# Vazamento de CPF: responsabilidades da empresa e como prevenir

> Entenda as responsabilidades legais da empresa em caso de vazamento de CPF, as penalidades da LGPD e como prevenir incidentes de segurança.

**Publicado:** 18/03/2024
**Autor:** Redação CPFHub.io
**URL:** https://cpfhub.io/blog/vazamento-de-cpf-responsabilidades-da-empresa-e-como-prevenir

---


## Introdução

Em caso de vazamento de CPF, a empresa tem obrigação legal de notificar a [ANPD](https://www.gov.br/anpd) e os titulares afetados em prazo definido pela LGPD: a omissão agrava a penalidade. A prevenção começa por limitar o acesso ao CPF apenas a quem precisa, criptografar dados em repouso e trânsito, e auditar logs de acesso regularmente.

Vazamentos de dados contendo CPFs de milhões de brasileiros se tornaram notícia recorrente nos últimos anos. Esses incidentes expõem empresas a multas pesadas, processos judiciais, danos reputacionais e perda de confiança dos clientes. Com a LGPD (Lei Geral de Proteção de Dados) em plena vigência e a ANPD (Autoridade Nacional de Proteção de Dados) cada vez mais ativa na aplicação de sanções, compreender as responsabilidades legais e implementar medidas preventivas é uma obrigação de toda empresa que trata dados de CPF.

---

## O cenário dos vazamentos de CPF no Brasil

O Brasil está entre os países com maior número de incidentes de vazamento de dados pessoais. Alguns dos casos mais relevantes envolveram a exposição de bases com centenas de milhões de CPFs, acompanhados de nomes, datas de nascimento, endereços e dados financeiros.

### Causas comuns de vazamentos

* **Falhas de segurança em aplicações** -- Vulnerabilidades como SQL injection, APIs sem autenticação e servidores mal configurados permitem o acesso não autorizado a bases de dados.

* **Armazenamento inadequado** -- Bancos de dados sem criptografia, backups expostos na internet e arquivos de log com dados pessoais em texto puro.

* **Acesso interno indevido** -- Funcionários ou prestadores de serviço com acesso excessivo aos dados, sem controle ou monitoramento adequado.

* **Engenharia social** -- Ataques de phishing que comprometem credenciais de acesso a sistemas internos.

* **Fornecedores inseguros** -- Empresas terceirizadas que tratam dados de CPF sem os controles de segurança necessários.

---

## Responsabilidades legais da empresa

### A LGPD e a responsabilidade do controlador

A LGPD (Lei n. 13.709/2018) define que o controlador dos dados (a empresa que coleta e decide sobre o tratamento) é responsável por garantir a segurança das informações. Em caso de vazamento, a empresa pode ser responsabilizada mesmo que a falha tenha ocorrido em um fornecedor (operador de dados).

### Artigos relevantes da LGPD

* **Art. 46** -- Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração ou comunicação.

* **Art. 48** -- O controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

* **Art. 52** -- Os agentes de tratamento que violarem as normas da LGPD ficam sujeitos a sanções administrativas.

### Penalidades previstas

| Sanção | Detalhes |
| --- | --- |
| Advertência | Com prazo para correção |
| Multa simples | Até 2% do faturamento (limitado a R$ 50 milhões por infração) |
| Multa diária | Para garantir cumprimento de medida corretiva |
| Publicização da infração | Divulgação pública do incidente |
| Bloqueio de dados | Suspensão do tratamento dos dados envolvidos |
| Eliminação de dados | Obrigação de excluir os dados objeto da infração |
| Suspensão de banco de dados | Até 6 meses, prorrogável |

### Responsabilidade civil

Além das sanções administrativas, a empresa pode ser acionada judicialmente pelos titulares afetados por meio de ações individuais ou coletivas, com pedidos de indenização por danos morais e materiais.

---

## Como prevenir vazamentos de CPF

### 1. Minimize o armazenamento de dados

O princípio da minimização da LGPD determina que a empresa deve coletar e armazenar apenas os dados estritamente necessários para a finalidade declarada.

**Prática recomendada:** Em vez de armazenar CPFs e dados cadastrais permanentemente, considere consultar os dados em tempo real via API quando necessário e descartar após o uso. A API da [**CPFHub.io**](https://www.cpfhub.io/) opera nesse modelo: cada consulta é feita sob demanda e os dados não são retidos após a resposta.

### 2. Criptografe dados em repouso e em trânsito

* **Em trânsito** -- Use TLS 1.2 ou superior para todas as comunicações. A API da CPFHub.io utiliza HTTPS com criptografia TLS.

* **Em repouso** -- Criptografe campos de CPF no banco de dados usando algoritmos como AES-256.

### 3. Implemente controle de acesso rigoroso

* **Princípio do menor privilégio** -- Cada funcionário ou sistema deve ter acesso apenas aos dados necessários para sua função.

* **Autenticação multifator** -- Exija MFA para acesso a sistemas que contêm dados de CPF.

* **Logs de acesso** -- Registre todas as consultas a dados de CPF para rastreabilidade.

### 4. Proteja suas APIs

Se sua aplicação possui APIs que retornam dados de CPF:

* **Autenticação obrigatória** -- Nunca exponha endpoints que retornam dados pessoais sem autenticação.

* **Rate limiting** -- Limite o número de requisições por período para prevenir scraping.

* **Validação de input** -- Sanitize todos os inputs para prevenir ataques de injeção.

### 5. Gerencie fornecedores com critério

Ao utilizar APIs de terceiros para consulta de CPF, escolha fornecedores que operem em conformidade com a LGPD. A [**CPFHub.io**](https://www.cpfhub.io/) opera em conformidade com a LGPD, com criptografia em trânsito, política de retenção de logs documentada e suporte a DPA (Data Processing Agreement).

### 6. Tenha um plano de resposta a incidentes

Mesmo com todas as medidas preventivas, um plano de resposta a incidentes é essencial:

* **Detecção** -- Sistemas de monitoramento que identifiquem acessos anômalos.
* **Contenção** -- Procedimentos para isolar o incidente e evitar ampliação.
* **Comunicação** -- Processo para notificar a ANPD e os titulares conforme exigido pelo Art. 48 da LGPD.
* **Remediação** -- Correção da vulnerabilidade e restauração dos controles.
* **Análise pós-incidente** -- Documentação do ocorrido e lições aprendidas.

---

## A abordagem da consulta sob demanda

Uma das formas mais eficazes de reduzir o risco de vazamento de CPF é não armazenar os dados em primeiro lugar. A consulta sob demanda via API permite que a empresa valide um CPF no momento em que precisa, sem manter uma base local de dados cadastrais.

### Exemplo de consulta sob demanda

```bash
curl -X GET https://api.cpfhub.io/cpf/12345678900 \
 -H "x-api-key: SUA_CHAVE_DE_API" \
 -H "Accept: application/json"
```

```json
{
 "success": true,
 "data": {
 "cpf": "12345678900",
 "name": "Gabriela Mendes Silva",
 "nameUpper": "GABRIELA MENDES SILVA",
 "gender": "F",
 "birthDate": "09/04/1993",
 "day": 9,
 "month": 4,
 "year": 1993
 }
}
```

### Vantagens da consulta sob demanda

* **Redução de risco** -- Sem base local de CPFs, não há base para ser vazada.

* **Dados sempre atualizados** -- Cada consulta retorna os dados mais recentes, com atualização diária.

* **Conformidade simplificada** -- Menos dados armazenados significa menos obrigações de segurança e menor superfície de ataque.

---

## Checklist de prevenção

* Dados de CPF criptografados em repouso e em trânsito.
* Acesso a dados de CPF controlado por princípio do menor privilégio.
* Autenticação multifator para sistemas com dados pessoais.
* Logs de acesso a dados de CPF implementados e monitorados.
* APIs protegidas com autenticação e rate limiting.
* Fornecedores avaliados quanto à conformidade LGPD.
* Plano de resposta a incidentes documentado e testado.
* Dados de CPF coletados apenas quando necessário (minimização).
* Política de retenção de dados definida e aplicada.
* Treinamento de equipe sobre proteção de dados.

---

## Perguntas frequentes

### Em quanto tempo uma empresa deve notificar a ANPD sobre vazamento de CPF?
A LGPD não define prazo exato, mas a ANPD emitiu resolução estabelecendo o prazo de 3 dias úteis para comunicação preliminar de incidentes com potencial risco ou dano relevante aos titulares. O relatório completo deve ser entregue em até 20 dias úteis. Atrasos na notificação aumentam as penalidades.

### Quais penalidades a LGPD prevê para vazamento de CPF?
Advertência, multa de até 2% do faturamento (limite de R$50 milhões por infração), publicização da infração, bloqueio ou eliminação dos dados envolvidos e suspensão parcial do banco de dados. A ANPD considera a cooperação da empresa e a rapidez da notificação como atenuantes.

### Como as empresas devem armazenar CPFs para minimizar risco de vazamento?
Criptografia em repouso (AES-256 ou equivalente), hash com salt para comparações sem expor o valor real, tokenização para sistemas que não precisam do CPF completo, controle de acesso por princípio do mínimo privilégio e logs de auditoria de quem acessou o dado e quando.

### Um vazamento de CPF na API de validação tem responsabilidade diferente?
O fornecedor da API (operador) e a empresa que a usa (controladora) têm responsabilidades distintas. O controlador responde pelos dados que enviou à API; o operador pela segurança do processamento. Contratos de DPA (Data Processing Agreement) devem definir claramente as responsabilidades de cada parte em caso de incidente.

### Leia também

- [LGPD: CPF é dado pessoal sensível ou não? Entenda a classificação correta](https://cpfhub.io/blog/lgpd-cpf-e-dado-pessoal-sensivel-ou-nao-entenda-a-classificacao-correta)
- [Exigências da ANPD para dados de CPF via APIs](https://cpfhub.io/blog/exigencias-da-anpd-para-tratamento-de-dados-de-cpf-via-apis-de-terceiros)
- [KYC no Brasil: quais setores são obrigados a validar CPF por lei](https://cpfhub.io/blog/kyc-no-brasil-quais-setores-sao-obrigados-a-validar-cpf-por-lei)
- [Como atender às exigências do COAF para PLD/FT usando validação de CPF](https://cpfhub.io/blog/como-atender-as-exigencias-do-coaf-para-pld-ft-usando-validacao-de-cpf)

---

## Conclusão

Vazamentos de CPF trazem consequências graves para empresas, incluindo multas de até R$ 50 milhões, processos judiciais e perda de confiança dos clientes. A prevenção exige uma abordagem abrangente que inclui criptografia, controle de acesso, minimização de dados e uso de fornecedores confiáveis. A API da [**CPFHub.io**](https://www.cpfhub.io/) contribui para essa estratégia ao minimizar o armazenamento de dados cadastrais e operar com todas as garantias exigidas pela LGPD. Acesse [cpfhub.io](https://www.cpfhub.io/) para começar a usar gratuitamente.