Política de Privacidade — Portal de Parceiros CotaFácil
Versão: v1.0
Vigência a partir de: 17/07/2026
Documento controlado — hash SHA-256 registrado no aceite.
AVISO: minuta redigida por assistente de IA da área jurídica interna. **Não substitui parecer
nem assinatura de advogado inscrito na OAB.** Revisão humana obrigatória antes do go-live.
Esta Política explica como a Apex trata dados pessoais no Portal de Parceiros CotaFácil, nos
termos da Lei 13.709/2018 (LGPD). Há três grupos de titulares: (a) o parceiro e seu
responsável/usuários; (b) o cliente indicado pelo parceiro; (c) visitantes/uso técnico do Portal.
1. Controlador e Encarregado (DPO)
- Controladora: APEX INTERMEDIAÇÃO DE NEGÓCIOS E SERVIÇOS ADMINISTRATIVOS LTDA, CNPJ
53.534.760/0001-45, Av. Leoberto Leal, 500, Barreiros, São José/SC, CEP 88117-000 (franquia
CotaFácil, correspondente/intermediária — não é instituição financeira).
- Encarregado pelo Tratamento de Dados (DPO): admin@cotafacilsaojose.com.br — canal para
dúvidas, solicitações de titulares e comunicação de incidentes.
- Papel do parceiro: dentro do Portal o parceiro é operador (trata dados em nome da Apex,
seguindo suas instruções) e controlador independente da coleta que realiza por conta própria
antes de subir os dados (LGPD, arts. 39 e 42).
2. Dados que tratamos, para quê e com que base legal
2.1. Do parceiro e seu responsável/usuários
| Dados | Finalidade | Base legal (LGPD) |
|---|---|---|
| Razão social, CNPJ, nome fantasia, CNAE | Credenciamento e cadastro do parceiro | Execução de contrato (art. 7º, V); cumprimento de obrigação legal (art. 7º, II) |
| Nome, CPF, e-mail, telefone do responsável/usuários | Login, identificação de quem opera, prova de aceite dos Termos | Execução de contrato (art. 7º, V); legítimo interesse na segurança (art. 7º, IX) |
| IP, navegador/dispositivo, data/hora, geolocalização aproximada, versão/hash dos termos aceitos | Prova do aceite e segurança do acesso (Marco Civil, art. 15) | Cumprimento de obrigação legal (art. 7º, II); legítimo interesse (art. 7º, IX) |
| Dados bancários/PIX, dados fiscais, NF | Pagamento de comissão e obrigações fiscais | Execução de contrato (art. 7º, V); obrigação legal/fiscal (art. 7º, II) |
2.2. Do cliente indicado (dado de terceiro)
| Dados | Finalidade | Base legal (LGPD) |
|---|---|---|
| Nome e contato mínimo (telefone/e-mail) | Registrar a indicação e permitir o contato do titular (double opt-in) | Procedimentos preliminares a pedido do titular (art. 7º, V); consentimento (art. 7º, I) |
| Documentos e dados do cliente para o produto | Atendimento/simulação/contratação do produto indicado | Consentimento do titular (art. 7º, I) obtido no double opt-in; execução a pedido do titular (art. 7º, V) |
| Dados sensíveis (quando o produto exigir) | Somente se o produto exigir e com autorização específica | Consentimento específico e destacado (art. 11, I) |
O consentimento é do titular (cliente), não do parceiro. O documento do cliente só é liberado
depois que o próprio cliente confirma ativamente (double opt-in) e aceita os Termos e esta
Política. A prova é gravada verbatim (texto exibido, versão, URL, controlador, timestamp, IP).
2.3. Dados técnicos/uso do Portal
Logs de acesso, cookies estritamente necessários e registros de auditoria, para **segurança,
funcionamento e prova** (art. 7º, II e IX; Marco Civil, art. 15).
3. Não fazemos
- Não vendemos dados pessoais.
- Não usamos dados do cliente indicado para marketing sem opt-in específico e separado do
próprio titular (o aceite de atendimento não autoriza marketing).
- Não expomos CPF/documentos em logs, URLs, mensagens de erro ou analytics.
- Não permitimos que um parceiro veja dados de clientes de outro parceiro nem a base geral.
4. Compartilhamento
Os dados podem ser compartilhados com: (a) a instituição financeira/administradora/seguradora
adequada ao produto, para viabilizar o atendimento a pedido do titular; (b) o CRM da Apex (mesmo
grupo, controladora) para dar sequência ao atendimento; (c) operadores de infraestrutura
(hospedagem/e-mail/mensageria) sob contrato e dever de segurança; (d) autoridades, quando exigido
por lei ou ordem judicial. A transferência ao parceiro é limitada às próprias indicações dele.
5. Segurança
Criptografia de PII em repouso (app-side) e em trânsito; storage privado com URL assinada de curta
duração; controle de acesso por escopo (partner_id) verificado no servidor; **trilha de auditoria
append-only**; segregação total do banco do Portal em relação ao CRM; MFA para administração. Em caso
de incidente de segurança relevante, a Apex comunica a ANPD e os titulares no prazo aplicável
(Res. CD/ANPD 15/2024) — o parceiro deve comunicar incidentes ao DPO imediatamente.
6. Retenção e eliminação (minimização — art. 6º, III; art. 16)
- Prova de consentimento e de aceite: guardada pelo prazo necessário à defesa (referência ~5
anos; a fixar por advogado).
- Logs de acesso a aplicação: no mínimo 6 meses (Marco Civil, art. 15), pelo prazo de segurança.
- Documentos de indicação NÃO convertida em venda: eliminados ao exaurir a finalidade
(prazo a definir, X dias após recusa/esfriamento).
- Documentos de venda concluída: pelo prazo exigido pela instituição/regulação e pelo prazo
fiscal.
- Dados fiscais (NF/pagamento): pelo prazo fiscal, separados dos dados do cliente.
Cada dado carrega finalidade + prazo + gatilho de expurgo; rotina de eliminação automática ao
vencer.
7. Direitos dos titulares (arts. 9º e 18)
Qualquer titular — parceiro, responsável ou cliente indicado — pode solicitar: confirmação de
tratamento, acesso, correção, anonimização, eliminação, portabilidade, informação sobre
compartilhamentos e revogação do consentimento. Canal: admin@cotafacilsaojose.com.br.
- Do cliente indicado: a Apex localiza e elimina/anonimiza os dados do cliente a pedido,
ainda que quem tenha cadastrado seja o parceiro; guarda-se apenas o mínimo para cumprimento
legal/defesa (art. 16). O parceiro não decide sobre esses direitos.
- Revogação: o titular pode revogar o consentimento a qualquer tempo, sem prejuízo dos
tratamentos já realizados de forma lícita.
8. Cookies
O Portal usa apenas cookies estritamente necessários ao login e à segurança da sessão. Não há uso
de cookies de publicidade de terceiros no Portal.
9. Alterações
Esta Política pode ser atualizada; nova versão é publicada com número de versão e data, e o uso
continuado do Portal depende do reaceite quando a mudança for material.
Referências legais (fontes oficiais)
- LGPD — Lei 13.709/2018 (arts. 5º, 6º, 7º, 8º, 9º, 11, 16, 18, 39, 42) — Planalto:
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm (verif. 2026-07-09/17).
- Res. CD/ANPD nº 15/2024 (comunicação de incidente) — gov.br/anpd (verif. 2026-07-09, regra 010).
- Marco Civil da Internet — Lei 12.965/2014, arts. 7º e 15 — Planalto:
https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm (confirmado via busca
oficial 2026-07-17).
- CDC — Lei 8.078/1990, art. 27 (prescrição, referência de retenção) — Planalto (verif. 2026-07-09).
Pontos que EXIGEM advogado humano
- Fixação dos prazos de retenção por finalidade (matriz) e do prazo exigido pela instituição.
- Confirmação do enquadramento controlador/operador e das bases legais do dado de terceiro.
- Revisão do texto público final e do rol de operadores/subcontratados.
</content>