PGCC - Módulo de Gestão de Consentimento e Ciência de Uso dos Dados
🔐 Gestão de Consentimento utilizando solução própria da GCC (sem Utilização do Token Gov.br)
Com o objetivo de ampliar a interoperabilidade entre sistemas e permitir a integração de consentimentos provenientes de canais externos (por exemplo: aplicativos corporativos, portais institucionais ou atendimentos presenciais), o PGCC passou a permitir a gestão de consentimentos sem dependência direta do token Gov.br.
Essa abordagem é aplicável somente quando a GCC já possui a anuência explícita do titular registrada por outros meios válidos, de acordo com os princípios da Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018).
🧩 Contexto
Nos fluxos tradicionais, a autenticação do titular é realizada por meio da integração com o Gov.br, o que garante a identidade e a autorização expressa.
Entretanto, existem casos em que:
- O consentimento já foi obtido em outro sistema autenticado;
- O titular forneceu autorização expressa presencialmente ou via documento formal;
- Há uma base legal válida que dispensa a autenticação Gov.br.
Para esses casos, a GCC pode gerenciar consentimentos diretamente via API, utilizando autenticação própria e garantindo que os registros estejam devidamente auditados.
⚙️ Endpoints Relevantes
Abaixo estão os principais endpoints relacionados à operação sem Gov.br:
🔹 Criar Consentimento Pendente
POST /api/v1/consentimentos/{cpfTitular}
🔹 Criar Consentimento Ativo
POST /api/v1/consentimentos/ativo/{cpfTitular}
🔹 Atualizar Status do Consentimento
PATCH /api/v1/consentimentos/{id}/status?novoStatus={ATIVO|REVOGADO|NEGADO}
🔄 Fluxo Simplificado – Sem Token Gov.br
---
title: "Fluxo: Gestão de Consentimento sem Token Gov.br"
---
flowchart TD
a@{shape: circle, label: Início}
b("Recebe requisição HTTP POST ou PATCH da GCC")
c{"O consentimento possui registro formal de anuência?"}
d("Cria ou atualiza o consentimento no banco PGCC")
e("Retorna confirmação à GCC com status (201 ou 200)")
f("Retorna erro 400 - ausência de registro válido de anuência")
z@{shape: circle, label: Fim}
a --> b
b --> c
c -->|" Sim "| d
c -->|" Não "| f
d --> e
e --> z
f --> z
✅ Requisitos para Uso da solução própria da GCC (Sem Token Gov.br)
Para que uma GCC possa operar sem o token Gov.br, devem ser atendidas as seguintes condições:
- Registro de Anuência: Deve existir registro documental, eletrônico ou logado de que o titular consentiu previamente.
- Identificação Segura: O CPF do titular deve ser informado e validado no momento da criação do consentimento.
- Auditoria e Rastreabilidade: Todos os campos obrigatórios (CNPJ da GCC, CPF do titular, data, operador e finalidade) devem ser gravados.
- Autorização Formal da GCC: A GCC deve estar previamente habilitada junto à PGCC para realizar operações sem token.
📋 Considerações Técnicas
| Aspecto | Com Token Gov.br | Solução própria da GCC |
|---|---|---|
| Autenticação do Titular | OAuth2 via Gov.br | Responsabilidade da GCC |
| Base Legal | Consentimento digital explícito | Consentimento formal (externo) |
| Registro de Auditoria | Token e sessão autenticada | Logs e metadados da GCC |
| Endpoint | /v1/autenticacao/{cpf}/url |
/api/v1/consentimentos/ativo/{cpf} |
| Risco de uso indevido | Baixo (autenticação centralizada) | Mitigado por trilha de auditoria e certificação da GCC |
⚖️ Conformidade e Responsabilidade
- A GCC é responsável legalmente por garantir a autenticidade do consentimento quando o fluxo sem token for utilizado.
- A PGCC apenas processa e armazena os registros enviados, mantendo logs e rastreabilidade de todos os eventos.
- A utilização deste modelo deve respeitar os princípios da transparência, segurança e minimização de dados conforme a LGPD.
🧾 Exemplo Prático
Requisição HTTP – Criação de Consentimento Ativo
curl -X POST https://pgcc.gov.br/api/v1/consentimentos/ativo/70100944035 -H "x-cnpj-consulta: 03452307000111" -H "x-cpf-operador: 10973787724" -H "Content-Type: application/json" -d '{
"
"dataUsuarioPediuConsentimento": "2025-05-15",
"tipoTitular": "1",
"cnpj": "03452307000111",
"cnpjAnuente": "03452307000111",
"modalidadeAcesso": 1,
"idTemplateCredencia": "1222024-00001",
"flagResultado": "01",
"dataExpiracaoConsentimento": "2025-12-31",
"dataTitularRespondeuConsentimento": "2025-05-16T14:30:00",
"provaColeta": "Aplicativo móvel"
}'
Resposta
{
"mensagem": "Consentimento criado e ativado com sucesso",
"status": "ATIVO"
}
🧠 Resumo
A gestão de consentimentos sem token Gov.br é uma alternativa segura e rastreável para cenários em que o consentimento já foi previamente obtido por outros meios legítimos.
O modelo mantém a conformidade com a LGPD, preservando a autonomia do titular e a responsabilidade da GCC pelo registro e validação dos dados.
🧩 Resumo dos Endpoints
| Método | Endpoint | Descrição | Autenticação |
|---|---|---|---|
POST |
/api/v1/consentimentos/{cpfTitular} |
Cria um consentimento pendente aguardando autorização do titular. | Header x-cnpj-consulta + x-cpf-operador |
POST |
/api/v1/consentimentos/ativo/{cpfTitular} |
Cria um consentimento ativo (sem necessidade de token Gov.br). | Header x-cnpj-consulta + x-cpf-operador |
POST |
/api/v1/consentimentos/consulta/{cpfTitular} |
Consulta o consentimento ativo do titular. | Header x-cnpj-consulta + x-cpf-operador |
PATCH |
/api/v1/consentimentos/{id}/status |
Atualiza o status de um consentimento existente (ATIVO, REVOGADO, NEGADO). | Header x-cnpj-consulta + x-cpf-operador |
Todos os endpoints seguem o padrão RESTful e retornam códigos HTTP padronizados (201, 200, 400, 404, 500), além de mensagens descritivas no corpo da resposta.
📖 Swagger UI
A documentação interativa está disponível em: