LGPD, CPF e a blindagem que a maioria não faz

Existe uma confusão comum que custa caro: achar que, porque a LGPD existe, os seus dados estão protegidos. A lei te dá direitos, mas o exercício deles é reativo, ou seja, você só aciona depois que algo deu errado. A prevenção é outra história, e ela depende de você.

Este artigo cobre o essencial da LGPD: o que é, de onde veio, o que protege e como acionar seus direitos. Esclarece a diferença entre dado sensível e dado pessoal comum e, no final, traz um passo a passo concreto de blindagem. O foco prático é a jornada do CPF: o documento que, sozinho, não é classificado como sensível pela lei, mas que abre praticamente todas as portas para fraude no Brasil.

O que é a LGPD (e de onde ela veio)

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709) foi sancionada em 14 de agosto de 2018. Ela nasceu inspirada no GDPR europeu (o Regulamento Geral de Proteção de Dados da União Europeia, em vigor desde maio de 2018) e estabelece regras sobre como organizações — públicas e privadas — podem coletar, usar, armazenar, compartilhar e descartar dados pessoais.

A trajetória até virar a lei que conhecemos hoje teve marcos importantes:

2018 — sanção da Lei nº 13.709.
2019 — a Lei nº 13.853 cria a ANPD (Autoridade Nacional de Proteção de Dados), o órgão responsável por fiscalizar e aplicar sanções.
Setembro de 2020 — entram em vigor as regras gerais da lei.
Agosto de 2021 — passam a valer as sanções administrativas, encerrando o período inicial puramente orientativo.
Fevereiro de 2022 — a Emenda Constitucional nº 115 inclui a proteção de dados pessoais entre os direitos e garantias fundamentais (art. 5º, inciso LXXIX da Constituição). A partir daí, privacidade de dados deixa de ser apenas uma política e vira matéria constitucional.

Vale a leitura direta da fonte: texto integral da LGPD no Planalto.

Para quem vem de governança de TI, é útil enxergar a LGPD como um framework de controle aplicado a um ativo específico — o dado pessoal. A lógica é a mesma de qualquer modelo de gestão de serviço: definir responsabilidades, exigir base para cada ação, registrar o que acontece e ter um caminho claro de tratamento quando algo sai do esperado.

Quem e o que a lei protege

A LGPD protege o titular dos dados: qualquer pessoa natural a quem os dados se referem (você, eu, qualquer cidadão). O objeto protegido é o dado pessoal, definido como toda informação relacionada a uma pessoa identificada ou identificável.

Do outro lado estão os agentes de tratamento, que têm obrigações:

O controlador, que decide como e por que os dados serão tratados.
O operador, que trata os dados em nome do controlador.

Um princípio central da lei é que todo tratamento de dado precisa de base legal. Não existe coleta "porque sim". A empresa que pede o seu CPF tem que estar amparada em uma das hipóteses previstas na lei, consentimento, cumprimento de obrigação legal, execução de contrato, legítimo interesse, entre outras.

Como acionar seus direitos

O artigo 18 da LGPD lista os direitos do titular. Os mais usados na prática:

Confirmação e acesso — saber se uma empresa trata seus dados e obter uma cópia deles.
Correção — exigir que dados incompletos, inexatos ou desatualizados sejam corrigidos.
Eliminação — pedir a exclusão de dados tratados com base no seu consentimento.
Portabilidade — solicitar a transferência dos seus dados a outro fornecedor.
Informação sobre compartilhamento — saber com quem a empresa compartilhou seus dados.
Revogação do consentimento — voltar atrás de uma autorização dada anteriormente.

O caminho prático para exercer esses direitos é direto:

Procure o canal de privacidade da empresa. Empresas que tratam dados em escola relevante devem ter um Encarregado (DPO) e um canal de contato para titulares — normalmente um e-mail de privacidade ou um formulário no site.
Faça o pedido por escrito, especificando qual direito você está exercendo (cite o artigo 18 e o inciso correspondente).
Se não houver resposta adequada, registre reclamação na ANPD, pelo portal gov.br/anpd.

Dado sensível x dado pessoal comum

Aqui mora um dos pontos mais mal compreendidos da lei — e o que dá nome a este artigo.

A LGPD divide os dados pessoais em duas categorias com níveis de proteção diferentes:

Dado pessoal comum é a informação geral sobre você. Nome, e-mail, telefone, endereço e — atenção — o CPF. A lei trata o CPF na mesma categoria do nome e do e-mail.

Dado pessoal sensível é uma categoria especial, com proteção reforçada, que abrange informações capazes de gerar discriminação. A lei lista de forma fechada: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso/filosófico/político, dado referente à saúde, à vida sexual, dado genético e dado biométrico. O tratamento desses dados exige bases legais mais restritas.

A confusão começa aqui: o CPF não é dado sensível pela letra da lei. Mas "não sensível" está longe de significar "inofensivo". A classificação jurídica mede o potencial de discriminação, não o potencial de fraude. E é exatamente no potencial de fraude que o CPF é perigoso.

Por que nome + CPF já bastam para muita coisa

Com apenas o seu nome e o seu CPF — dois dados "comuns" —, um golpista consegue tentar:

Abrir conta em fintech ou banco digital.
Solicitar crédito e empréstimos.
Registrar um CNPJ ou MEI laranja no seu nome.
Iniciar um SIM swap (clonagem de chip) na operadora.

Os golpes mais comuns que partem do CPF seguem esse roteiro:

Abertura de crédito e contas fraudulentas.
Troca de chip via SIM swap, para interceptar códigos de autenticação por SMS.
CNPJ e MEI laranja registrados no seu nome.
Phishing com CPF parcial, usado para ganhar confiança ("confirme os últimos dígitos…").
Fraude no Open Finance e cadastro em plataformas de apostas ilegais.

A assimetria é o problema: os golpistas sabem disso há muito tempo. A maioria das pessoas, não.

A importância da LGPD hoje — e os resultados que já aparecem

O Brasil chegou à LGPD vindo de um histórico ruim. Os megavazamentos de 2021 expuseram dados de centenas de milhões de CPFs, deixando claro que a existência da lei, por si só, não estanca incidentes. O que mudou desde então não foi o volume de tentativa de fraude — foi a accountability: a obrigação de responder por isso.

Alguns resultados concretos, com as devidas datas, porque esse cenário evolui rápido:

Primeira multa aplicada (julho de 2023). A ANPD multou a empresa Telekall Infoservice em R$ 14.400 por tratamento de dados sem base legal. Valor modesto, mas simbólico: encerrou a fase em que a sanção pecuniária era uma hipótese distante. Até meados de 2025, essa seguia como a única sanção pecuniária efetivamente aplicada, com a Autoridade concentrando esforços em advertências e medidas corretivas.
Resolução CD/ANPD nº 15/2024. Empresas passaram a ter 3 dias úteis para comunicar incidentes de segurança relevantes, reduzindo o tempo entre o vazamento e a resposta. Outras resoluções de 2024 detalharam a atuação do Encarregado (DPO) e as transferências internacionais de dados — parâmetros técnicos que faltavam para caracterizar falhas.
Deliberação CD-10/2025. A ANPD passou a prever multas diárias em caso de descumprimento de medidas cautelares, reforçando o caráter preventivo.
STJ, setembro de 2025. O Superior Tribunal de Justiça decidiu que a disponibilização indevida de dados pessoais por agência de crédito, sem consentimento ou comunicação ao titular, gera dano moral presumido — ou seja, o titular não precisa provar o prejuízo para ter direito à reparação.

O sentido da curva é claro: a fase pedagógica está terminando e a fiscalização está se estruturando. Para empresas, isso significa que conformidade saiu do campo do "boa prática" para o de "risco financeiro e reputacional concreto". Para o cidadão, significa um arcabouço de direitos cada vez mais exigível — desde que ele saiba usá-lo.

A blindagem na prática: protegendo o seu CPF

Aqui está a parte que realmente protege. A LGPD te dá o direito de reclamar depois; esta seção é sobre fechar as portas antes. Quase tudo abaixo é gratuito e leva poucos minutos.

A ordem segue a lógica da jornada do CPF: primeiro travamos as portas mais exploradas (crédito e abertura de conta), depois fechamos as brechas de autenticação e, por fim, instituímos uma rotina de revisão.

Passo 1 — Trave o CPF no Serasa e no SPC (grátis, ~2 min)

Ative o bloqueio do seu CPF nos birôs de crédito. Sem o desbloqueio ativo feito por você, nenhuma financeira consegue aprovar crédito no seu nome. É a primeira barreira contra empréstimos e contas fraudulentas.

Serasa: pelo app ou site, na função de proteção/bloqueio de CPF.
SPC: pela central de atendimento ao consumidor.

Passo 2 — Ative alertas de consulta no Serasa (grátis)

Com os alertas ligados, você é notificado toda vez que alguém consulta o seu CPF. A anomalia aparece antes do estrago: se um banco onde você nunca pediu nada consultar seu nome, você fica sabendo na hora e age antes de a fraude se concretizar.

Passo 3 — Ative o bloqueio no BC Protege+ (grátis, via gov.br)

Atenção, porque esse ponto mudou recentemente. Por muito tempo a recomendação era usar o Registrato do Banco Central. Hoje é preciso separar duas ferramentas distintas:

Registrato — é o raio-x da sua vida financeira. Lista todas as contas, relacionamentos, empréstimos e chaves Pix vinculadas ao seu CPF. É ferramenta de monitoramento: mostra o que já existe.
BC Protege+ — lançado pelo Banco Central em 1º de dezembro de 2025, é a ferramenta de bloqueio preventivo. Ele impede a abertura de novas contas (corrente, poupança e pagamento pré-pago) no seu CPF ou CNPJ, e bloqueia a inclusão do seu CPF como titular ou representante em contas de terceiros — inclusive em bancos onde você já é cliente.

Como funciona o BC Protege+: todas as instituições financeiras são obrigadas a consultar a base do Banco Central antes de abrir uma conta. Com a proteção ativa, a tentativa é barrada automaticamente, mesmo que o golpista tenha seus documentos em mãos. Você pode desativar temporariamente quando precisar abrir uma conta de verdade, e reativar depois.

Acesso: portal do Banco Central, com login gov.br nos níveis prata ou ouro.
Custo: gratuito.
Recomendação prática: use o Registrato para auditar o que já está vinculado ao seu CPF e o BC Protege+ para travar a porta dali em diante.

Nos primeiros dias de operação, o BC Protege+ já registrava centenas de milhares de ativações e bloqueou tentativas reais de abertura de conta — sinal de que a fraude por conta laranja é muito mais comum do que parece.

Passo 4 — Troque SMS por autenticador TOTP nos bancos (segurança)

O SIM swap derruba a autenticação por SMS: ao clonar seu chip, o golpista recebe os códigos no lugar dela. A solução é migrar a verificação em duas etapas para um autenticador TOTP — aplicativos como Authy ou Google Authenticator, que geram o código localmente no seu aparelho, sem depender da linha telefônica.

Ative o TOTP em todos os bancos, fintechs e serviços críticos que oferecerem a opção. Onde só houver SMS, mantenha — mas trate como o elo mais fraco.

Passo 5 — Revise os CNPJs ligados ao seu CPF (a cada 6 meses)

Consulte, no portal da Receita Federal, quais CNPJs estão vinculados ao seu CPF. É gratuito e direto. Essa revisão semestral pega o registro de empresa laranja antes que ela acumule dívidas ou obrigações no seu nome.

Higiene contínua (dado sensível e não sensível)

Os passos acima focam no CPF, mas a blindagem completa inclui hábitos que protegem todos os seus dados — inclusive os sensíveis:

Nunca informe o CPF em site sem HTTPS ou sem contexto claro. Formulário de promoção e sorteio é, com frequência, coleta de dado disfarçada.
Desconfie de pedidos de dado sensível (saúde, biometria, dados de filhos). Pergunte qual a base legal e a finalidade — você tem esse direito pelo artigo 18.
Minimize o que você entrega. O melhor dado, do ponto de vista de risco, é o que você não forneceu. Se o cadastro não precisa do CPF para funcionar, não dê.
Exerça seus direitos quando algo soar errado. Acesso, correção e exclusão estão a um e-mail de distância; a ANPD está no fim da linha quando a empresa não responde.

O que fica

A LGPD te dá direitos. Mas o exercício deles é reativo — você aciona depois que o problema apareceu. A prevenção é o que de fato protege.

O CPF não é classificado como dado sensível, e isso é tecnicamente correto. O erro é concluir daí que ele é inofensivo. Nome e CPF são suficientes para abrir contas, pedir crédito e clonar chip — e a diferença entre quem é vítima e quem não é, muitas vezes, está em cinco passos gratuitos que levam menos de uma tarde para configurar.

Blindar antes é o que evita o prejuízo. Se este conteúdo foi útil, salve e compartilhe com quem ainda acha que CPF é "dado público, sem risco".

Fontes oficiais e leitura complementar

Conteúdo de caráter informativo, não constitui aconselhamento jurídico. As regras e ferramentas citadas refletem o cenário de junho de 2026 e podem evoluir — consulte sempre a fonte oficial.

Iuri Pereira Veredas.Tech — Governança de TI & IA Aplicada