Política de Privacidade

Esta Política descreve como a SellCred trata dados pessoais conforme a Lei Geral de Proteção de Dados (Lei 13.709/2018 — “LGPD”) e o Marco Civil da Internet (Lei 12.965/2014).

A leitura desta Política é parte integrante dos nossos Termos de Uso.

A SellCred é uma plataforma SaaS (Software como Serviço) brasileira que intermedia o envio de solicitações de crédito entre parceiros lojistas e correspondentes bancários autorizados.

A SellCred NÃO é correspondente bancário regulado pelo Banco Central do Brasil. Nossa atividade é de tecnologia da informação e tratamento de dados em nome dos parceiros lojistas.

Esta Política aplica-se ao tratamento de dados pessoais de:

• Parceiros — responsáveis legais e usuários das empresas cadastradas;
• Clientes finais — titulares dos dados encaminhados pelos parceiros para solicitação de crédito.

Conforme o Art. 5º da LGPD, identificamos os seguintes papéis no fluxo de dados da plataforma:

Cada papel implica responsabilidades distintas perante o titular dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

A SellCred não coleta dados sensíveis (Art. 5º, II da LGPD — origem racial, convicção religiosa, dado biométrico, etc.) salvo quando estritamente necessário e mediante consentimento específico do titular.

Cada operação de tratamento tem base legal explícita conforme os Arts. 7º e 11 da LGPD:

A SellCred compartilha apenas os dados estritamente necessários, com as seguintes categorias de destinatários:

• Correspondentes bancários parceiros — recebem dados cadastrais e financeiros do cliente final para processar a solicitação de crédito junto a instituições financeiras. Atuam como operadores ou controladores próprios conforme o contexto específico do processamento. Lista de correspondentes parceiros disponível mediante solicitação ao Encarregado.
• Provedor de email transacional (Resend) — recebe nome, e-mail e conteúdo das notificações operacionais (status, aprovação, recuperação de senha). Não recebe dados financeiros ou documentos.
• Provedor de armazenamento de documentos (Supabase) — recebe os arquivos PDF/JPG/PNG enviados pelo parceiro. Bucket privado, acesso restrito a URLs assinadas geradas pela plataforma. Sem acesso direto público.
• Provedor de proteção contra abuso (Upstash) — recebe identificadores derivados (hash de e-mail, hash de IP) para controle de rate limit. Não recebe dados pessoais em forma reversível.
• Provedor de observabilidade (Sentry) — recebe relatórios de erro técnico. Dados pessoais sensíveis são sanitizados antes do envio (emails viram hash, senhas e tokens são removidos).
• Autoridades públicas — em caso de requisição judicial, administrativa ou regulatória com base legal válida (ANPD, BACEN, Receita Federal, Poder Judiciário, Ministério Público, etc.).

A SellCred não comercializa dados pessoais a terceiros para fins de marketing, publicidade ou perfilamento comportamental.

Alguns dos provedores listados na seção 5 são empresas estrangeiras (Resend, Sentry, Upstash, Supabase). Quando há transferência internacional de dados, a SellCred adota as seguintes salvaguardas:

• Verificação de adequação de proteção do país de destino;
• Cláusulas contratuais padrão para transferência internacional;
• Limitação ao mínimo necessário de dados transferidos;
• Compromisso contratual dos provedores em cumprir padrões equivalentes ou superiores aos da LGPD.

Países de destino dos dados: Estados Unidos (Resend, Sentry, Upstash); infraestrutura cloud (Supabase — região configurável; pode ser AWS sa-east-1 no Brasil).

Conforme o Art. 18 da LGPD, todo titular de dados pessoais tem direito a:

• Confirmação da existência de tratamento de seus dados;
• Acesso aos dados pessoais tratados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
• Portabilidade dos dados a outro fornecedor de serviço ou produto;
• Eliminação dos dados pessoais tratados com base no consentimento, ressalvadas hipóteses de retenção legal;
• Informação sobre entidades públicas e privadas com as quais a SellCred compartilhou dados;
• Informação sobre a possibilidade de não fornecer consentimento e consequências;
• Revogação do consentimento (quando o tratamento for baseado em consentimento).

Para exercer esses direitos:

• Clientes finais (titulares) — devem entrar em contato primeiro com o parceiro lojista (controlador) que coletou seus dados. A SellCred, na condição de operador, encaminhará a solicitação ao parceiro responsável e cooperará no atendimento.
• Parceiros lojistas — entrar em contato direto via contato@sellcred.com.br.

Prazo de resposta: até 15 (quinze) dias úteis a partir do recebimento da solicitação.

A SellCred adota medidas técnicas e administrativas de segurança proporcionais ao risco do tratamento de dados:

Nenhuma plataforma é 100% imune a incidentes. Em caso de incidente de segurança que afete dados pessoais, a SellCred notificará a ANPD e os titulares afetados nos prazos exigidos pela LGPD.

A SellCred retém dados pessoais pelo tempo necessário ao cumprimento das finalidades descritas nesta Política, observados:

• Dados de parceiros ativos: enquanto durar a relação contratual;
• Dados de parceiros encerrados: 5 (cinco) anos após o encerramento para fins de auditoria fiscal e regulatória;
• Dados de clientes finais (solicitações de crédito): 5 (cinco) anos após o desfecho da solicitação (aprovada, recusada ou cancelada), prazo alinhado com obrigações fiscais e regulatórias dos correspondentes bancários parceiros;
• Trilha de auditoria: 5 (cinco) anos, imutável;
• Documentos enviados (arquivos PDF/JPG/PNG): 5 (cinco) anos após o desfecho da solicitação à qual estão vinculados.

Após o prazo de retenção, os dados são anonimizados ou excluídos, ressalvada obrigação legal de manutenção por prazo superior.

A retenção pode ser estendida em caso de:

• Litígio em curso envolvendo o titular ou o parceiro;
• Requisição administrativa ou judicial específica;
• Exercício do direito de defesa em processos da SellCred.

A SellCred utiliza cookies estritamente necessários ao funcionamento da plataforma:

• Cookies de sessão (autenticação) — não persistem após logout;
• Cookies de “Manter conectado” — quando o parceiro opta, persistem por 30 dias; quando desmarca, persistem por 7 dias.

A SellCred não utiliza:

• Cookies de marketing ou rastreamento publicitário;
• Cookies de análise comportamental de terceiros;
• Pixels de redes sociais;
• Fingerprinting de dispositivo.

Você pode gerenciar cookies via configurações do navegador. Bloquear cookies essenciais impede o funcionamento da plataforma.

A SellCred mantém canal de comunicação direto para questões relacionadas ao tratamento de dados pessoais:

O Encarregado pode ser contatado para:

• Esclarecimentos sobre esta Política;
• Exercício dos direitos previstos no Art. 18 da LGPD;
• Notificação de incidente de segurança;
• Reclamações ou denúncias sobre tratamento inadequado de dados;
• Comunicações da ANPD.

Prazo de resposta: até 15 (quinze) dias úteis.

Em caso de insatisfação com a resposta da SellCred, o titular pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) — www.gov.br/anpd.

A SellCred poderá atualizar esta Política a qualquer momento. Alterações materiais (que afetem direitos do titular, finalidades do tratamento ou bases legais) serão comunicadas com antecedência mínima de 30 (trinta) dias por email aos parceiros cadastrados e aviso visível na plataforma.

Alterações cosméticas, de redação ou de correção de imprecisões podem ser aplicadas sem aviso prévio, com simples atualização da versão e data.

A versão vigente está sempre disponível em /privacidade. O histórico de versões é registrado no campo “última atualização”.

O uso continuado da plataforma após a entrada em vigor de alterações materiais constitui aceitação tácita.