# Como responder a incidentes de vazamento de dados de CPF conforme a LGPD > Saiba como responder a incidentes de vazamento de dados de CPF conforme a LGPD. Passo a passo para notificação, contenção e prevenção. **Publicado:** 19/03/2026 **Autor:** Redação CPFHub.io **URL:** https://cpfhub.io/blog/responder-incidentes-vazamento-dados-cpf-lgpd --- Quando CPFs são expostos em um incidente de segurança, a empresa tem até 72 horas para comunicar a [ANPD](https://www.gov.br/anpd) e deve notificar os titulares afetados sempre que houver risco relevante. O plano de resposta envolve seis etapas: detecção, contenção, avaliação de impacto, notificação, remediação e análise pós-incidente. A ausência de um procedimento documentado é agravante em sanções previstas no artigo 48 da [LGPD](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm). --- ## O que a LGPD exige em caso de incidente? O artigo 48 da LGPD determina que o controlador deve: 1. **Comunicar a ANPD** -- Em prazo razoável (recomendação: até 72 horas). 2. **Comunicar os titulares** -- Quando o incidente puder acarretar risco ou dano relevante. 3. **Detalhar a natureza do incidente** -- Quais dados foram afetados, volume e medidas tomadas. --- ## Plano de resposta em 6 etapas ### Etapa 1: Detecção e contenção Ao identificar o incidente: * **Isole o sistema afetado** -- Desconecte da rede se necessário. * **Revogue chaves de API comprometidas** -- Se a chave da API de CPF foi exposta, gere uma nova imediatamente no painel. * **Preserve evidências** -- Não apague logs, eles são essenciais para a investigação. ### Etapa 2: Avaliação do impacto Determine: * Quantos CPFs foram expostos? * Quais dados associados vazaram (nome, data de nascimento, gênero)? * Como o incidente ocorreu (falha técnica, ataque, erro humano)? * Há evidência de uso indevido dos dados? ### Etapa 3: Notificação à ANPD A comunicação deve incluir: * Descrição da natureza dos dados afetados. * Número de titulares afetados (estimativa se necessário). * Medidas técnicas e de segurança adotadas. * Riscos relacionados ao incidente. * Medidas de mitigação adotadas. ### Etapa 4: Notificação aos titulares Quando o incidente representar risco relevante, comunique os titulares com: * Descrição clara do que aconteceu. * Quais dados foram afetados. * O que a empresa está fazendo para resolver. * Recomendações para o titular se proteger. * Canal de contato para dúvidas. ### Etapa 5: Remediação * Corrija a vulnerabilidade que causou o incidente. * Rotacione todas as credenciais potencialmente comprometidas. * Revise permissões de acesso. * Implemente controles adicionais de segurança. ### Etapa 6: Análise pós-incidente * Documente todo o incidente e a resposta. * Identifique lições aprendidas. * Atualize o plano de resposta. * Realize treinamentos com a equipe. --- ## Prevenção: como reduzir o risco de vazamento A melhor resposta a um incidente é evitar que ele aconteça. Ao usar APIs de CPF: ### Proteja suas chaves de API * Use variáveis de ambiente -- nunca hardcode no código. * Não commite chaves em repositórios (use `.gitignore` e ferramentas de detecção de secrets). * Rotacione chaves periodicamente. ### Minimize dados armazenados * Não armazene respostas completas da API. * Use data minimization: guarde apenas o necessário. * Mascare CPFs em logs e relatórios. ### Criptografe dados sensíveis * Use HTTPS para todas as chamadas à API (a CPFHub.io já opera apenas via HTTPS). * Criptografe dados de CPF em repouso no banco de dados. ### Implemente controle de acesso * Restrinja quem pode acessar dados de CPF na sua organização. * Use autenticação e autorização granulares. * Registre todos os acessos em audit trail. --- ## Usando a CPFHub.io com segurança A [**CPFHub.io**](https://www.cpfhub.io/) foi projetada para facilitar a conformidade. Entre os recursos disponíveis no painel: * **HTTPS obrigatório** -- Todas as comunicações são criptografadas. * **Autenticação por chave de API** -- Acesso controlado via `x-api-key`. * **Conformidade LGPD** -- 100% aderente às normas de proteção de dados. * **Dashboard de histórico** -- Acompanhe todas as consultas realizadas. * **Gerenciamento de chaves** -- Gere e revogue chaves no painel de controle. --- ## Checklist de resposta a incidentes * Incidente detectado e contido. * Chaves de API comprometidas revogadas. * Impacto avaliado (volume, tipo de dados, causa). * ANPD notificada (até 72h). * Titulares afetados notificados (se aplicável). * Vulnerabilidade corrigida. * Credenciais rotacionadas. * Documentação completa do incidente. * Plano de resposta atualizado. --- ## Perguntas frequentes ### Qual é o prazo para notificar a ANPD após um vazamento de CPFs? A LGPD não define um prazo fixo em horas, mas recomenda comunicação em "prazo razoável". Na prática, a [ANPD](https://www.gov.br/anpd) orienta que o prazo de referência é de até 72 horas a partir do conhecimento do incidente — o mesmo padrão adotado pelo GDPR europeu. Quanto antes a notificação, menor o risco de sanção por omissão. ### O que acontece com a chave de API de CPF comprometida durante um incidente? A chave deve ser revogada imediatamente no painel da CPFHub.io, que permite gerar uma nova chave em segundos. Toda consulta feita com a chave antiga após a revogação é bloqueada automaticamente. Isso impede que um atacante continue extraindo dados de CPF usando credenciais vazadas. ### A empresa é responsável por CPFs que vazaram via API de terceiros? Sim. Sob a LGPD, o controlador responde pelo tratamento de dados independentemente de quem causou a falha técnica. Se a vulnerabilidade esteve em um serviço de API contratado, a empresa deve avaliar responsabilidade solidária e registrar a cadeia de custódia na notificação à ANPD. ### Como manter registros de auditoria das consultas de CPF para uso em incidentes? Registre em audit log imutável: timestamp, CPF consultado (ou hash), sistema de origem, usuário responsável e resultado. Na CPFHub.io, o dashboard de histórico exibe todas as consultas realizadas. Em caso de incidente, esses registros servem de evidência para delimitar o escopo do vazamento. ### Leia também - [Como manter registros de auditoria para consultas de CPF](https://cpfhub.io/blog/como-manter-registros-de-auditoria-para-consultas-de-cpf) - [Privacy impact assessment (PIA): quando é obrigatório para dados de CPF](https://cpfhub.io/blog/privacy-impact-assessment-pia-dados-cpf) - [LGPD e CPF: dado pessoal sensível ou não?](https://cpfhub.io/blog/lgpd-cpf-e-dado-pessoal-sensivel-ou-nao-entenda-a-classificacao-correta) - [KYC no Brasil: quais setores são obrigados a validar CPF por lei](https://cpfhub.io/blog/kyc-no-brasil-quais-setores-sao-obrigados-a-validar-cpf-por-lei) --- ## Conclusão Ter um **plano de resposta a incidentes** é obrigatório para qualquer empresa que trata dados de CPF. A LGPD exige notificação à ANPD e aos titulares, além de medidas de contenção e remediação documentadas. O tempo de resposta importa: quanto mais rápido o isolamento e a comunicação, menor o dano — regulatório e reputacional. A prevenção, no entanto, continua sendo o melhor caminho. Proteger chaves de API com variáveis de ambiente, minimizar dados armazenados e criptografar informações sensíveis reduz drasticamente a superfície de ataque. A [**CPFHub.io**](https://www.cpfhub.io/) oferece HTTPS obrigatório, gerenciamento de chaves no painel e histórico completo de consultas — recursos que facilitam tanto a prevenção quanto a resposta a incidentes. Comece agora com 50 consultas gratuitas por mês, sem cartão de crédito.