Esta política se aplica a todos os serviços prestados pela BRP PAY, em razão da utilização deles pelo USUÁRIO, objetivando informar, de forma clara e completa, sobre como se dará o Tratamento das Informações Pessoais fornecidas pelo USUÁRIO. Divulgamos essa política para proteger a privacidade do USUÁRIO, garantindo que o Tratamento das Informações Pessoais servirá apenas para as finalidades aqui descritas.
1. CONSENTIMENTO
Ao utilizar os Serviços da BRP PAY, o USUÁRIO declara-se ciente com esta Política e dá expresso consentimento para o Tratamento de suas Informações Pessoais pela BRP PAY. Caso o USUÁRIO não concorde com o Tratamento de suas Informações Pessoais, na forma aqui prevista, deverá se abster de utilizá-los. Para maiores informações e regras de utilização dos serviços prestados pela BRP PAY, o USUÁRIO deve consultar o Contrato ou Termo de Uso aplicável ao Serviço ou Produto utilizado.
2. PREMISSAS E PRINCÍPIOS
As principais premissas dessa política são:
• Estabelecer as diretrizes para o tratamento adequado e seguro dos dados pessoais coletados, em conformidade com as legislações e regulamentos aplicáveis.
• Assegurar a transparência sobre como os dados pessoais são coletados, utilizados, armazenados, compartilhados e protegidos.
• Garantir os direitos dos titulares de dados, proporcionando mecanismos adequados para o exercício desses direitos.
• Demonstrar o compromisso da BRP PAY com a privacidade e a proteção de dados pessoais.
A BRP PAY observará os seguintes princípios no tratamento de dados pessoais, conforme estabelecido na fundamentação legal do regulatório brasileiro pertinente:
• Finalidade: Tratamento para propósitos legítimos, específicos e informados ao titular.
• Adequação: Compatibilidade do tratamento com as finalidades informadas.
• Necessidade: Limitação do tratamento ao mínimo necessário.
• Livre Acesso: Garantia aos titulares de consulta facilitada sobre o tratamento de seus dados.
• Qualidade dos Dados: Garantia de exatidão, clareza e atualização dos dados.
• Transparência: Informações claras sobre o tratamento e seus responsáveis.
• Segurança: Utilização de medidas técnicas e administrativas para proteção dos dados.
• Prevenção: Adoção de medidas para prevenir danos decorrentes do tratamento.
• Não Discriminação: Proibição de tratamento para fins discriminatórios ilícitos ou abusivos.
• Responsabilização e Prestação de Contas: Demonstração da adoção de medidas eficazes para o cumprimento das normas de proteção de dados.
3. CONCEITOS, DEFINIÇÕES E BASE NORMATIVA
Sem prejuízo de outras definições constantes nesta Política, as palavras e expressões abaixo indicadas, sempre que utilizadas pela primeira letra maiúscula, terão as seguintes definições:
“Contrato”: contrato de credenciamento que regula as regras, condições e limites dos serviços a serem prestados pela BRP PAY ao USUÁRIO em razão da utilização do(s) Sistema(s) da BRP PAY, bem como qualquer outro acordo que regule ou venha a regular a prestação de serviços da BRP PAY ao USUÁRIO.
“Dados Pessoais”: Informações relacionadas a pessoa natural identificada ou identificável.
“Dados Sensíveis”: Dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, dados genéticos ou biométricos.
“Dados de Uso Técnico”: informações que a BRP PAY tratar em razão da utilização de dispositivo celular, computador ou outro dispositivo que o USUÁRIO utilizar para acessar o Sistema. Os Dados de Uso Técnico mostram como o USUÁRIO utiliza o serviço prestado pela BRP PAY, incluindo o endereço IP, estatísticas sobre como as páginas são carregadas ou visualizadas, os sites que o USUÁRIO visitou e informações de navegação coletadas por meio de cookies ou tecnologia semelhante.
“Dados Anonimizados”: são informações que, isoladamente ou em conjunto com outros Dados Anonimizados, não permitem a identificação de uma pessoa, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
“Formulário de Credenciamento”: o Credenciamento do USUÁRIO ao sistema da BRP PAY poderá ocorrer pelos seguintes canais: auto credenciamento via website da BRP PAY, empresas terceiras ou parceiras, área comercial da BRP PAY, ou ainda por outros canais que vierem a ser disponibilizados pela BRP PAY, para a sua devida prestação dos serviços, nos termos da prestação de serviço contratada. O USUÁRIO deverá, quando necessário, encaminhar para análise toda documentação solicitada pela BRP PAY no momento do Credenciamento.
“Informações do Dispositivo”: dados que podem ser coletados automaticamente de qualquer dispositivo utilizado para acessar o Sistema. Essas informações podem incluir, mas sem limitação, o tipo de dispositivo, conexões de rede do dispositivo, nome do dispositivo, endereço IP do dispositivo, informações sobre o navegador do dispositivo e a conexão de internet usada para acessar o Sistema, Informações de Localização Geográfica e informações sobre os aplicativos baixados no dispositivo.
“Informações Pessoais”: informações pessoais que podem ser associadas a uma pessoa física ou pessoa jurídica identificada ou identificável. Podem incluir nome de pessoa física, firma ou denominação social de pessoa jurídica, endereço, número de telefone, e-mail, número da conta corrente ou poupança, data de nascimento, filiação e número de documentos oficiais (por exemplo, Carteira de Identidade - RG, passaporte, CPF/MF, CNPJ/MF, dentre outros).
“Localização Geográfica”: informações que identificam a localização do USUÁRIO mediante, por exemplo, coordenadas de latitude e longitude obtidas por GPS, Wi-Fi ou triangulação de localização celular. O Sistema pode solicitar permissão para compartilhar a localização atual do USUÁRIO. Se o USUÁRIO não concordar com essa coleta das informações de Localização Geográfica, o Sistema pode não funcionar adequadamente.
“PCI DSS”: Padrão de Segurança de Dados da Indústria de Cartões de Pagamento desenvolvido para incentivar e aprimorar a segurança dos dados do titular do cartão e promover a ampla adoção de medidas de segurança de dados consistentes no mundo todo.
“Plataforma”: site / plataforma na internet, suas pastas e seus subdomínios, ou aplicativo para dispositivos móveis, que possibilita ao USUÁRIO utilizar os serviços prestados pela BRP PAY.
“Tratamento”: toda operação realizada com as Informações Pessoais do USUÁRIO, em razão da coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
“USUÁRIO”: pessoa jurídica ou pessoa física (incluindo representantes, mandatários ou prepostos autorizados para executar instruções de pagamento) que fornece suas Informações Pessoais para Tratamento pela BRP PAY, sendo o titular dos dados pessoais ao qual se referem.
Dentre os principais Conceitos, Definições, Disposições, Normas disciplinadoras, Portarias, Instruções e Normativos de qualquer órgão regulador e disciplinador da legislação brasileira do mercado financeiro e de meios eletrônicos de pagamentos brasileiro, no contexto deste documento, vale mencionar que estão principalmente referenciadas no Programa de Compliance, centralizando a base legal normativa do nosso segmento de atuação e, em especial, citamos algumas abaixo:
• Código de Defesa do Consumidor (Lei nº 8.078/1990): Dispõe sobre a proteção do consumidor.
• Marco Civil da Internet (Lei nº 12.965/2014): Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil.
• O detalhamento da aplicabilidade interna e externa da Lei Geral de Proteção de Dados Pessoais (LGPD), nº 13.709/2018, que estabelece as regras para o tratamento de dados pessoais no Brasil. Caso o USUÁRIO seja pessoa jurídica, algumas condições previstas nesta Política poderão não ser aplicáveis conforme essa lei.
4. INFORMAÇÕES COLETADAS
A BRP PAY realiza o Tratamento das Informações Pessoais mínimas, necessárias para a utilização dos serviços prestados pela BRP PAY na Plataforma.
Para o credenciamento na Plataforma, os Usuários deverão disponibilizar as Informações Pessoais solicitadas. A BRP PAY apenas solicita os dados necessários para a prestação dos serviços oferecidos na Plataforma.
As Informações Pessoais do USUÁRIO poderão ser utilizadas pela BRP PAY para a formação de cadastro e banco de dados e para aprimorar seus serviços preservando-se a individualidade e identificação do USUÁRIO.
Com a finalidade de prevenir fraudes e garantir a autenticidade das informações fornecidas, poderão ser solicitadas outras Informações Pessoais não contidas no formulário de cadastro, bem como o envio de documentos que permitam a confirmação dos dados fornecidos pelo USUÁRIO. Neste caso, a BRP PAY entrará em contato com USUÁRIO diretamente. Essas informações e documentos adicionais poderão ser armazenados pela BRP PAY enquanto o USUÁRIO mantiver seu cadastro ativo.
A BRP PAY solicitará preenchimento dos dados financeiros dos USUÁRIOS, necessários para realizar a transferência de recursos, limitados: (i) aos dados de identificação de conta bancária de titularidade do USUÁRIO, contendo nome e número da instituição bancária número de agência, número da conta corrente ou conta poupança; (ii) às informações sobre a transação, ou ainda de conta de pagamento; e (iii) a outras informações associadas à transação, como seu valor, Informações do Dispositivo, Dados de Uso Técnico e Localização Geográfica.
Os dados referentes aos cartões que venham a ser utilizados na Plataforma serão coletados apenas no momento da utilização do Sistema, por meio de equipamentos ou sistemas para captura das transações com cartão. O Tratamento dos dados do cartão será realizado apenas para possibilitar a realização da transação de pagamento perante as credenciadoras, emissores e bandeiras. Estes dados não serão armazenados pela BRP PAY, mas por opção do Usuário poderão ser armazenados em Parceiros da BRP PAY, que possuem certificação e habilitação apropriada para tal armazenamento de forma segura.
Os dados financeiros da BRP PAY são capturados na Plataforma, de modo criptografado, dentro dos padrões de segurança PCI-DSS – Payment Card Industry Data Security Standard. Essa coleta se dará através do parceiro da BRP PAY, prestador de serviços de meios de pagamento, de modo que a BRP PAY não terá acesso a tais informações, não cabendo a ela qualquer responsabilidade com relação a tais informações.
A BRP PAY poderá coletar e armazenar outras Informações Pessoais do USUÁRIO para o cumprimento de exigência prevista em lei ou emanada das autoridades competentes, bem como para receber e processar comunicações, chamados e exercício de direitos dos USUÁRIOS.
Tais informações e tratamento de dados pessoais terão observadas, dentro dos preceitos legais, a boa-fé e os princípios estritos da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, e responsabilização e prestação de contas.
A BRP PAY poderá armazenar as Informações Pessoais e demais informações do USUÁRIO quando houver legítimo interesse da BRP PAY e para o cumprimento de exigência legal ou demanda das autoridades competentes.
As Informações Pessoais são obtidas mediante solicitação clara ao USUÁRIO e com a autorização expressa do USUÁRIO (caso aplicável), quando da criação do cadastro pelo USUÁRIO, sendo processadas com a finalidade de cumprimento dos serviços oferecidos de acordo com o Contrato da BRP PAY. Será realizado o Tratamento de informações adicionais do USUÁRIO apenas com base no interesse legítimo da BRP PAY.
O website e serviços de internet da BRP PAY podem utilizar Informações do Dispositivo, Dados de Uso Técnico e Localização Geográfica do USUÁRIO.
Ainda, os websites e serviços de internet da BRP PAY podem utilizar cookies (arquivos gravados em seu computador para obter informação de navegação dentro do website), para fim de confirmação de identidade e aprimoramento de sua navegação. Caso o USUÁRIO não concorde com sua utilização, poderá desabilitar o uso dessa função utilizando as opções de seu browser.
5. COMPARTILHAMENTO E UTILIZAÇÃO DAS INFORMAÇÕES PESSOAIS
As Informações Pessoais do USUÁRIO poderão ser utilizadas pela BRP PAY para a formação de cadastro e banco de dados mediante o Tratamento das Informações Pessoais, preservando-se a confidencialidade, individualidade e identificação do USUÁRIO.
A fim de aprimorar seus serviços, a BRP PAY poderá realizar o Tratamento das Informações do Dispositivo e Dados de Uso Técnico. Essas informações serão anonimizadas, ou seja, não possibilitarão a identificação do USUÁRIO em particular.
Para a prestação dos serviços da BRP PAY, as Informações Pessoais do USUÁRIO serão compartilhadas pela BRP PAY com outros USUÁRIOS, por rede segura, restritivamente ao que for necessário, e de interesse legítimo ao propósito dos serviços prestado pela BRP PAY, para identificar o USUÁRIO e os dados da transação realizada por meio da Plataforma.
As Informações Pessoais do USUÁRIO também poderão ser compartilhadas pela BRP PAY com (i) terceiros contratados para prover serviços de computação, antifraude, prevenção à lavagem de dinheiro e combate ao terrorismo, transferência de dados e hospedagem em nuvem, desde que esses terceiros guardem o mesmo padrão de privacidade e segurança aplicados pela BRP PAY e estejam contratualmente obrigados a não acessar o conteúdo, processar ou compartilhar as informações, exceto mediante ordens expressas da BRP PAY; (ii) para empresas do grupo da BRP PAY ou que tenham sócios em comum; (iii) aos prestadores de serviços terceirizados da BRP PAY; e (iv) a instituições financeiras ou de pagamento parceiras. Esses terceiros somente poderão utilizar as Informações Pessoais para possibilitar a realização dos serviços prestados pela BRP PAY.
Os terceiros contratados são responsáveis pela observância e aplicação das regras e requisitos do PCI DSS, que se aplica a todas as entidades envolvidas nos processos de pagamento do cartão — inclusive comerciantes, processadores, adquirentes, emissores e prestadores de serviço. O PCI DSS também se aplica a todas as outras entidades que armazenam, processam ou transmitem dados do titular do cartão (CHD) e/ou dados de autenticação confidenciais (SAD).
A BRP PAY também poderá ser obrigada, por lei ou por determinação das autoridades competentes, a divulgar Informações Pessoais do USUÁRIO.
Os dados das transferências de recursos e das Informações Pessoais poderão ser utilizados pela BRP PAY para elaboração de pesquisas e estatísticas voltadas a analisar eficiência da Plataforma, número de USUÁRIOS, o valor total de débitos pagos, entre outros, desde que tais Informações Pessoais sejam anonimizadas ou na forma de valores totais para a criação de estatísticas, de modo a não identificar o USUÁRIO. As conclusões e resultados dessas pesquisas poderão ser compartilhados ou divulgados pela BRP PAY a seu critério, visto que não contém Informações Pessoais.
A BRP PAY realizará o Tratamento das Informações Pessoais do USUÁRIO, para operar o Sistema e prestar os serviços, nos casos a seguir:
I. Comunicar-se com o USUÁRIO sobre o cadastro, utilização do Sistema ou serviços;
II. Realizar verificações de crédito e de reputação financeira;
III. Manter as Informações Pessoais atualizadas;
IV. Monitorar e analisar o comportamento do USUÁRIO com relação à utilização da Plataforma e dos serviços;
V. Realizar a verificação da identidade do USUÁRIO para gerenciar riscos e proteger o Sistema, os serviços e o USUÁRIO contra fraudes. As ferramentas de riscos e prevenção a fraudes irão utilizar as Informações Pessoais, Informações do Dispositivo, Dados de Uso Técnico e Localização Geográfica;
VI. Realizar e promover campanhas de marketing e aprimoramento dos serviços ou da experiência de utilização do Sistema;
VII. Oferecer serviços personalizados prestados por terceiros, inclusive mediante a utilização de cookies;
VIII. Promover ofertas de produtos ou serviços específicos do local, se o USUÁRIO optar por compartilhar suas informações de Localização Geográfica, mediante a disponibilização de anúncios, resultados de pesquisas e outros conteúdos personalizados;
IX. Dar cumprimento às obrigações previstas no Contrato, leis e normas aplicáveis; e
X. Sugerir conexões entre o USUÁRIO e terceiros, que o USUÁRIO talvez conheça ou com terceiros que possam se interessar em realizar transações por meio do Sistema.
Ressalvado o disposto neste documento, em Contrato ou Termo de Uso com o USUÁRIO, a BRP PAY não divulga nem compartilha Informações Pessoais do USUÁRIO com terceiros.
6. PUBLICIDADE
O e-mail e/ou telefone do USUÁRIO informado no preenchimento do cadastro, será utilizado como meio de comunicação pela BRP PAY, apenas para o envio de informações a respeito do Sistema, solicitação de documentos e de informações relacionadas com o cadastro.
O USUÁRIO poderá optar por receber newsletter, materiais promocionais e de marketing quando do preenchimento do cadastro ou solicitar o cancelamento do envio de e- mails informativos mediante as opções disponíveis no cadastro do USUÁRIO. O processamento de informações pessoais necessárias para isso se dará mediante o consentimento do USUÁRIO.
A BRP PAY não utiliza serviços de terceiros para enviar e-mails em seu nome. Se o USUÁRIO receber e-mail que acredita não ter sido enviado pela BRP PAY, deverá se abster de adotar qualquer ação e entrar em contato imediatamente com a BRP PAY para confirmar sua veracidade.
Tendo em vista a necessidade de compartilhamento de Informações Pessoais com outros USUÁRIOS e/ou Parceiros, em relação aos pagamentos realizados por meio da Plataforma, o USUÁRIO está ciente de que poderá receber telefonemas, e-mails e correspondências encaminhadas diretamente por tais USUÁRIOS e/ou Parceiros, mas que não poderão ser atribuídos à BRP PAY.
7. ARMAZENAMENTO
As Informações Pessoais coletadas pela BRP PAY são armazenadas em servidores seguros, de forma criptografada, com a utilização de medidas de segurança de informação constantemente atualizadas. As informações serão mantidas confidenciais e serão adotadas todas as medidas possíveis contra perda, roubo, uso indevido, alteração e acesso não autorizado.
As Informações Pessoais relacionadas ao cadastro serão armazenadas enquanto o USUÁRIO mantiver um cadastro ativo e utilizar os serviços da BRP PAY. Essas Informações Pessoais também poderão ser armazenadas por até mais 05 (cinco) anos, com a finalidade específica de produção de prova, caso necessário, ou atenderá a outro prazo que vier a ser determinado de acordo com a legislação vigente.
As Informações Pessoais relacionadas ao acesso do USUÁRIO ao website e serviços da BRP PAY poderão ser armazenadas pela BRP PAY por até 06 (seis) meses, de acordo com a legislação vigente.
Informações anonimizadas, que não identifiquem o USUÁRIO, poderão ser utilizadas pela BRP PAY indefinidamente para fins estatísticos.
A BRP PAY emprega padrões de segurança avançados, incluindo firewalls, antivírus e outros softwares que auxiliam na proteção de hackers e não vazamento das Informações Pessoais armazenadas. Apesar da BRP PAY se dedicar a proteger a Plataforma, o USUÁRIO é responsável por proteger e manter a privacidade de seu cadastro e Informações Pessoais. A BRP PAY não se responsabiliza por Informações Pessoais que o USUÁRIO compartilhar com terceiros.
Na medida da legislação aplicável, a BRP PAY não se responsabiliza por violações ilegais de sua Plataforma, que venham a comprometer a sua base de dados e as Informações Pessoais dos USUÁRIOS, bem como não se responsabiliza pela utilização indevida das Informações Pessoais obtidas na Plataforma, de forma fraudulenta ou ilícita.
Em caso de suspeita ou confirmação de violação da Plataforma ou de perda de Informações Pessoais do USUÁRIO, a BRP PAY envidará seus melhores esforços e tomará medidas imediatas para eliminar ou reduzir os riscos de danos ao USUÁRIO, bem como informará os USUÁRIOS potencialmente afetados e as autoridades competentes de tal fato, os riscos envolvidos e as medidas necessárias para evitar tais danos.
8. ALTERAÇÕES NA POLÍTICA
Essa Política será revista periodicamente pela BRP PAY para adequá-la à prestação de serviços ao USUÁRIO, mediante a exclusão, modificação ou inserção de novas cláusulas e condições e serão informadas ao USUÁRIO.
Caso o USUÁRIO não concorde com as alterações, poderá solicitar o cancelamento de seu cadastro perante a BRP PAY o que também implicará em encerramento do contrato.
A realização do cadastro e/ou continuidade do uso da Plataforma e dos serviços da BRP PAY pelo USUÁRIO serão interpretados como concordância e aceitação da versão vigente da Política, incluindo as últimas alterações realizadas, passando essas a serem integralmente aplicáveis.
9. DIREITOS DOS USUÁRIOS
É permitido ao USUÁRIO, a qualquer tempo, nos limites da legislação de proteção de dados aplicável, exercer os direitos de: (i) confirmação da existência de tratamento de Informações Pessoais daquele USUÁRIO; (ii) acesso a tais Informações Pessoais; (iii) correção de Informações Pessoais incompletas, inexatas ou desatualizadas; (iv) anonimização, bloqueio ou eliminação de Informações Pessoais desnecessárias, excessivas ou tratadas em desconformidade com o disposto na legislação aplicável; (v) portabilidade de Informações Pessoais a outro fornecedor de serviço mediante requisição expressa e observados os segredos comercial e industrial da BRP PAY, de acordo com a regulamentação da autoridade competente; (vi) eliminação das Informações Pessoais tratadas com base no consentimento do USUÁRIO, salvo nas exceções previstas na legislação aplicável; (vii) a informação das entidades públicas e privadas com as quais a BRP PAY realizou uso compartilhado de Informações Pessoais do USUÁRIO; (viii) a informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, quando determinada operação de tratamento embasar-se no consentimento do USUÁRIO; e (ix) a revogação do consentimento, nos termos da legislação aplicável.
No caso de cancelamento de suas Informações Pessoais, o USUÁRIO não poderá utilizar o Sistema da BRP PAY.
Os direitos poderão ser exercidos mediante o envio de solicitação formal do USUÁRIO, acompanhada de prova de sua identidade, ao endereço indicado no local de acesso desta Política, endereçada ao encarregado de proteção de dados (DPO) da BRP PAY.
A BRP PAY poderá contatar o USUÁRIO para confirmar sua identidade antes do cumprimento da solicitação, que somente será aprovada mediante a confirmação da identidade do USUÁRIO.
10. DISPOSIÇÕES GERAIS E CONSIDERAÇÕES FINAIS
O cumprimento fiel do aqui disposto, seus anexos, citações e partes integrantes, caso houveres, é dever de todos os envolvidos dentro da abrangência do objetivo ao qual ele se destina. Este documento está disponível em local acessível a todos diretamente envolvidos no escopo deste, em linguagem clara e acessível.
Em casos de dúvidas ou esclarecimentos sobre o conteúdo desse documento ou em relação a algum assunto específico, a parte interessada deverá entrar em contato com o Compliance.
11. CONTROLE DE HISTÓRICO E VERSIONAMENTO
Este documento deverá ser revisado anualmente ou em prazo inferior, sempre que necessário, se houver alguma alteração nas leis, regulamentos aplicáveis pelo arranjo de pagamento ou órgãos reguladores, sendo revisado e aprovado pela Diretoria Executiva.
Responsável: Jurídico, Compliance e TI.
Versão: “1.0” (versão atual)
Criação: setembro/2025. Aprovação: setembro/2025. Vigência: setembro/2026.
Descrição: futuras alterações neste documento serão descritas e incrementada nova versão.
