# LGPD e Transferência Internacional de Dados: Cuidados ao Usar APIs de CPF Hospedadas Fora do Brasil

> Conheça os cuidados ao usar APIs de CPF hospedadas fora do Brasil e como garantir conformidade com a LGPD na transferência internacional de dados.

**Publicado:** 24/06/2024
**Autor:** Redação CPFHub.io
**URL:** https://cpfhub.io/blog/lgpd-transferencia-internacional-dados-apis-cpf

---


Quando uma API de CPF está hospedada em servidores fora do Brasil, cada consulta constitui uma transferência internacional de dados pessoais. A [LGPD](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm), em seus artigos 33 a 36, exige que o nível de proteção no destino seja equivalente ao previsto na legislação brasileira. A forma mais simples de evitar esse risco regulatório é escolher APIs hospedadas em território nacional — onde os dados não saem do Brasil e as obrigações dos artigos 33 a 36 não se aplicam.

## Introdução

Empresas que utilizam serviços de cloud computing com data centers no exterior ou APIs com servidores fora do território nacional precisam garantir que o nível de proteção dos dados de CPF seja equivalente ao previsto na legislação brasileira.

---

## Quando ocorre transferência internacional

A transferência internacional não se limita ao envio deliberado de dados. Ela ocorre em diversos cenários:

| Cenário | Transferência Internacional? | Observação |
|---------|------------------------------|------------|
| API hospedada nos EUA | Sim | Dados trafegam para fora do Brasil |
| API hospedada no Brasil (sa-east-1) | Não | Dados permanecem em território nacional |
| CDN com cache em múltiplas regiões | Possivelmente | Depende de onde os dados são cacheados |
| Backup em região estrangeira | Sim | Mesmo backups configuram transferência |
| Logs armazenados em cloud global | Possivelmente | Se logs contêm CPF e estão em servidores externos |
| Monitoramento com ferramenta SaaS exterior | Sim | Se dados de CPF são enviados para a ferramenta |

---

## Hipóteses legais para transferência internacional

O artigo 33 da LGPD lista as situações em que a transferência é permitida:

- **País com proteção adequada (Art. 33, I)** -- a ANPD pode reconhecer países com nível adequado de proteção, mas até o momento a lista não foi publicada formalmente
- **Cláusulas contratuais específicas (Art. 33, II, b)** -- contratos com o provedor da API devem incluir cláusulas que garantam a proteção dos dados
- **Cláusulas padrão contratuais (Art. 33, II, c)** -- modelos de cláusulas definidos pela ANPD para transferência internacional
- **Consentimento específico (Art. 33, VIII)** -- o titular consente explicitamente com a transferência, informado sobre os riscos
- **Proteção da vida (Art. 33, IV)** -- em situações de emergência que envolvam proteção da vida do titular
- **Cooperação jurídica internacional (Art. 33, III)** -- para cumprimento de acordos internacionais

---

## Avaliação técnica da localização da API

Antes de integrar com qualquer API de CPF, verifique onde os dados serão processados e armazenados:

```bash
# Verificar localização do servidor da API
# Resolução DNS e geolocalização do IP

# 1. Obter IP do servidor
dig +short api.cpfhub.io

# 2. Verificar geolocalização
curl -s "https://ipinfo.io/$(dig +short api.cpfhub.io | head -1)" \
 | python3 -m json.tool

# 3. Verificar rota dos dados (traceroute)
traceroute -m 15 api.cpfhub.io

# 4. Verificar certificado SSL e emissor
echo | openssl s_client -connect api.cpfhub.io:443 2>/dev/null \
 | openssl x509 -noout -subject -issuer -dates
```

Esses comandos ajudam a identificar se os dados de CPF trafegam por servidores em outros países durante a comunicação com a API.

---

## Cláusulas contratuais para transferência internacional

Quando a transferência internacional é necessária, o contrato com o provedor deve incluir:

```text
CLÁUSULA DE PROTEÇÃO DE DADOS PESSOAIS
TRANSFERÊNCIA INTERNACIONAL

8.1. O OPERADOR reconhece que o tratamento de dados pessoais
de titulares brasileiros está sujeito à Lei 13.709/2018 (LGPD).

8.2. O OPERADOR compromete-se a:
 a) Tratar dados de CPF exclusivamente conforme as instruções
 documentadas do CONTROLADOR;
 b) Implementar medidas técnicas e organizacionais adequadas
 para proteger os dados contra acesso não autorizado;
 c) Garantir nível de proteção equivalente ao previsto na LGPD
 brasileira;
 d) Notificar o CONTROLADOR sobre qualquer incidente de
 segurança envolvendo dados de CPF em até 48 horas;
 e) Não transferir os dados para terceiros países sem
 autorização prévia e por escrito do CONTROLADOR;
 f) Ao término do contrato, devolver ou eliminar todos os
 dados de CPF, conforme instrução do CONTROLADOR.

8.3. O OPERADOR submete-se à jurisdição brasileira para questões
relacionadas ao tratamento de dados pessoais de titulares
brasileiros.
```

---

## Medidas técnicas para proteger dados em trânsito internacional

Quando a transferência internacional é inevitável, implemente proteções adicionais:

- **Criptografia ponta a ponta** -- criptografe o CPF antes de enviá-lo à API, de modo que mesmo o provedor não acesse o dado em texto aberto
- **VPN site-to-site** -- estabeleça um túnel criptografado entre sua infraestrutura e o provedor da API
- **Tokenização prévia** -- substitua o CPF por um token antes da transferência internacional, mantendo o mapeamento internamente
- **Minimização extrema** -- envie apenas o dado estritamente necessário para a operação, sem campos adicionais
- **Monitoramento de rota** -- monitore as rotas de rede para detectar desvios inesperados de tráfego

| Medida | Proteção | Complexidade |
|--------|----------|-------------|
| TLS 1.3 | Criptografia em trânsito | Baixa |
| VPN dedicada | Túnel criptografado | Média |
| Criptografia de payload | Proteção mesmo do provedor | Alta |
| Tokenização | Dado real não sai do Brasil | Alta |

---

## Preferência por APIs hospedadas no Brasil

A forma mais simples de evitar questões de transferência internacional é utilizar APIs hospedadas em território brasileiro:

- **Eliminação de risco regulatório** -- dados que não saem do Brasil não estão sujeitos aos artigos 33 a 36 da LGPD
- **Menor latência** -- servidores no Brasil oferecem tempos de resposta menores para aplicações brasileiras
- **Jurisdição clara** -- em caso de litígio, a jurisdição brasileira é inquestionável
- **Simplicidade contratual** -- não há necessidade de cláusulas de transferência internacional
- **Compliance facilitado** -- menos requisitos para demonstrar conformidade em auditorias

---

## Perguntas frequentes

### Uma API de CPF hospedada nos EUA viola automaticamente a LGPD?

Não automaticamente — mas exige medidas adicionais. O artigo 33 da LGPD permite a transferência internacional desde que haja base legal adequada: cláusulas contratuais específicas com o provedor, consentimento explícito do titular ou reconhecimento do país de destino pela ANPD. Sem essas salvaguardas, a transferência pode ser considerada irregular.

### O que a ANPD exige para transferência internacional de dados pessoais de CPF?

A [ANPD](https://www.gov.br/anpd) orienta que o controlador deve formalizar a base legal para a transferência, garantir que o país ou organização destinatária ofereça nível de proteção equivalente à LGPD e manter registros dessa avaliação. Para CPF, classificado como dado pessoal comum, as cláusulas contratuais padrão (Art. 33, II, c) são a opção mais prática enquanto a lista de países adequados não é publicada.

### Como verificar tecnicamente se uma API de CPF processa dados no Brasil?

Use `dig +short api.provedor.io` para obter o IP do servidor, depois consulte `https://ipinfo.io/{IP}` para verificar o país e a região de hospedagem. Para APIs em CDN, o IP pode variar por ponto de presença — nesse caso, solicite ao provedor documentação formal sobre onde os dados são processados e armazenados permanentemente.

### Quais cláusulas contratuais são indispensáveis ao contratar uma API de CPF estrangeira?

O contrato deve incluir: obrigação de tratar os dados exclusivamente conforme instruções do controlador; garantia de nível de proteção equivalente à LGPD; notificação de incidentes em até 48 horas; proibição de subtransferência sem autorização prévia; e obrigação de devolução ou eliminação dos dados ao término do contrato — conforme modelo do Art. 33, II, b da LGPD.

### Leia também

- [LGPD: CPF é dado pessoal sensível ou não? Entenda a classificação correta](https://cpfhub.io/blog/lgpd-cpf-e-dado-pessoal-sensivel-ou-nao-entenda-a-classificacao-correta)
- [Vazamento de CPF: responsabilidades da empresa e como prevenir](https://cpfhub.io/blog/vazamento-de-cpf-responsabilidades-da-empresa-e-como-prevenir)
- [KYC no Brasil: quais setores são obrigados a validar CPF por lei](https://cpfhub.io/blog/kyc-no-brasil-quais-setores-sao-obrigados-a-validar-cpf-por-lei)
- [Como atender às exigências do COAF para PLD/FT usando validação de CPF](https://cpfhub.io/blog/como-atender-as-exigencias-do-coaf-para-pld-ft-usando-validacao-de-cpf)

---

## Conclusão

A transferência internacional de dados de CPF via APIs exige atenção redobrada à conformidade com a LGPD. Antes de integrar com qualquer serviço externo, verifique a localização dos servidores, implemente cláusulas contratuais adequadas e aplique medidas técnicas de proteção em trânsito. Quando possível, prefira APIs hospedadas no Brasil para simplificar o compliance. A API do [cpfhub.io](https://www.cpfhub.io/) opera em servidores brasileiros, eliminando a necessidade de cláusulas de transferência internacional.

Cadastre-se em [cpfhub.io](https://www.cpfhub.io/) — 50 consultas mensais gratuitas, sem cartão de crédito — e valide CPF com conformidade LGPD total hoje mesmo.