# Relatório de impacto (DPIA) para sistemas que processam CPF: guia prático

> Guia prático para elaborar um Relatório de Impacto à Proteção de Dados (DPIA) para sistemas que processam CPF conforme a LGPD.

**Publicado:** 01/06/2024
**Autor:** Redação CPFHub.io
**URL:** https://cpfhub.io/blog/relatorio-de-impacto-dpia-para-sistemas-que-processam-cpf

---


Para elaborar um DPIA de sistema que processa CPF, documente: finalidade e base legal do tratamento, volume de consultas, dados recebidos da API (nome, data de nascimento, gênero), prazo de retenção, riscos identificados (chave comprometida, uso secundário, vazamento em logs) e medidas de mitigação para cada risco — o documento deve ser revisado anualmente ou sempre que houver mudança significativa no tratamento.

## Introdução

O Relatório de Impacto à Proteção de Dados Pessoais, também conhecido como DPIA (Data Protection Impact Assessment), é um instrumento previsto na Lei Geral de Proteção de Dados ([LGPD](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm)) que auxilia organizações a identificar e minimizar riscos no tratamento de dados pessoais. Para sistemas que processam CPF -- seja para validação de identidade, onboarding de clientes ou emissão fiscal --, a elaboração de um DPIA é uma prática recomendada e, em alguns casos, obrigatória.

A [**CPFHub.io**](https://www.cpfhub.io/) opera com conformidade total à LGPD, disponibiliza contrato de DPA e fornece as informações necessárias para que sua empresa preencha a seção de processadores de dados no DPIA com precisão.

## O que é um DPIA e quando é obrigatório

O DPIA é um documento que descreve o tratamento de dados pessoais realizado por uma organização, avalia a necessidade e proporcionalidade desse tratamento e identifica medidas para mitigar riscos aos titulares dos dados.

De acordo com o artigo 38 da LGPD, a Autoridade Nacional de Proteção de Dados ([ANPD](https://www.gov.br/anpd)) pode solicitar ao controlador a elaboração do DPIA, especialmente quando o tratamento de dados representar alto risco para os direitos e liberdades dos titulares.

### Situações que recomendam a elaboração de um DPIA

* **Tratamento em larga escala** -- Sistemas que processam CPFs de milhares ou milhões de pessoas.

* **Uso de dados para decisões automatizadas** -- Quando o resultado da consulta de CPF determina automaticamente a aprovação ou rejeição de um cadastro, crédito ou transação.

* **Compartilhamento com terceiros** -- Quando os dados de CPF consultados são compartilhados com parceiros, processadores ou subcontratados.

* **Cruzamento de bases de dados** -- Quando os dados retornados pela API são combinados com outras fontes para enriquecimento ou scoring.

* **Novos processos ou tecnologias** -- Ao implementar pela primeira vez um sistema de validação de CPF via API.

---

## Estrutura do DPIA para sistemas de consulta de CPF

Um DPIA bem estruturado deve conter as seguintes seções:

### 1. Descrição do tratamento

Documente detalhadamente o que o sistema faz com os dados de CPF:

* **Finalidade** -- Para que os CPFs são consultados (validação de identidade, emissão fiscal, prevenção de fraudes, etc.).
* **Dados tratados** -- Quais dados são enviados à API (número de CPF) e quais são recebidos (nome, data de nascimento, gênero).
* **Volume** -- Quantidade estimada de consultas por período (diária, mensal, anual).
* **Retenção** -- Por quanto tempo os dados retornados pela API são armazenados.
* **Fluxo de dados** -- Diagrama mostrando o caminho dos dados desde a coleta até o descarte.

### 2. Base legal do tratamento

Identifique a base legal aplicável conforme o artigo 7 da LGPD:

| Base legal | Aplicação típica |
| --- | --- |
| Execução de contrato | Validar CPF para abertura de conta ou prestação de serviço |
| Cumprimento de obrigação legal | Validar CPF para emissão de documentos fiscais |
| Legítimo interesse | Validar CPF para prevenção de fraudes |
| Consentimento | Quando o usuário autoriza a consulta de seus dados |

### 3. Avaliação de necessidade e proporcionalidade

Responda às seguintes perguntas:

* O tratamento é necessário para alcançar a finalidade? Sim -- a validação de CPF é essencial para verificação de identidade e compliance.
* Existem alternativas menos invasivas? Não -- o CPF é o identificador padrão de pessoa física no Brasil.
* Os dados coletados são proporcionais à finalidade? Sim -- a API retorna apenas dados cadastrais básicos (nome, data de nascimento, gênero).

### 4. Identificação de riscos

Liste os riscos potenciais para os titulares dos dados:

* **Acesso não autorizado** -- Chave de API comprometida permitindo consultas indevidas.
* **Uso secundário** -- Dados consultados sendo utilizados para finalidades diferentes da declarada.
* **Vazamento de dados** -- Dados retornados pela API sendo expostos em logs ou bases inseguras.
* **Falta de transparência** -- Titulares não sendo informados de que seu CPF está sendo consultado.

### 5. Medidas de mitigação

Para cada risco identificado, documente as medidas adotadas:

* **Acesso não autorizado** -- Armazenar a chave de API em variáveis de ambiente seguras; implementar rotação periódica de chaves.
* **Uso secundário** -- Documentar e restringir as finalidades de uso; implementar controles de acesso baseados em função.
* **Vazamento de dados** -- Não registrar dados pessoais em logs de aplicação; criptografar dados em repouso.
* **Falta de transparência** -- Incluir a consulta de CPF na política de privacidade; informar o titular no momento da coleta.

---

## Exemplo prático: DPIA para sistema de onboarding

Considere um sistema de onboarding que válida CPF via API no momento do cadastro:

```bash
curl -X GET https://api.cpfhub.io/cpf/12345678900 \
 -H "x-api-key: SUA_CHAVE_DE_API" \
 -H "Accept: application/json"
```

### Descrição do tratamento

* **Finalidade:** Verificar a identidade do novo cliente durante o cadastro.
* **Dados enviados:** Número do CPF.
* **Dados recebidos:** Nome completo, data de nascimento, gênero.
* **Volume estimado:** 500 consultas por mês.
* **Retenção:** Dados retornados armazenados por 12 meses para fins de auditoria.
* **Processador:** CPFHub.io (API de consulta de CPF, 100% conforme LGPD).

### Base legal

Execução de contrato (artigo 7, inciso V da LGPD) -- a validação de identidade é necessária para a prestação do serviço contratado.

### Riscos e mitigações

| Risco | Probabilidade | Impacto | Mitigação |
| --- | --- | --- | --- |
| API key comprometida | Baixa | Alto | Armazenamento em cofre de segredos; rotação trimestral |
| Dados em logs | Média | Médio | Sanitização de logs; proibição de dados pessoais em log |
| Acesso interno indevido | Baixa | Alto | Controle de acesso por função (RBAC); logs de auditoria |
| Falta de transparência | Média | Médio | Política de privacidade atualizada; aviso no formulário |

---

## Registro de atividades de tratamento

O DPIA deve ser acompanhado do Registro de Atividades de Tratamento (ROPA), conforme o artigo 37 da LGPD. Para consultas de CPF via API, o registro deve incluir:

```
Atividade: Validação de CPF via API externa
Controlador: [Nome da sua empresa]
Operador/Processador: CPFHub.io
Dados tratados: CPF, nome completo, data de nascimento, gênero
Base legal: Execução de contrato
Finalidade: Verificação de identidade no onboarding
Volume: ~500 consultas/mês
Retenção: 12 meses
Transferência internacional: Não
Medidas de segurança: Criptografia em trânsito (HTTPS), API key em cofre de segredos
```

---

## Boas práticas para o DPIA

### Revisão periódica

O DPIA não é um documento estático. Revise-o a cada 12 meses ou sempre que houver mudanças significativas no tratamento de dados, como:

* Aumento significativo no volume de consultas.
* Mudança na finalidade do tratamento.
* Alteração nos dados retornados pela API.
* Novo compartilhamento de dados com terceiros.

### Envolvimento multidisciplinar

O DPIA deve ser elaborado com a participação de:

* **Equipe jurídica** -- Para validar a base legal e conformidade com a LGPD.
* **Equipe de tecnologia** -- Para detalhar a arquitetura do sistema e medidas de segurança.
* **DPO (Encarregado de dados)** -- Para supervisionar o processo e garantir a conformidade.
* **Área de negócios** -- Para justificar a necessidade e proporcionalidade do tratamento.

### Documentação de fornecedores

Inclua no DPIA informações sobre os processadores de dados utilizados. A [**CPFHub.io**](https://www.cpfhub.io/) disponibiliza documentação técnica e contrato de DPA para facilitar o preenchimento dessa seção, com as seguintes garantias:

* Conformidade 100% com a LGPD.
* Criptografia de dados.
* Não armazenamento de dados sensíveis além do necessário.
* SLA de até 99,9% (plano Corporativo).

---

## Perguntas frequentes

### Quando a elaboração de um DPIA é obrigatória para sistemas que processam CPF?
A ANPD pode exigir DPIA sempre que o tratamento representar alto risco para os titulares. Para sistemas de CPF, os cenários de maior risco incluem: processamento em larga escala (acima de 10 mil titulares), uso em decisões automatizadas que impactam direitos (crédito, acesso a serviços) e cruzamento com outras bases de dados. Mesmo quando não obrigatório, o DPIA é recomendado como boa prática de governança.

### O DPIA precisa ser submetido à ANPD?
Não é necessário submeter proativamente — o documento deve ser mantido internamente e apresentado à ANPD somente se solicitado. A LGPD exige que o controlador elabore o DPIA quando necessário (Art. 38) e o disponibilize à autoridade mediante requisição. Manter o documento atualizado e acessível é suficiente para demonstrar conformidade.

### Quais dados retornados pela API de CPF devem ser declarados no DPIA?
Declare todos os dados recebidos da API mesmo que não os armazene: nome completo, data de nascimento e gênero. No campo de retenção, especifique quais desses dados são efetivamente armazenados e por quanto tempo — a minimização (armazenar apenas o necessário) deve ser documentada como medida de mitigação de risco.

### Como atualizar o DPIA quando a API de CPF muda de versão ou fornecedor?
Qualquer alteração relevante no tratamento exige revisão do DPIA: mudança de fornecedor, alteração nos dados retornados, novo contrato de DPA ou mudança no volume de consultas. Documente a data da revisão, o motivo da mudança e as novas medidas de segurança adotadas. Manter um histórico de versões do documento facilita auditorias futuras.

### Leia também

- [Diferença entre validação de CPF e consulta de CPF: quando usar cada uma](https://cpfhub.io/blog/diferenca-entre-validacao-de-cpf-e-consulta-de-cpf-quando-usar-cada-uma)
- [API de CPF grátis para desenvolvedores: como começar em 5 minutos](https://cpfhub.io/blog/api-cpf-gratis-desenvolvedores-comecar-5-minutos)
- [Onboarding digital em fintechs: como validar CPF em menos de 30 segundos](https://cpfhub.io/blog/onboarding-digital-em-fintechs-como-validar-cpf-em-menos-de-30-segundos)
- [KYC no Brasil: quais setores são obrigados a validar CPF por lei](https://cpfhub.io/blog/kyc-no-brasil-quais-setores-sao-obrigados-a-validar-cpf-por-lei)

---

## Conclusão

A elaboração de um DPIA para sistemas que processam CPF é uma prática essencial de governança de dados que demonstra maturidade em proteção de dados e conformidade com a LGPD. Ao documentar o tratamento de dados, identificar riscos e implementar medidas de mitigação, a organização protege tanto os titulares dos dados quanto a si mesma.

A [**CPFHub.io**](https://www.cpfhub.io/) simplifica a documentação do seu DPIA: fornece contrato de DPA, garante criptografia em trânsito, não armazena dados sensíveis além do necessário e oferece SLA documentado — reduzindo o escopo de riscos que precisam ser mitigados pelo seu time.

Cadastre-se em [cpfhub.io](https://www.cpfhub.io/) — 50 consultas mensais gratuitas, sem cartão de crédito — e implemente validação de CPF com o respaldo de um fornecedor preparado para o seu DPIA hoje mesmo.