Qué es el CPF
El CPF (Cadastro de Pessoas Físicas) es el número de registro tributario de las personas físicas de Brasil, compuesto por 11 dígitos, con un formato como 123.456.789-00. Todo ciudadano brasileño y todo extranjero con residencia legal tiene un CPF. El CPF es el principal identificador de identidad en Brasil: se necesita para abrir una cuenta bancaria, firmar contratos, comprar o alquilar una vivienda, acudir al médico o solicitar prestaciones. En el comercio electrónico en Brasil también es muy común que el consumidor proporcione su CPF al hacer un pedido para poder deducir la factura.
A diferencia del CNPJ, el CPF está estrictamente protegido por la Ley General de Protección de Datos de Brasil (LGPD, Lei Geral de Proteção de Dados, vigente desde 2020). La LGPD es la versión brasileña del RGPD, con multas por incumplimiento de hasta el 2 % de la facturación anual (con un tope de R$ 50 millones). Antes de llamar a la API Consulta CPF, debe definir claramente la finalidad de uso (finalidade) y la base legal (base legal).
Qué es una "base legal"
La LGPD enumera 10 bases legales para el tratamiento de datos personales. Las llamadas a Consulta CPF suelen basarse en los siguientes escenarios:
- Consentimiento del cliente (consentimento): el usuario consiente expresamente, en los términos de registro, que usted consulte su CPF.
- Ejecución de contrato: etapas del negocio que requieren obligatoriamente el CPF, como facturación, entrega o reembolso.
- Obligación legal: cuando la ley exige la identificación real (por ejemplo, en operaciones financieras, de telecomunicaciones o con entidades gubernamentales).
- Interés legítimo (legítimo interesse): antifraude, revisión de cumplimiento, evaluación crediticia, etc.
Antes de cada llamada debe declarar la finalidad de uso en la solicitud, y la plataforma de TF Fiscal registra automáticamente esta declaración como evidencia de auditoría.
Capacidades clave de la API Consulta CPF de TF Fiscal
1. Datos conectados directamente con la Receita Federal
Conexión con el centro de datos de la Receita Federal a través del canal oficial autorizado de SERPRO, con 100 % de autoridad.
2. Campos devueltos
- Nome Completo (nombre completo)
- Data de Nascimento (fecha de nacimiento)
- Situação Cadastral (situación registral: Regular / Suspensa / Cancelada / Pendente / Nula)
- Data Inscrição (fecha de emisión del CPF)
3. Paquete de llamada con cumplimiento LGPD
Cada llamada debe incluir:
- Finalidad de uso (finalidade, por ejemplo "validação para emissão de NF-e").
- Base legal (base legal, elegida entre las 10 opciones enumeradas por la LGPD).
- Identificador del sistema de negocio que realiza la llamada (para trazabilidad).
La plataforma registra automáticamente un log de auditoría que se conserva de forma permanente, para futuras revisiones de la ANPD (Autoridad Nacional de Protección de Datos de Brasil).
4. Cifrado a nivel de campo
El CPF y los campos sensibles devueltos, como el nombre, se cifran a nivel de campo (AES-256) tanto en la transmisión como en el almacenamiento. Se recomienda que, tras recibirlos, el cliente los procese de inmediato y no almacene el CPF original a largo plazo.
5. Atención a los derechos del titular de los datos
El titular de un CPF en Brasil tiene derecho a conocer, corregir y eliminar sus propios datos. TF Fiscal ofrece una API complementaria para que usted reciba y atienda estas solicitudes. Vea la Pasarela de datos con cumplimiento LGPD.
Modelo de tarifas
- Cobro por consulta: R$ 0,40 por consulta.
- Paquetes prepagos: 1.000 consultas por R$ 360 (R$ 0,36 por unidad); 10.000 consultas por R$ 3.000 (R$ 0,30 por unidad).
- Plantillas de cumplimiento LGPD: gratuitas (modelo de acuerdo de registro, modelo de política de privacidad, interfaz de consulta del log de auditoría).
- Log de auditoría de cumplimiento: conservación permanente y exportación gratuita.
- Soluciones personalizadas para grandes empresas: para clientes con alto volumen de consultas, operaciones complejas o requisitos de SLA dedicado, ofrecemos un servicio a medida uno a uno: precios por paquete anual / por línea de negocio / por sector, con gerente de cuenta dedicado, pool de recursos independiente, soporte técnico prioritario y paquete de auditoría de cumplimiento LGPD. Contacte con ventas para obtener una cotización →
Escenarios de uso típicos
- Verificación de la identidad de vendedores brasileños en plataformas C2C transfronterizas: evita la suplantación de identidad.
- Verificación del receptor de un cobro PIX: comprueba el nombre del receptor antes de transferir (para prevenir el fraude por PIX, muy frecuente en Brasil).
- Firma de contratos de alquiler / con identificación real: alquiler de vivienda, alquiler de coches, apartamentos de alquiler de larga estancia, etc.
- Apertura de cuentas financieras / de seguros: verificación KYC del cliente.
- Destinatarios anómalos en pedidos de comercio electrónico: segunda confirmación cuando el domicilio y el CPF del destinatario no coinciden.
- Deducción de impuestos mediante NF-e: verificación del nombre cuando el consumidor solicita "emitir la factura a mi CPF".
Avisos importantes de cumplimiento
- ❌ No lo use para envíos de marketing (salvo consentimiento expreso del usuario).
- ❌ No construya perfiles de usuario ni identificación de grupos.
- ❌ No cruce ni combine el CPF con otras bases de datos.
- ❌ No almacene el CPF original más allá del periodo necesario para el negocio.
- ✅ Debe informar al usuario de la finalidad de uso.
- ✅ Debe contar con una política de privacidad accesible.
- ✅ Debe ofrecer un canal para la eliminación de datos.
- ✅ En caso de fuga de datos, debe notificar a la ANPD en un plazo de 72 horas.
Preguntas frecuentes
P: ¿Podemos guardar el CPF en nuestra propia base de datos?
Sí, pero debe existir una base legal y un plazo de conservación. Se recomienda almacenamiento cifrado + limpieza automática. La LGPD no prohíbe el almacenamiento, pero sí la "conservación prolongada sin finalidad".
P: Si un usuario solicita eliminar su información de CPF, ¿estamos obligados a hacerlo?
Sí, es un "derecho del titular de los datos" otorgado por el artículo 18 de la LGPD. Salvo que la ley exija su conservación (por ejemplo, los registros tributarios deben conservarse 5 años), en los demás casos debe eliminarse.
P: ¿Cuánto es la multa por incumplir la LGPD?
La multa máxima es el 2 % de la facturación anual, con un tope de R$ 50 millones. Además existen sanciones administrativas como publicación del incumplimiento, órdenes de corrección y suspensión de la actividad.
P: ¿Puede la matriz acceder al CPF de los usuarios brasileños?
Sí, pero se considera una transferencia internacional de datos y debe cumplir los requisitos del artículo 33 de la LGPD (un nivel de protección de datos equivalente en el país receptor, o el consentimiento expreso del usuario). La
Pasarela LGPD de TF Fiscal ofrece auditoría de cumplimiento de transferencias internacionales.
Soluciones relacionadas