# O que é LGPD e como ela impacta empresas que usam APIs de CPF > Entenda o que é a LGPD e como ela impacta empresas que consultam CPFs via API. Saiba quais obrigações cumprir para estar em conformidade. **Publicado:** 07/06/2025 **Autor:** Redação CPFHub.io **URL:** https://cpfhub.io/blog/o-que-e-lgpd-e-como-ela-impacta-empresas-que-usam-apis-de-cpf --- A [LGPD](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm) (Lei 13.709/2018) obriga qualquer empresa que consulte CPFs via API a ter base legal documentada, política de privacidade atualizada e medidas técnicas de segurança. O descumprimento pode gerar multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração. Escolher um provedor de API em conformidade com a LGPD é parte dessa responsabilidade — a empresa controladora responde solidariamente pelos atos do operador. ## Introdução A LGPD (Lei Geral de Proteção de Dados — Lei 13.709/2018) transformou a forma como empresas brasileiras lidam com dados pessoais. Para empresas que consultam CPFs via API, entender a LGPD não é opcional — é uma obrigação legal com consequências sérias em caso de descumprimento. --- ## O que é a LGPD A LGPD é a lei brasileira que regulamenta o tratamento de dados pessoais por pessoas físicas e jurídicas, públicas e privadas. Inspirada no GDPR europeu, ela entrou em vigor em setembro de 2020 e suas sanções passaram a ser aplicadas em agosto de 2021. ### Conceitos fundamentais * **Dado pessoal** — Qualquer informação que identifique ou possa identificar uma pessoa. O CPF é um dado pessoal. * **Tratamento** — Qualquer operação com dados pessoais: coleta, armazenamento, consulta, transmissão, eliminação. * **Titular** — A pessoa a quem o dado se refere. * **Controlador** — Quem decide sobre o tratamento dos dados (sua empresa). * **Operador** — Quem realiza o tratamento a mando do controlador (o provedor da API). * **ANPD** — Autoridade Nacional de Proteção de Dados, órgão fiscalizador. --- ## Como a LGPD impacta o uso de APIs de CPF ### 1. Toda consulta é um tratamento de dados Quando sua aplicação envia um CPF para uma API e recebe dados cadastrais de volta, isso constitui **tratamento de dados pessoais** nos termos da LGPD. Tanto a consulta quanto o armazenamento dos resultados precisam de base legal. ### 2. Você precisa de base legal A LGPD exige que todo tratamento tenha uma das 10 bases legais previstas no artigo 7o. As mais comuns para consulta de CPF são: | Base legal | Quando se aplica | | --- | --- | | Consentimento | O titular autorizou a consulta | | Execução de contrato | Necessário para formalizar ou executar contrato | | Obrigação legal | Exigido por lei ou regulamentação | | Legítimo interesse | Necessário e proporcional para fins legítimos | | Proteção ao crédito | Análise de risco e concessão de crédito | ### 3. Princípios que devem ser seguidos * **Finalidade** — A consulta deve ter propósito legítimo e específico. * **Necessidade** — Consulte apenas os dados que realmente precisa. * **Transparência** — Informe o titular que seus dados serão consultados. * **Segurança** — Proteja os dados contra acessos não autorizados. * **Não discriminação** — Não use os dados para fins discriminatórios. --- ## Obrigações práticas para empresas ### Documentar a base legal Para cada caso de uso que envolva consulta de CPF, documente qual base legal se aplica e por quê. ### Atualizar a política de privacidade Inclua na política de privacidade que dados de CPF podem ser consultados via API, informando a finalidade e a base legal. ### Escolher um provedor em conformidade O provedor da API (operador) também precisa estar em conformidade com a LGPD. Se ele não estiver, sua empresa pode ser responsabilizada solidariamente. A [CPFHub.io](https://www.cpfhub.io/) opera com infraestrutura segura, HTTPS obrigatório e política de privacidade transparente, facilitando a demonstração de conformidade para auditores e para a ANPD. ### Implementar medidas de segurança ```bash # Consulta segura via HTTPS com autenticação por API key curl -X GET https://api.cpfhub.io/cpf/12345678900 \ -H "x-api-key: SUA_CHAVE_DE_API" \ -H "Accept: application/json" ``` * Use HTTPS em todas as comunicações. * Armazene chaves de API em variáveis de ambiente. * Mascare CPFs em logs e interfaces. * Defina políticas de retenção de dados. ### Atender direitos dos titulares A LGPD garante ao titular direitos como acesso, correção, exclusão e portabilidade de seus dados. Sua empresa precisa ter processos para atender essas solicitações. --- ## Sanções por descumprimento | Sanção | Descrição | | --- | --- | | Advertência | Com prazo para adequação | | Multa simples | Até 2% do faturamento, limitada a R$ 50 milhões por infração | | Multa diária | Para forçar adequação | | Publicização | Divulgação pública da infração | | Bloqueio de dados | Proibição de uso dos dados até regularização | | Eliminação de dados | Exclusão dos dados tratados irregularmente | --- ## Checklist de conformidade LGPD para APIs de CPF * Base legal identificada e documentada para cada caso de uso. * Política de privacidade atualizada com menção à consulta de CPF. * Provedor de API em conformidade com a LGPD. * Comunicação via HTTPS e chaves protegidas. * Data minimization implementado. * Registros de auditoria mantidos. * Processo para atender direitos dos titulares definido. * Política de retenção e exclusão de dados estabelecida. --- ## Perguntas frequentes ### O que caracteriza tratamento de dados pessoais ao usar uma API de CPF? Qualquer operação com o CPF — enviar o número para a API, receber dados cadastrais, armazenar o resultado — configura tratamento de dados pessoais segundo a LGPD. Isso significa que cada etapa precisa de base legal documentada, finalidade definida e medidas de segurança proporcionais ao risco. ### Qual base legal é mais adequada para consulta de CPF em onboarding digital? Depende do contexto. Para fintechs e marketplaces com contrato formal, a base mais comum é "execução de contrato" (art. 7º, V). Para prevenção a fraudes sem vínculo contratual prévio, "legítimo interesse" (art. 7º, IX) pode ser aplicável, desde que documentado em relatório de impacto. A [ANPD](https://www.gov.br/anpd) orienta que a base deve ser identificada antes do início do tratamento. ### A empresa é responsável pelos atos do provedor de API de CPF? Sim. Segundo a LGPD, o controlador (sua empresa) responde solidariamente pelos atos do operador (provedor da API) quando o operador descumpre a lei ou as instruções do controlador. Por isso, verificar se o provedor possui política de privacidade, usa HTTPS e está em conformidade é parte da due diligence obrigatória. ### Como responder a uma solicitação de titular de dados relacionada a consultas de CPF? O titular pode solicitar acesso (quais dados foram consultados), correção ou exclusão. Sua empresa precisa ter registro de quais CPFs foram consultados, com qual finalidade e base legal, e em qual data. Esse log de auditoria é a base para responder ao titular dentro do prazo legal de 15 dias úteis. ### Leia também - [LGPD: CPF é dado pessoal sensível ou não? Entenda a classificação correta](https://cpfhub.io/blog/lgpd-cpf-e-dado-pessoal-sensivel-ou-nao-entenda-a-classificacao-correta) - [Direitos do usuário sobre seus dados de CPF segundo a LGPD](https://cpfhub.io/blog/direitos-usuario-dados-cpf-lgpd) - [KYC no Brasil: quais setores são obrigados a validar CPF por lei](https://cpfhub.io/blog/kyc-no-brasil-quais-setores-sao-obrigados-a-validar-cpf-por-lei) - [APIs de consulta de CPF: segurança para evitar vazamento](https://cpfhub.io/blog/apis-consulta-cpf-seguranca-evitar-vazamento) --- ## Conclusão A LGPD não proíbe a consulta de CPF via API — ela exige que isso seja feito com base legal, finalidade clara e medidas de segurança adequadas. Documentar cada decisão de tratamento, manter logs de auditoria e escolher um provedor em conformidade são os três pilares para reduzir o risco de sanções. A [CPFHub.io](https://www.cpfhub.io/) oferece infraestrutura segura e está em conformidade com a LGPD, permitindo que sua empresa demonstre conformidade sem retrabalho. Cadastre-se em [cpfhub.io](https://www.cpfhub.io/) — 50 consultas mensais gratuitas, sem cartão de crédito.