ALC | LGPD em Sistemas
PDF gratuito →
Integrações

LGPD em APIs e integrações: o ponto cego da maioria das empresas

APIs enviam dados pessoais para sistemas externos constantemente. A empresa muitas vezes não sabe quais dados fluem para onde. Esse ponto cego é um dos maiores riscos de conformidade LGPD.

Por Anderson Chipak · ALC · Atualizado abr/2026

O problema: dados pessoais fora do perímetro

Quando um sistema interno faz uma chamada de API para um sistema externo com dados pessoais do titular, a empresa precisa garantir que o destinatário está adequado à LGPD. Isso exige mapeamento e contratos específicos.

Exemplo real: envio de CPF para birô de crédito

A empresa envia CPF + dados do cliente para Serasa/SPC via API de análise de crédito. A LGPD exige: base legal para o compartilhamento, DPA com o birô, informação ao titular de que seus dados serão compartilhados, e log da operação.

Mapeamento de fluxo de dados por API

O primeiro passo é mapear quais APIs da empresa enviam dados pessoais para sistemas externos. Isso raramente está documentado formalmente.

  • 1. Inventário de todas as integrações externas (APIs de terceiros consumidas)
  • 2. Para cada integração: quais campos de dados pessoais são enviados no payload
  • 3. Identificar o destinatário e sua jurisdição (Brasil? UE? EUA?)
  • 4. Verificar se há DPA (Data Processing Agreement) com o destinatário
  • 5. Verificar se a base legal do compartilhamento está declarada na política de privacidade

Controles técnicos por tipo de integração

APIs REST/GraphQL com terceiros

Controles de segurança

  • → TLS 1.2+ obrigatório
  • → Autenticação com token de curta duração
  • → Não logar dados pessoais em claro nos logs de API
  • → Rate limiting (evitar dump acidental)

Controles LGPD

  • → Minimização: enviar apenas o necessário
  • → DPA assinado com o destinatário
  • → Log do envio (para onde, quando, quais dados)
  • → Cláusula de suboperadores no DPA

Webhooks (recebimento de dados externos)

Risco

  • → Dados pessoais chegam sem controle de conteúdo
  • → Sistemas que aceitam qualquer webhook podem armazenar dados não esperados

Controles

  • → Validar assinatura do webhook (evitar dados injetados)
  • → Definir schema esperado e rejeitar campos extras
  • → Não armazenar campos de dados pessoais desnecessários

Integrações com ERPs e sistemas legados

Risco específico

  • → Dados fluem entre sistemas sem mapeamento
  • → Formato de arquivo (CSV, XML) com dados em claro
  • → FTP sem criptografia como canal de integração

Controles

  • → SFTP + criptografia de arquivo
  • → Mapeamento dos campos transferidos
  • → Log de cada transferência com hash do arquivo

Transferência internacional de dados

Se a API envia dados pessoais para servidor fora do Brasil (AWS us-east-1, Google Cloud europe-west), há transferência internacional — que a LGPD regula no art. 33.

  • Para países com nível de proteção adequado (ANPD ainda não publicou lista final): usar cláusulas padrão contratuais
  • Para parceiros em países sem adequação: DPA com cláusulas específicas de proteção
  • Informar o titular na política de privacidade sobre a transferência internacional

Suas APIs estão mapeadas para LGPD?

Diagnóstico gratuito de 60 min com Anderson Chipak — revisão dos fluxos de dados entre sistemas.

Diagnóstico gratuito →

Neste site

LGPD por tipo de sistema Art. 20 — Decisões automatizadas Logs e rastreabilidade → APIs e integrações

PDF gratuito

LGPD em 12 tipos de sistema

Baixar →

Por Anderson Chipak — auditor de sistemas críticos · ALC