Indice BrasilPolítica de Privacidade
Em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 -- LGPD)
Última atualização: 05 de março de 2026
1. Identificação do Controlador
1.1 Controlador de Dados
CREDCO CORRESPONDENTE BANCÁRIO LTDA, pessoa jurídica de direito privado, inscrita no CNPJ sob o nº 61.909.228/0001-93, com sede na Rua Pais Leme, 215, Conj. 1713, Pinheiros, São Paulo/SP, CEP 05424-150, operadora da plataforma Índice Brasil.
1.2 Encarregado de Proteção de Dados (DPO)
- Nome: Ricardo de Melo Bahia
- E-mail: contato@credco.com.br
- Endereço: Rua Pais Leme, 215, Conj. 1713, Pinheiros, São Paulo/SP, CEP 05424-150
O Encarregado é o ponto de contato entre o Controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD), nos termos do art. 41 da LGPD.
2. Escopo e Aplicação
2.1 Abrangência
Esta Política de Privacidade aplica-se a todo o tratamento de dados pessoais realizado pela plataforma Índice Brasil, incluindo:
(a) Dados coletados no cadastro e durante o uso da Plataforma;
(b) Dados processados para prestação do serviço de pesquisa preditiva;
(c) Dados utilizados em relatórios B2B (exclusivamente agregados e anonimizados);
(d) Dados coletados por cookies e tecnologias similares;
(e) Dados compartilhados com processadores de pagamento e prestadores de serviço.
2.2 Aceitação
Ao utilizar a Plataforma, o Usuário declara ter lido e compreendido está Política. O aceite é condição para utilização da Plataforma.
3. Dados Pessoais Coletados -- Inventário Completo
3.1 Dados Pessoais Diretos (fornecidos pelo Usuário)
| Dado | Momento da coleta | Obrigatório? |
|---|---|---|
| Nome completo | Cadastro | Sim |
| CPF | Cadastro | Sim |
| Endereço de e-mail | Cadastro | Sim |
| Data de nascimento | Cadastro | Sim |
| Telefone celular | Cadastro | Nao (opcional) |
| Chave PIX | Solícitação de conversão | Sim (para conversão) |
| Comprovante de endereço | KYC para conversão PIX | Sim (para conversão) |
| Selfie / foto do documento | KYC para conversão PIX | Quando solicitado |
3.2 Dados de Atividade na Plataforma (coletados automaticamente)
| Dado | Descrição |
|---|---|
| Histórico de alocações | Mercado, posição (SIM/NAO), quantidade de Pontos, timestamp |
| Brier Score | Score individual por mercado e acumulado |
| Saldo de Pontos | Pontos disponíveis, alocados e em lock |
| Histórico de conversoes PIX | Valor, data, status |
| Conteúdo de discussões | Textos publicados nos foruns de discussao por mercado |
| Justificativas de alocação | Textos registrados na alocação (quando obrigatório) |
| Dados de assinatura | Plano contratado, data de contratação, status, histórico de pagamentos |
3.3 Dados Técnicos é de Navegação
| Dado | Descrição |
|---|---|
| Endereço IP | Registrado em cada acesso |
| Geolocalização aproximada | Derivada do IP (nível cidade/estado) |
| User-agent do navegador | Tipo de navegador, sistema operacional, dispositivo |
| Cookies e identificadores | Conforme Cláusula 10 |
| Paginas visitadas e tempo de permanência | Dados de navegação na Plataforma |
| Horarios de acesso | Timestamps de login e atividade |
3.4 Dados Derivados (gerados pela Plataforma)
| Dado | Descrição |
|---|---|
| Posição no leaderboard | Ranking por Brier Score |
| Perfil de calibração | Classificação derivada (top 10%, bom, medio, fraco) |
| Segmentação por plano | Proxy de faixa de renda (Free/Pro/Founder) |
| Badge e status | Founding Forecaster, Pro, etc. |
4. Bases Legais para o Tratamento (Art. 7 LGPD)
| Dado / Finalidade | Base Legal | Dispositivo |
|---|---|---|
| Nome, CPF, e-mail, data de nascimento -- cadastro e prestação do servico | Execução de contrato | Art. 7, V |
| Histórico de alocações, Brier Score, saldo de Pontos -- registro da atividade | Execução de contrato | Art. 7, V |
| Dados de pagamento (Asaas) -- processamento e emissão de NF | Obrigação legal | Art. 7, II |
| CPF, dados de KYC -- verificação e prevenção a fraudes | Obrigação legal | Art. 7, II |
| Endereço IP, logs de acesso -- guarda de registros de conexao | Obrigação legal (Marco Civil) | Art. 7, II |
| Brier Score no leaderboard -- ranking público | Legítimo interesse | Art. 7, IX |
| Dados derivados para relatórios B2B -- AGREGADOS e ANONIMIZADOS | Nao se aplica (anonimizados) | Art. 12 |
| Nome no leaderboard público -- exibição do nome real (opt-in) | Consentimento | Art. 7, I |
| Cookies não essenciais e analytics | Consentimento | Art. 7, I |
| Comúnicações de marketing | Consentimento | Art. 7, I |
4.1 Legítimo Interesse -- Teste de Balanceamento (Art. 10 LGPD)
Finalidade legitima: O Brier Score é a métrica central do produto e do leaderboard. A exibição do ranking é essencial ao funcionamento da Plataforma como ferramenta de pesquisa calibrada.
Necessidade: Nao há alternativa menos intrusiva que cumpra a mesma finalidade -- o leaderboard depende de identificação mínima dos participantes.
Direitos do titular preservados: O leaderboard exibe, por padrão, apenas pseudonimo (nome + inicial do sobrenome). O titular pode a qualquer momento optar por anonimato total (username) nas configurações de privacidade.
5. Compartilhamento de Dados
5.1 Operadores e Subprocessadores
| Terceiro | Dados compartilhados | Finalidade | Pais |
|---|---|---|---|
| Asaas | Nome, CPF, e-mail, dados de pagamento | Processamento de cobranças e transferências PIX | Brasil |
| Supabase | Todos os dados armazenados | Hospedagem e processamento do banco de dados | EUA (ver Cláusula 8) |
| Vercel | Endereço IP, dados de navegação | Hospedagem da aplicação web | EUA (ver Cláusula 8) |
| Resend | Nome, e-mail | Envio de e-mails transacionais | EUA (ver Cláusula 8) |
5.2 Compartilhamento B2B -- Dados Agregados e Anonimizados
A Plataforma poderá comercializar dados de pesquisa para terceiros (bancos, FIDCs, consultorias, instituições acadêmicas), observando-se OBRIGATORIAMENTE:
(a) Os dados compartilhados serão SEMPRE agregados e anonimizados, nos termos do art. 12 da LGPD, de modo que não seja possível identificar, direta ou indiretamente, nenhum Usuário individual;
(b) Exemplos de dados compartilhados: "65% dos participantes com Brier Score inferior a 0,15 alocaram SIM no Copom de marco/2026"; "Top 10% de forecasters da faixa Pro preveem manutenção da Selic";
(c) Dados que NUNCA serão compartilhados com terceiros para fins B2B: nome, CPF, e-mail, telefone, endereço, chave PIX, selfie, ou qualquer dado que permita identificação individual, direta ou indireta;
(d) Segmentação permitida: por plano contratado (proxy de faixa de renda), por estado de residência, por faixa de Brier Score, por histórico de participação -- desde que cada segmento contenha no mínimo 30 (trinta) participantes, impedindo identificação por exclusão.
5.3 Compartilhamento com Autoridades
A Plataforma poderá compartilhar dados pessoais com autoridades públicas quando exigido por lei, decisão judicial ou determinação administrativa, nos termos do art. 7, II, da LGPD.
5.4 Vedações Absolutas
E PROIBIDO e a Plataforma se compromete a NUNCA:
(a) Vender ou comercializar dados pessoais identificáveis dos Usuários;
(b) Compartilhar dados pessoais com parceiros comerciais da Credco ou de qualquer terceiro sem consentimento específico e destacado;
(c) Utilizar dados da Plataforma para marketing direto de terceiros;
(d) Enriquecer bases de dados de terceiros com dados pessoais dos Usuários;
(e) Compartilhar dados pessoais com corretores de dados (data brokers).
6. Direitos do Titular (Art. 18 LGPD)
O Usuário, enquanto titular de dados pessoais, tem os seguintes direitos:
6.1 Direito de Acesso (Art. 18, II)
O Usuário pode solicitar e obter a confirmação da existência de tratamento e o acesso a todos os seus dados pessoais mantidos pela Plataforma. A Plataforma disponibilizará exportação em formato CSV via painel de configurações ou, quando não disponível no painel, mediante solícitação ao DPO.
Prazo: 15 (quinze) dias corridos.
6.2 Direito de Correção (Art. 18, III)
O Usuário pode corrigir dados pessoais incompletos, inexatos ou desatualizados diretamente no painel de perfil da Plataforma ou mediante solícitação ao DPO.
Prazo: Imediato (via painel) ou 5 (cinco) dias úteis (via DPO).
6.3 Direito de Exclusao (Art. 18, VI)
O Usuário pode solicitar a exclusão de seus dados pessoais, mediante solícitação ao DPO. A exclusão será realizada no prazo de 15 (quinze) dias corridos, observadas as seguintes ressalvas:
(a) Dados necessários ao cumprimento de obrigação legal ou regulatoria serão retidos pelo prazo legal aplicável (Cláusula 7);
(b) Dados anonimizados já incorporados a relatórios B2B NÃO serão afetados pela exclusão, pois não constituem dados pessoais (art. 12 LGPD);
(c) A exclusão implica cancelamento da conta e impossibilidade de uso da Plataforma.
6.4 Direito de Portabilidade (Art. 18, V)
O Usuário pode solicitar a portabilidade de seus dados pessoais e do Brier Score individual para outro controlador. A Plataforma fornecera os dados em formato estruturado (CSV/JSON).
Prazo: 15 (quinze) dias corridos.
Dados portáveis: Nome, e-mail, CPF, histórico de alocações (mercado, posição, pontos, resultado), Brier Score por mercado e acumulado, histórico de conversoes PIX.
6.5 Direito de Revogação do Consentimento (Art. 18, IX)
O Usuário pode revogar o consentimento para tratamentos baseados em consentimento (Cláusula 4) a qualquer momento, via painel de privacidade na Plataforma ou mediante solícitação ao DPO. A revogação não afeta a licitude do tratamento realizado anteriormente.
Efeito prático:
- Revogar consentimento para nome no leaderboard: exibição alterada para pseudonimo/username
- Revogar consentimento para cookies não essenciais: desativação imediata
- Revogar consentimento para marketing: exclusão da lista de envio em até 5 dias úteis
6.6 Direito de Oposição ao Tratamento por Legítimo Interesse (Art. 18, par. 2o)
O Usuário pode se opor ao tratamento baseado em legítimo interesse, especialmente:
(a) Inclusão do Brier Score no leaderboard público: o Usuário pode solicitar remoção do leaderboard público, mantendo o score visível apenas para si;
(b) Inclusão nos dados agregados para B2B: o Usuário pode exercer opt-out, sendo excluído das futuras agregações (dados já agregados não são afetados).
6.7 Direito de Informação sobre Compartilhamento (Art. 18, VII)
O Usuário pode solicitar informações sobre as entidades públicas e privadas com as quais a Plataforma compartilha seus dados. A resposta conterá a relação de operadores e subprocessadores (Cláusula 5.1) e a indicação de eventuais compartilhamentos com autoridades.
6.8 Canal de Exercicio de Direitos
Todos os direitos acima podem ser exercidos mediante:
- Painel de privacidade na Plataforma (quando disponível para o direito específico);
- E-mail ao DPO: contato@credco.com.br
A Plataforma confirmará o recebimento da solícitação em até 48 (quarenta e oito) horas e respondera no prazo indicado para cada direito.
6.9 Reclamação a ANPD
Se o Usuário considerar que seus direitos não foram adequadamente atendidos, poderá apresentar reclamação a Autoridade Nacional de Proteção de Dados (ANPD), nos termos do art. 55-J, V, da LGPD. Endereço: www.gov.br/anpd.
7. Retenção de Dados
| Tipo de dado | Período de retenção | Base legal |
|---|---|---|
| Dados de pagamento (transações, NFs) | 5 anos após a transação | Obrigação fiscal -- CTN, art. 173 |
| Dados de KYC (selfie, comprovante, documentos) | 5 anos após o encerramento da conta | PLD -- Circular Bacen nº 3.978/2020 |
| Logs de acesso (IP, timestamps) | 6 meses | Marco Civil da Internet, art. 15 |
| Dados pessoais (nome, CPF, e-mail) | Enquanto a conta estiver ativa + 6 meses após exclusão | Execução de contrato + defesa em litigio |
| Dados de atividade (alocações, Brier Score individual) | Enquanto a conta estiver ativa + 6 meses após exclusão | Execução de contrato |
| Brier Score agregado (anonimizado) | Indefinido | Art. 12 LGPD -- não são dados pessoais |
| Dados de discussao (conteúdo textual) | Enquanto a conta estiver ativa + 6 meses; anonimizado pode ser retido indefinidamente | Execução de contrato / legítimo interesse |
7.1 Procedimento de Exclusao
Após o término do período de retenção, os dados pessoais serão:
(a) Deletados de forma irreversível dos bancos de dados ativos; ou
(b) Anonimizados de forma irreversível, quando a exclusão comprometer a integridade de dados agregados.
8. Transferência Internacional de Dados
8.1 Serviços Hospedados no Exterior
A Plataforma utiliza serviços de infraestrutura hospedados nos Estados Unidos da America:
- Supabase Inc. -- banco de dados PostgreSQL hospedado em servidores AWS (regiao us-east-1)
- Vercel Inc. -- hospedagem do frontend em edge network global
- Resend Inc. -- serviço de envio de e-mails transacionais
8.2 Garantias de Adequação
A transferência internacional de dados é realizada com base no art. 33, II, da LGPD (garantias oferecidas pelo operador), mediante:
(a) Contratação de cláusulas contratuais padrão (Standard Contractual Clauses -- SCCs) com os fornecedores internacionais;
(b) Verificação de que os fornecedores adotam padroes de segurança compatíveis com a LGPD, incluindo criptografia em trânsito (TLS 1.2+) e em repouso (AES-256);
(c) Os fornecedores estão sujeitos a políticas de privacidade próprias que garantem proteção equivalente a LGPD;
(d) A Plataforma mantem registro atualizado das transferências internacionais, disponível para consulta da ANPD.
8.3 Compromisso de Localização Futura
A Plataforma se compromete a avaliar a migração de infraestrutura para servidores localizados no Brasil sempre que tal opção se tornar técnica e econômicamente viável, priorizando a soberania dos dados pessoais dos titulares brasileiros.
9. Segurança da Informação
9.1 Medidas Tecnicas
A Plataforma adota as seguintes medidas técnicas de proteção de dados:
(a) Criptografia em trânsito: Todas as comúnicações entre o navegador do Usuário e os servidores da Plataforma são protegidas por TLS 1.2 ou superior (HTTPS);
(b) Criptografia em repouso: Dados sensíveis armazenados no banco de dados são criptografados com AES-256;
(c) Row Level Security (RLS): Políticas de segurança em nível de linha no banco de dados PostgreSQL, garantindo que cada Usuário acesse exclusivamente seus próprios dados;
(d) Autenticação segura: Login via magic link (e-mail), sem armazenamento de senhas no servidor;
(e) Segregação de ambientes: Separação entre ambiente de produção e desenvolvimento;
(f) Controle de acesso: Acesso administrativo restrito por função (RBAC), com verificação de role (is_oracle) para operações sensíveis;
(g) Raté limiting: Limitação de requisições por IP e por usuário para prevenção de ataques de forca bruta e abuso;
(h) Validação de webhooks: Verificação criptográfica (timingSafeEqual) de tokens em webhooks de pagamento.
9.2 Medidas Organizacionais
(a) Acesso a dados pessoais restrito a funcionários e prestadores com necessidade comprovada (principio do menor privilegio);
(b) Termos de confidencialidade assinados por todos que tenham acesso a dados pessoais;
(c) Revisao periódica de permissoes de acesso;
(d) Política interna de resposta a incidentes de segurança.
9.3 Resposta a Incidentes
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares:
(a) A ANPD será comúnicada em prazo razoável, conforme art. 48 da LGPD;
(b) Os titulares afetados serão notificados por e-mail contendo: descrição do incidente, dados potencialmente afetados, medidas adotadas e recomendações;
(c) A Plataforma manterá registro de todos os incidentes de segurança, ainda que não resultem em comunicação a ANPD.
11. Leaderboard e Privacidade
11.1 Exibição Padrão -- Pseudonimo
O leaderboard da Plataforma exibe, por padrão, o pseudonimo do Participante, composto pelo primeiro nome e inicial do sobrenome (ex.: "Ricardo M.").
11.2 Opções de Privacidade
O Usuário pode alterar a exibição do seu perfil no leaderboard a qualquer momento, via painel de configurações de privacidade:
| Nível | Exibição | Requisito |
|---|---|---|
| Padrão | Nome + inicial do sobrenome (ex.: "Ricardo M.") | Automático no cadastro |
| Nome completo | Nome completo (ex.: "Ricardo Melo") | Opt-in com consentimento específico |
| Anonimo | Username escolhido pelo Usuário (ex.: "forecaster_42") | Ativação nas configurações |
| Oculto | Nao aparece no leaderboard público (score mantido internamente) | Ativação nas configurações |
11.3 Badge Founding Forecaster
A badge "Founding Forecaster" é um selo de status, não um dado pessoal. E exibida em conjunto com o nível de privacidade escolhido pelo Usuário (ex.: "Founding Forecaster Ricardo M." ou "Founding Forecaster @username").
11.4 Consentimento Especifico para Nome Completo
A exibição do nome completo no leaderboard público requer consentimento específico e destacado, nos termos do art. 8, par. 1o, da LGPD. O consentimento e revogável a qualquer momento.
12. Tratamento de Dados de Menores
A Plataforma é destinada exclusivamente a maiores de 18 (dezoito) anos. A Plataforma não coleta intencionalmente dados pessoais de menores de 18 anos. Caso tome conhecimento de que um menor utilizou a Plataforma, procederá a exclusão imediata da conta e dos dados associados, nos termos do art. 14 da LGPD.
13. Relação com a Credco
13.1 Operação Integrada
A plataforma Índice Brasil é operada por CREDCO CORRESPONDENTE BANCÁRIO LTDA (CNPJ 61.909.228/0001-93), que também opera os serviços de assessoria patrimonial da marca Credco. Embora compartilhem a mesma pessoa jurídica, as operações são segregadas internamente, com bases de dados e finalidades de tratamento distintas.
13.2 Segregação de Dados
Os dados pessoais coletados pela plataforma Índice Brasil NÃO são compartilhados automaticamente com a operação Credco Assessoria Patrimonial, e vice-versa. Qualquer uso cruzado de dados pessoais entre as operações requer:
(a) Consentimento específico e destacado do Usuário (art. 7, I e art. 8, par. 1o, LGPD);
(b) Finalidade determinada e explícitamente informada ao Usuário;
(c) Registro em relatório de impacto (RIPD) quando aplicável.
13.3 Dados Agregados
Dados agregados e anonimizados podem ser utilizados entre as operações sem restrições, nos termos do art. 12 da LGPD, uma vez que não constituem dados pessoais.
14. Alterações desta Política
14.1 Direito de Alteração
Esta Política de Privacidade poderá ser atualizada a qualquer tempo. As alterações entrarão em vigor 15 (quinze) dias após comunicação ao Usuário por e-mail e publicação na Plataforma.
14.2 Alterações Materiais
Para alterações que modifiquem substancialmente as finalidades de tratamento, as bases legais, os terceiros com quem dados são compartilhados, ou os direitos do titular, a Plataforma solicitara novo consentimento quando este for a base legal aplicável.
14.3 Histórico de Versoes
A Plataforma manterá registro público das versoes anteriores desta Política, acessível na página de privacidade.
15. Disposições Finais
15.1 Legislação Aplicável
Esta Política é regida integralmente pela Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), pelo Marco Civil da Internet (Lei nº 12.965/2014), pelo Código de Defesa do Consumidor (Lei nº 8.078/1990) e demais normas aplicáveis da legislação brasileira.
15.2 Foro
Fica eleito o foro da comarca de São Paulo/SP para dirimir quaisquer litígios relativos a está Política, com exclusão de qualquer outro.
15.3 Contato
Para quaisquer duvidas, solícitações ou reclamações relativas a está Política de Privacidade ou ao tratamento de seus dados pessoais:
- E-mail do DPO: contato@credco.com.br
- Endereço: Rua Pais Leme, 215, Conj. 1713, Pinheiros, São Paulo/SP, CEP 05424-150
CREDCO CORRESPONDENTE BANCÁRIO LTDA
CNPJ: 61.909.228/0001-93
São Paulo/SP, 05 de março de 2026
Dúvidas? Contato: contato@credco.com.br