog/lgpd-e-receita-federal-dupla-conformidade-ao-consultar-cpfs-via-api

---


Consultar CPFs via API exige conformidade simultânea com dois marcos regulatórios: a Lei Geral de Proteção de Dados (LGPD), que rege o tratamento de dados pessoais, e as normas da Receita Federal do Brasil, que administra o Cadastro de Pessoas Físicas. Empresas que estabelecem base legal clara, minimizam os dados tratados e mantêm logs de auditoria conseguem operar dentro dos parâmetros de ambas as esferas sem conflito. A [ANPD](https://www.gov.br/anpd) é o órgão responsável pela fiscalização da LGPD e pode aplicar sanções a empresas que tratam dados sem justificativa legal documentada.

## Introdução

Empresas que utilizam APIs de consulta de CPF enfrentam um desafio regulatório duplo: por um lado, devem respeitar as regras da **Lei Geral de Proteção de Dados (LGPD)** para o tratamento de dados pessoais; por outro, devem observar as normas da **Receita Federal** sobre o uso de informações cadastrais vinculadas ao CPF.

Essa dupla conformidade exige que o controlador de dados tenha clareza sobre a base legal que justifica a consulta, os limites do tratamento permitido e as medidas de segurança necessárias. Não basta apenas ter acesso a uma API funcional — é preciso usá-la dentro dos parâmetros legais.

---

## O CPF sob a ótica da LGPD

O CPF é classificado como **dado pessoal** pela LGPD (Lei 13.709/2018). Isso significa que qualquer operação envolvendo CPF — coleta, consulta, armazenamento, compartilhamento ou exclusão — constitui **tratamento de dados pessoais** e está sujeita às disposições da lei.

### Princípios aplicáveis

* **Finalidade** — A consulta ao CPF deve ter um propósito específico, legítimo e informado ao titular.

* **Adequação** — O tratamento deve ser compatível com a finalidade declarada.

* **Necessidade** — Somente os dados estritamente necessários devem ser coletados e tratados.

* **Transparência** — O titular deve ser informado sobre como seus dados serão utilizados.

* **Segurança** — Medidas técnicas e administrativas devem proteger os dados contra acessos não autorizados.

* **Responsabilização** — O controlador deve ser capaz de demonstrar conformidade.

### Bases legais para consulta de CPF

A LGPD prevê dez bases legais para o tratamento de dados pessoais. As mais utilizadas para consulta de CPF via API são:

* **Execução de contrato** — Quando a consulta é necessária para viabilizar uma relação contratual (ex: abertura de conta, concessão de crédito).

* **Legítimo interesse** — Quando o controlador tem um interesse legítimo que prevalece sobre os direitos do titular (ex: prevenção a fraudes).

* **Cumprimento de obrigação legal** — Quando a consulta é exigida por lei ou regulamento (ex: normas do BACEN, CVM, ANS).

* **Proteção ao crédito** — Base legal específica que permite o tratamento de dados para fins de proteção ao crédito.

---

## O CPF sob a ótica da Receita Federal

A Receita Federal do Brasil (RFB) é a responsável pela administração do Cadastro de Pessoas Físicas (CPF). As normas da RFB definem como o CPF pode ser utilizado:

### Instrução Normativa RFB 1.548/2015

Define que o CPF é um instrumento de identificação do contribuinte perante a Receita Federal. O número do CPF é de uso obrigatório em diversas operações e seu texto integral está disponível em [receita.fazenda.gov.br](https://www.receita.fazenda.gov.br/).

### Uso legítimo do CPF

A Receita Federal reconhece que o CPF é utilizado por entidades públicas e privadas para identificação de pessoas físicas. No entanto, o uso deve respeitar os direitos do titular.

### O que a Receita Federal espera

* Que o CPF seja utilizado para fins de identificação legítima.

* Que os dados cadastrais vinculados ao CPF não sejam divulgados de forma indevida.

* Que o tratamento dos dados observe a legislação de proteção de dados.

---

## Conciliando LGPD e Receita Federal

Para estar em conformidade com ambas as esferas regulatórias, empresas que consultam CPFs via API devem observar:

### Definição clara de finalidade

Antes de consultar o CPF, a empresa deve definir para que a informação será utilizada. Exemplos legítimos:

* Verificação de identidade no onboarding de clientes.
* Prevenção a fraudes em transações financeiras.
* Cumprimento de obrigações regulatórias (KYC, PLD/FT).
* Emissão de documentos fiscais.

### Minimização de dados

A API deve retornar apenas os dados necessários para a finalidade declarada. A [CPFHub.io](https://www.cpfhub.io/) retorna nome, gênero e data de nascimento — campos suficientes para a maioria dos fluxos de verificação de identidade, sem expor informações financeiras ou fiscais do titular.

### Retenção limitada

Os dados obtidos via consulta de CPF devem ser armazenados apenas pelo tempo necessário para cumprir a finalidade. Após esse período, devem ser eliminados ou anonimizados.

### Medidas de segurança

* **Criptografia** — Dados em trânsito e em repouso devem ser criptografados.

* **Controle de acesso** — Somente pessoal autorizado deve acessar os dados de CPF.

* **Mascaramento** — Em logs e interfaces, exibir o CPF de forma parcial (ex: \*\*\*.456.789-\*\*).

* **Auditoria** — Registrar cada consulta com data, hora, responsável e finalidade.

---

## Implementação prática

### Exemplo de consulta com registro de auditoria em Python

```python
import requests
import logging
from datetime import datetime

logging.basicConfig(filename='audit_cpf.log', level=logging.INFO)

def consultar_cpf_com_auditoria(cpf, finalidade, responsavel):
 url = f"https://api.cpfhub.io/cpf/{cpf}"
 headers = {
 "x-api-key": "SUA_CHAVE_DE_API",
 "Accept": "application/json"
 }

 cpf_mascarado = f"***{cpf[3:6]}***{cpf[9:]}"

 logging.info(
 f"[{datetime.utcnow().isoformat()}] "
 f"Consulta CPF: {cpf_mascarado} | "
 f"Finalidade: {finalidade} | "
 f"Responsavel: {responsavel}"
 )

 response = requests.get(url, headers=headers, timeout=10)
 dados = response.json()

 logging.info(
 f"[{datetime.utcnow().isoformat()}] "
 f"Resultado CPF: {cpf_mascarado} | "
 f"Sucesso: {dados.get('success')}"
 )

 return dados

resultado = consultar_cpf_com_auditoria(
 cpf="12345678900",
 finalidade="Verificacao de identidade - onboarding",
 responsavel="sistema_cadastro"
)
print(resultado)
```

Esse exemplo registra cada consulta em um log de auditoria, atendendo simultaneamente aos requisitos de transparência da LGPD e às exigências de rastreabilidade regulatória.

---

## Checklist de dupla conformidade

| Requisito | LGPD | Receita Federal | Como atender |
| --- | --- | --- | --- |
| Base legal definida | Obrigatório | Implícito | Documentar antes de consultar |
| Finalidade específica | Art. 6o, I | Uso legítimo | Registrar no log de auditoria |
| Minimização de dados | Art. 6o, III | Boa prática | Usar API com retorno enxuto |
| Segurança dos dados | Art. 6o, VII | Obrigatório | Criptografia + controle de acesso |
| Direitos do titular | Arts. 17-22 | Respeito ao titular | Canal de atendimento para titulares |
| Retenção limitada | Art. 15 | Boa prática | Política de retenção documentada |
| Registro de operações | Art. 37 | Rastreabilidade | Logs estruturados por consulta |

---

## Erros comuns a evitar

* **Consultar CPF sem base legal** — Toda consulta deve ter justificativa documentada.

* **Armazenar dados indefinidamente** — Dados de CPF devem ser eliminados quando a finalidade for alcançada.

* **Compartilhar dados sem controle** — Dados obtidos via API não devem ser repassados a terceiros sem base legal.

* **Não informar o titular** — O titular tem direito de saber que seus dados foram consultados e para qual finalidade.

* **Ignorar medidas de segurança** — Falhas de segurança podem resultar em sanções da ANPD e da Receita Federal.

---

## O papel do provedor de API

Um provedor de API de CPF responsável deve:

* Operar em conformidade com a LGPD.

* Não armazenar dados sensíveis além do necessário.

* Oferecer criptografia de ponta a ponta.

* Manter SLA documentado e status page pública.

* Fornecer documentação clara sobre o tratamento de dados.

A [CPFHub.io](https://www.cpfhub.io/) foi projetada com esses princípios: não armazena dados cadastrais dos titulares consultados e disponibiliza documentação clara sobre o fluxo de dados para facilitar a elaboração do seu RIPD.

---

## Perguntas frequentes

### O que é necessário para implementar validação de CPF neste contexto?
A validação de CPF exige uma chamada à API com o número do documento e a chave de autenticação. A CPFHub.io retorna nome do titular, data de nascimento e gênero em cerca de 900ms, permitindo a verificação em tempo real durante o cadastro ou transação.

### A API CPFHub.io funciona para todos os volumes de consulta?
Sim. O plano gratuito oferece 50 consultas por mês sem cartão de crédito — ideal para testes e projetos menores. Para volumes maiores, o plano Pro inclui 1.000 consultas mensais por R$149. Se o limite for ultrapassado, a API não bloqueia: cobra R$0,15 por consulta adicional, sem interrupção do serviço.

### Como garantir conformidade com a LGPD ao usar uma API de CPF?
Use o CPF apenas para a finalidade declarada ao titular, armazene apenas o necessário, implemente controle de acesso aos logs de consulta e documente a base legal para o tratamento. A ANPD orienta que dados de identificação devem ser tratados com o princípio da necessidade — consulte as orientações em [gov.br/anpd](https://www.gov.br/anpd).

### Qual é a diferença entre controlador e operador no contexto de APIs de CPF?
O controlador é a empresa que decide por que e como os dados serão tratados. O operador é o provedor da API que executa o tratamento em nome do controlador. Ao usar a CPFHub.io, sua empresa é o controlador e a CPFHub.io atua como operador — o que exige um contrato de processamento de dados (DPA) para regularizar a relação.

### Leia também

- [LGPD: CPF é dado pessoal sensível ou não? Entenda a classificação correta](https://cpfhub.io/blog/lgpd-cpf-e-dado-pessoal-sensivel-ou-nao-entenda-a-classificacao-correta)
- [Vazamento de CPF: responsabilidades da empresa e como prevenir](https://cpfhub.io/blog/vazamento-de-cpf-responsabilidades-da-empresa-e-como-prevenir)
- [KYC no Brasil: quais setores são obrigados a validar CPF por lei](https://cpfhub.io/blog/kyc-no-brasil-quais-setores-sao-obrigados-a-validar-cpf-por-lei)
- [Como atender às exigências do COAF para PLD/FT usando validação de CPF](https://cpfhub.io/blog/como-atender-as-exigencias-do-coaf-para-pld-ft-usando-validacao-de-cpf)

---

## Conclusão

Consultar CPFs via API exige conformidade simultânea com a LGPD e com as normas da Receita Federal. Empresas que implementam controles adequados — definição de base legal, minimização de dados, logs de auditoria e medidas de segurança — conseguem operar com tranquilidade em ambas as esferas regulatórias.

Cadastre-se em [cpfhub.io](https://www.cpfhub.io/) — 50 consultas mensais gratuitas, sem cartão de crédito — e comece a construir um fluxo de validação de CPF que respeita a LGPD e as normas da Receita Federal desde o primeiro dia.