Introdução
A Lei Geral de Proteção de Dados (LGPD) estabelece regras rigorosas sobre o tratamento de dados pessoais no Brasil. Ao usar APIs de CPF, é fundamental garantir que você está em conformidade com a legislação. Este guia mostra como usar a API CPF Nacional de forma segura e legal.
Princípios da LGPD
A LGPD estabelece 10 princípios fundamentais que devem ser seguidos:
- Finalidade: Use os dados apenas para o propósito declarado
- Adequação: Colete apenas dados necessários
- Necessidade: Não colete dados desnecessários
- Livre acesso: Permita que o titular acesse seus dados
- Qualidade dos dados: Mantenha dados atualizados e precisos
- Transparência: Informe claramente como os dados são usados
- Segurança: Proteja os dados contra acessos não autorizados
- Prevenção: Adote medidas preventivas
- Não discriminação: Não use dados para discriminar
- Responsabilização: Demonstre conformidade
Boas Práticas de Segurança
1. Criptografia de Dados
Sempre use HTTPS para comunicação com a API:
// Sempre use HTTPS
const apiUrl = 'https://api.cpf-brasil.org/api.php'; // ✅ Correto
// const apiUrl = 'http://api.cpf-brasil.org/api.php'; // ❌ Incorreto2. Proteção da API Key
Nunca exponha sua chave de API no frontend:
// ❌ NUNCA faça isso no frontend
const apiKey = 'sua-chave-aqui'; // Exposta no código JavaScript
// ✅ Faça isso no backend
// No servidor (PHP, Node.js, etc.)
$apiKey = getenv('CPF_API_KEY'); // Variável de ambiente3. Logs e Auditoria
Registre todas as consultas para auditoria, mas sem armazenar dados sensíveis:
// Exemplo de log seguro
function logarConsulta($cpf, $resultado) {
$log = [
'timestamp' => date('Y-m-d H:i:s'),
'cpf_hash' => hash('sha256', $cpf), // Hash, não o CPF completo
'resultado' => $resultado ? 'valido' : 'invalido',
'ip' => $_SERVER['REMOTE_ADDR']
];
// Salvar em log seguro
file_put_contents('logs/cpf_consultas.log', json_encode($log) . PHP_EOL, FILE_APPEND);
}Conformidade com LGPD
Consentimento do Usuário
Antes de consultar CPF, obtenha consentimento explícito:
- Informe claramente o propósito da consulta
- Explique como os dados serão usados
- Permita que o usuário recuse (quando aplicável)
- Mantenha registro do consentimento
Política de Privacidade
Sua política de privacidade deve incluir:
- Quais dados são coletados (CPF)
- Como os dados são usados
- Com quem os dados são compartilhados (API CPF Nacional)
- Como os dados são protegidos
- Direitos do titular dos dados
Armazenamento de Dados
Não armazene dados completos de CPF:
- Use apenas hash do CPF quando necessário para logs
- Mantenha dados apenas pelo tempo necessário
- Implemente políticas de retenção de dados
- Permita exclusão de dados quando solicitado
Direitos do Titular
Você deve permitir que o titular dos dados:
- Acesse seus dados pessoais
- Corrija dados incorretos
- Solicite exclusão de dados
- Revogue consentimento
- Solicite portabilidade de dados
Conclusão
Usar a API CPF Nacional de forma segura e em conformidade com a LGPD não é apenas uma obrigação legal - é uma demonstração de respeito aos dados dos seus usuários. Siga estas práticas e mantenha seu sistema seguro e legal.
