# Retargeting Seguro: Como Usar Dados Validados de CPF sem Violar a LGPD

> Saiba como utilizar dados validados de CPF em estratégias de retargeting sem violar a LGPD, mantendo conformidade e eficácia nas campanhas.

**Publicado:** 15/07/2024
**Autor:** Redação CPFHub.io
**URL:** https://cpfhub.io/blog/retargeting-seguro-dados-validados-cpf-lgpd

---


Para usar dados validados de CPF em retargeting sem violar a LGPD, pseudonimize o CPF com hash SHA-256 antes de enviá-lo a plataformas de anúncios, colete consentimento granular separando validação antifraude de marketing personalizado, e implemente opt-out em tempo real que propague a exclusão dos hashes para todas as audiências ativas. Com essa abordagem, é possível aumentar a precisão das campanhas e manter conformidade legal simultaneamente.

## Introdução

O retargeting é uma das estratégias mais eficazes do marketing digital, mas quando envolve dados pessoais como o CPF, a conformidade com a LGPD se torna uma preocupação central. Utilizar dados validados de CPF para segmentar audiências pode aumentar significativamente a precisão das campanhas, porém exige cuidados rigorosos para não violar a legislação brasileira de proteção de dados.

---

## O que a LGPD diz sobre uso de CPF em marketing

A LGPD ([Lei 13.709/2018](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm)) estabelece regras claras sobre o tratamento de dados pessoais, e o CPF é classificado como dado pessoal direto.

| Aspecto da LGPD | Aplicação ao retargeting com CPF |
|---|---|
| Consentimento (Art. 7, I) | Necessário se o CPF for usado para fins de marketing |
| Legítimo interesse (Art. 7, IX) | Possível, mas exige avaliação de impacto (LIA) |
| Finalidade (Art. 6, I) | O uso deve ser compatível com a finalidade original da coleta |
| Necessidade (Art. 6, III) | Usar apenas os dados estritamente necessários |
| Transparência (Art. 6, VI) | O titular deve saber como seus dados são utilizados |
| Eliminação (Art. 16) | Dados devem ser excluídos quando a finalidade se encerrar |

**Consentimento explícito** -- a base legal mais segura para usar CPF em retargeting, mas pode reduzir a base de dados disponível.

**Legítimo interesse** -- permite o uso sem consentimento explícito, mas exige documentação robusta e teste de proporcionalidade.

**Finalidade compatível** -- se o CPF foi coletado para validação antifraude, usá-lo para marketing exige nova base legal.

---

## Estratégias de retargeting compatíveis com a LGPD

Existem abordagens que permitem aproveitar dados validados de CPF sem criar riscos legais.

```javascript
// Exemplo: Criar audiência anonimizada para retargeting
async function criarAudienciaSegura(cpfsValidados) {
 const audiencia = [];

 for (const registro of cpfsValidados) {
 // Consultar dados para segmentação
 const response = await fetch(
 `https://api.cpfhub.io/cpf/${registro.cpf}`,
 { headers: { "x-api-key": "SUA_API_KEY" } }
 );
 const resultado = await response.json();

 if (resultado.success) {
 // Gerar hash irreversível do CPF para matching
 const cpfHash = crypto
 .createHash("sha256")
 .update(resultado.data.cpf + SALT_SECRETO)
 .digest("hex");

 // Extrair apenas atributos demográficos agregados
 audiencia.push({
 id: cpfHash,
 faixaEtaria: calcularFaixaEtaria(resultado.data.birthDate),
 genero: resultado.data.gender,
 segmento: registro.segmentoCompra
 });
 }
 }

 return audiencia;
}
```

**Pseudonimização** -- substituir o CPF por um hash irreversível antes de enviar para plataformas de anúncios.

**Segmentação agregada** -- usar faixa etária e gênero em vez de dados individuais para criar segmentos.

**Audiências semelhantes** -- alimentar plataformas com dados anonimizados para gerar lookalike audiences sem expor CPFs.

---

## Modelo de consentimento granular

Para utilizar dados de CPF em retargeting com segurança jurídica, implementar consentimento granular é a abordagem mais recomendada.

```javascript
const opcoesConsentimento = {
 validacaoAntifraude: {
 obrigatorio: true,
 descricao: "Validação de identidade para segurança da transação",
 baseLegal: "execução de contrato"
 },
 comunicacaoTransacional: {
 obrigatorio: true,
 descricao: "Comunicações sobre status do pedido",
 baseLegal: "execução de contrato"
 },
 marketingPersonalizado: {
 obrigatorio: false,
 descricao: "Ofertas personalizadas baseadas no seu perfil",
 baseLegal: "consentimento"
 },
 retargetingPlataformas: {
 obrigatorio: false,
 descricao: "Exibição de anúncios relevantes em outras plataformas",
 baseLegal: "consentimento"
 }
};
```

| Tipo de consentimento | Obrigatório | Base legal | Revogável |
|---|---|---|---|
| Validação antifraude | Sim | Execução de contrato | Não durante a transação |
| Comunicação transacional | Sim | Execução de contrato | Não durante o pedido |
| Marketing personalizado | Não | Consentimento | Sim, a qualquer momento |
| Retargeting em plataformas | Não | Consentimento | Sim, a qualquer momento |

---

## Implementando o opt-out e direitos do titular

A LGPD garante ao titular o direito de revogar o consentimento a qualquer momento, e o sistema deve estar preparado para isso.

**Canal de opt-out acessível** -- link de descadastro em todas as comunicações e painel do cliente para gerenciar preferências.

**Processamento em tempo real** -- a revogação deve refletir nas campanhas imediatamente, não no próximo ciclo.

**Eliminação efetiva** -- ao revogar consentimento para retargeting, o hash do CPF deve ser removido das audiências.

**Registro de revogação** -- manter log de quando e como o consentimento foi revogado para fins de auditoria.

**Propagação para terceiros** -- se dados foram compartilhados com plataformas de anúncios, a exclusão deve ser propagada.

---

## Métricas de conformidade e performance

Monitorar a conformidade é tão importante quanto monitorar a performance das campanhas.

| Métrica | Descrição | Meta |
|---|---|---|
| Taxa de consentimento | Percentual de clientes que aceitam retargeting | > 40% |
| Taxa de opt-out | Percentual de clientes que revogam | < 5% ao mês |
| Tempo de propagação | Tempo para remover dados após opt-out | < 24 horas |
| Cobertura da audiência | Percentual da base elegível para retargeting | > 35% |
| ROAS da audiência validada | Retorno sobre investimento em anúncios | > 4x |
| Incidentes de dados | Violações ou reclamações relacionadas | 0 |

**Auditoria trimestral** -- revisar periodicamente se as práticas de retargeting estão em conformidade com a LGPD.

**Relatório de impacto** -- manter o relatório de impacto à proteção de dados (RIPD) atualizado para o tratamento de CPF em marketing.

**Treinamento da equipe** -- garantir que as equipes de marketing e tecnologia compreendam as obrigações legais.

---

## Perguntas frequentes

### Posso usar o CPF coletado na etapa de checkout para criar audiências de retargeting?

Não diretamente. Se o CPF foi coletado com base legal de "execução de contrato" (para validação antifraude ou emissão de nota fiscal), usá-lo para marketing exige uma nova base legal — preferencialmente consentimento explícito. Implemente o modelo de consentimento granular no momento do cadastro, separando as finalidades de uso desde o início.

### O hash SHA-256 do CPF é considerado dado pessoal pela LGPD?

Depende do contexto. Se o hash pode ser revertido ou se a empresa mantém a tabela de mapeamento CPF → hash, ele ainda é considerado dado pessoal pseudonimizado. Para fins de conformidade, trate hashes de CPF com as mesmas salvaguardas que o dado original: controle de acesso, registro de tratamento e prazo de eliminação.

### Quais plataformas de anúncios aceitam listas de CPF (ou hash) para retargeting?

As principais plataformas do mercado aceitam identificadores em formato hash (SHA-256) para criação de audiências personalizadas — desde que a empresa declare que coletou os dados com consentimento adequado. A validação via CPFHub.io permite enriquecer essas listas com atributos demográficos (faixa etária, gênero) antes de enviá-las, aumentando a qualidade da segmentação.

### Como documentar o uso de CPF em retargeting para uma eventual auditoria da ANPD?

Mantenha um registro de atividades de tratamento (RAT) que inclua: finalidade do uso, base legal, período de retenção dos dados, destinatários (plataformas de anúncios) e mecanismo de opt-out disponível. A [ANPD](https://www.gov.br/anpd) pode solicitar esse documento em caso de investigação ou reclamação de titular.

### Leia também

- [LGPD: CPF é dado pessoal sensível ou não? Entenda a classificação correta](https://cpfhub.io/blog/lgpd-cpf-e-dado-pessoal-sensivel-ou-nao-entenda-a-classificacao-correta)
- [Vazamento de CPF: responsabilidades da empresa e como prevenir](https://cpfhub.io/blog/vazamento-de-cpf-responsabilidades-da-empresa-e-como-prevenir)
- [KYC no Brasil: quais setores são obrigados a validar CPF por lei](https://cpfhub.io/blog/kyc-no-brasil-quais-setores-sao-obrigados-a-validar-cpf-por-lei)
- [Como atender às exigências do COAF para PLD/FT usando validação de CPF](https://cpfhub.io/blog/como-atender-as-exigencias-do-coaf-para-pld-ft-usando-validacao-de-cpf)

---

## Conclusão

Utilizar dados validados de CPF em estratégias de retargeting é possível e eficaz, desde que a conformidade com a LGPD seja tratada como prioridade. A pseudonimização, o consentimento granular e o respeito aos direitos do titular são pilares fundamentais para extrair valor dos dados sem criar riscos legais. Com a abordagem correta, é possível aumentar a precisão das campanhas e, ao mesmo tempo, fortalecer a confiança do cliente na marca.

Cadastre-se em [cpfhub.io](https://www.cpfhub.io/) — 50 consultas mensais gratuitas, sem cartão de crédito — e construa audiências de retargeting mais precisas com dados de CPF validados e conformes à LGPD.