Política de Privacidade e Segurança da Informação

Política de Privacidade e Segurança da Informação

A Política de Proteção de Dados Pessoais (“Política de Privacidade e Segurança da Informação”) que você está acessando integra os Contratos de Prestação de Serviços, de Compra de Recebíveis, Empréstimos, Financiamentos, Contrato de Credenciamento de Estabelecimentos das empresas do Grupo Arlemcar e esclarece a forma de como Grupo Arlemcar realiza a coleta, armazenamento, uso, processamento e proteção dos seus dados pessoais.

O Grupo Arlemcar é composto pelas empresas:

- JLM Fomento Mercantil e Comercial Ltda;

- Deltapag Soluções em Pagamentos Ltda;

- Arlemcred Empresa Simples de Crédito Ltda;

- SCRTM Serviço de Cobrança e Recebimentos de Títulos Mercantis Ltda;

- Arlemcar Casa Lotérica Ltda;

- JJM Arlemcar Casa Lotérica Ltda.

Essa Política de Privacidade e Segurança estabelece as diretrizes adotadas pelo Grupo Arlemcar, que visam assegurar a privacidade e a segurança das informações tratadas no âmbito das transações com cartões de débito e crédito em seu POS (Point Of Sale – Ponto de Venda ou Ponto de Serviço), nas operações de crédito, financiamentos, empréstimos, de antecipação de recebíveis e de recebimentos e cobranças.

Com o objetivo de zelar pelos pilares da segurança da informação, a

saber: confidencialidade, integridade e disponibilidade dos dados, o Grupo Arlemcar segue padrões de segurança rígidos que estão em conformidade com as melhores práticas do mercado e os mais seguros padrões de segurança internacionalmente

existentes, inclusive sendo certificado pela Payment Card Industry (PCI Security Standards Council).

Essa Política de Privacidade e Segurança foi elaborada em conformidade com a Lei Federal n° 12.965, de 23 de abril de 2014 (Marco Civil da Internet), com a Lei Federal n° 13.709, de 14 de agosto de 2018 (Lei de Proteção de Dados Pessoais – LGPD), ABNT NBR ISSO 27001 e com o Regulamento UE n° 2016/679, de 27 de abril de 2016 (Regulamento Geral Europeu de Proteção de Dados Pessoais – GDPR).

Ao acessar e concluir cadastros fisicamente ou eletronicamente, dando continuidade nos serviços prestados pelo Grupo Arlemcar, o Usuário/Cliente declara estar ciente e de acordo com o disposto nos termos, autorizando as empresas do Grupo Arlemcar tratar dados e informações fornecidas pelo Usuário/Cliente, nos termos estabelecidos nesta Política De Privacidade e Segurança da Informação.

Caso você não concorde com alguma disposição desta Política de Privacidade e Segurança da Informação, solicitamos não prosseguir com os serviços disponibilizados pelas empresas do Grupo Arlemcar.

Se houver alguma dúvida, estaremos sempre à disposição para ajudá-lo através dos nossos canais de atendimento ao usuário.

Telefone: (00) 0000.0000 E-mails:

xxxxxxx@xxxxxxxx.xxx.xx xxxxxxxx@xxxxxxxx.xxx xxxxxxxxx@xxxxxxxx.xxx

Nossa Política de Privacidade não se aplica a serviços oferecidos por outras empresas ou indivíduos, inclusive produtos ou sites que usam alguma empresa do Grupo Arlemcar como intermediadora de pagamentos/transações/negociações.

Podemos garantir apenas a segurança e integridade dos dados que o Usuário/Cliente fornece diretamente às empresas do Grupo Arlemcar.

Para facilitar o seu entendimento, dividimos a Política de Privacidade e Segurança em quatro itens:

1. Objetivos da Coleta;

2. Uso, Proteção e Armazenamento;

3. Cookies;

4. Disposições Finais.

Objetivos da coleta

De acordo com o Art. 7° da Lei 13.709/2018, desenvolvemos esta Política de Privacidade para demonstrar o compromisso do Grupo Arlemcar com a segurança e a privacidade das informações coletadas do Usuário/Cliente ao utilizar os serviços das empresas do Grupo Arlemcar, seja on-line , seja por meio de atendimento presencial, através de equipamentos para leitura de cartões, ou através de fichas confeccionadas em papel, cadastros eletrônicos/físicos para possibilitar a realização dos serviços das empresas do Grupo Arlemcar.

Para utilização dos Serviços Prestados pelo Grupo Arlemcar e prosseguimento das transações e operações, coletamos as seguintes informações do Usuário/Cliente ou de terceiros:

• Nome completo;

• E-mail;

• Telefone fixo/celular;

• Redes Sociais;

• CPF ou CNPJ;

• Endereço;

• Data de nascimento (opcional);

• Dados bancários;

• Constituição;

• Faturamento;

• IP de usuário;

• Informações financeiras;

• Cookies.

Não serão coletados dados sensíveis de Usuários/Clientes, assim entendidos aqueles definidos nos Arts. 5° item II e 11° da LGPD e Arts. 9º e 10º da GDPR.

Quaisquer informações que o Usuário/Cliente voluntariamente fornecer serão coletadas e guardadas de acordo com padrões rígidos de segurança e confidencialidade, sendo de responsabilidade das empresas do Grupo Arlemcar zelar pela integridade das informações que nos forem fornecidas. Ao acessar o portal com login e senha ou assinar um contrato/cadastro físico o Usuário/Cliente declara ter lido e aceito, sem reservas, todas as cláusulas e condições da presente Política de Privacidade e Segurança da Informação.

As empresas do Grupo Arlemcar manterão comunicação e entrarão em contato pelo número de telefone fixo/celular fornecido pelo Usuário/Cliente ou enviar mensagens ao Usuário/Cliente, via correio eletrônico, WhatsApp ou SMS, para informar sobre condições comerciais, status de transações, confirmação de dados e da transação, comunicados institucionais, comerciais e motivacionais, de modo a garantir a segurança e efetividade dos serviços prestados.

Uso, Proteção e Armazenamento

As informações pessoais que forem passadas às empresas do Grupo Arlemcar pelo Usuário/Cliente serão coletadas por meios éticos e legais, com propósito de operacionalizar os serviços disponibilizados pelas empresas do Grupo Arlemcar. Os dados serão armazenados durante o prazo necessário de acordo com as bases legais previstas nas legislações pertinentes e na Lei n° 13.709 de 2018 (Lei de Proteção de Dados Pessoais – LGPD) e poderão ser utilizados para:

(i) prestar, manter, proteger e melhorar a qualidade dos serviços oferecidos aos Usuários/Clientes;

(ii) desenvolver novos serviços;

(iii) cumprir obrigações legais de qualquer natureza, investigar possíveis violações, detectar, prever ou identificar fraudes ou problemas técnicos e/ou de segurança, proteger direitos, propriedades ou segurança das empresas do Grupo Arlemcar ou de terceiros contra possíveis danos, conforme previsto ou permitido em lei;

(iv) obter estatísticas genéricas para identificação do perfil dos Usuários/Clientes e desenvolvimento de campanhas;

(v) melhoria da experiência do Usuário/Cliente, por meio de ofertas específicas e direcionadas, além da prática de marketing direcionado, de acordo com o perfil do Usuário/Cliente.

(vi) e de acordo e não se limitando com as bases legais do Art.6º da Lei 13.709/2018.

Vale ressaltar que as empresas do Grupo Arlemcar atuam sob supervisão de diversos órgãos reguladores e precisa dos dados de Usuários/Clientes para cumprir obrigações legais e regulatórias.

Ainda, adotamos procedimentos de prevenção à fraude, com o intuito de proteger os Usuários/Clientes e utilizaremos os dados também para ajudar a resolver as reclamações, dúvidas e solicitações.

As empresas do Grupo Arlemcar enviarão e-mails sobre notificações de pagamentos, cobranças, confirmações de títulos, questionamentos de transações, novidades nos serviços, ofertas e promoções. Caso o Usuário/Cliente não queira recebê-los, é só enviar uma simples notificação pedindo a desativação dessas mensagens desde que não sejam de relevância para execução dos serviços.

As informações pessoais coletadas pelas empresas Arlemcar serão armazenadas em servidores físicos próprios e poderão ser armazenadas em nuvem confiável, respeitando todas as normas de segurança e privacidade.

As empresas do Grupo Arlemcar poderão realizar transferências internacionais de dados para outros países, tais como Estados Unidos da América e para países da União Europeia, a fim de realizar algumas das atividades envolvidas nos serviços prestados para terceiros (exemplo: banco de dados em nuvem) e aos Usuários/Clientes, bem como para poder obter informações que possam contribuir para o aperfeiçoamento e segurança dos nossos serviços.

Na hipótese de compartilhamento com parceiros localizados em outros

países, estabelecemos contratualmente que o parceiro possua padrão de proteção de dados e segurança da informação compatível com a nossa Política de Privacidade e Segurança da Informação, a fim de que os dados sejam sempre protegidos nestes termos.

O Grupo Arlemcar poderá vender ou comprar outras empresas ou ativos. Em caso de venda, fusão, reorganização, dissolução da empresa ou outra operação societária semelhante, os dados pessoais poderão fazer parte dos ativos intangíveis compartilhados ou transferidos.

As empresas do Grupo Arlemcar poderão realizar o compartilhamento de dados pessoais entre si, com as seguintes finalidades:

(i) para manutenção e aprimoramento das políticas antifraude e lavagem de dinheiro;

(ii) o desenvolvimento de novos produtos e serviços;

(iii) a oferta de produtos e serviços que melhor atenda aos interesses dos Usuários/Clientes;

(iv) geração de dados estatísticos e agregados acerca do uso de produtos e serviços e perfis dos Usuários/Clientes;

(v) para proteção de crédito;

(vi) execução de contratos.

As empresas do Grupo Arlemcar poderão compartilhar dados coletados com prestadores de serviços terceirizados na medida em que tais informações sejam necessárias à prestação do serviço ou aprimoramento de alguma finalidade para execução dos serviços prestados.

As empresas do Grupo Arlemcar poderão compartilhar os dados coletados com Bureaus de Crédito, instituições financeiras/pagamentos, órgãos públicos, que poderão ser validados e arquivados no banco de dados destes, com o intuito de prevenção de fraude, proteção ao crédito, podendo estes dados serem utilizados para as seguintes finalidades:

– Mitigar as fraudes eletrônicas/físicas considerando a análise do perfil do cliente final, histórico de transações/operações realizadas e informações existentes nos bancos de dados, aplicando o modelo estatístico ou análise humana de indicador de propensão à fraude, por mesas de análise de risco/crédito/cadastro, a fim de conferir o status sobre a suspeita de fraude, veracidade e de bom pagador para evitar que sejam realizadas transações por terceiros, em nome de terceiros e/ou se

utilizando informações falsas;

– Podendo criar um cadastro de classificação de risco baseada no histórico de transações realizadas pelos Usuários/Clientes;

– Para fins estatísticos sem individualização dos referidos dados.

Ao aceitar esta Política de Privacidade e Segurança você concorda com o compartilhamento de dados com as empresas parceiras do Grupo Arlemcar.

A menos que as empresas do Grupo Arlemcar recebam ordem judicial ou mediante determinação legal, as informações do Usuário/Cliente não serão transferidas a terceiros ou usadas para finalidades diferentes daquelas para as quais foram coletadas. No caso dos Sites/Portais, os dados de acesso, seções e origem da navegação serão usados apenas com a intenção de aprimorar e tornar os assuntos

aqui tratados mais relevantes e úteis para os Usuários/Clientes e as empresas do Grupo Arlemcar não os transferirão, sem o consentimento do titular dos dados, para terceiros com finalidade diversa destes termos.

O acesso às informações coletadas está restrito apenas a funcionários autorizados para o uso adequado dessas informações.

O Grupo Arlemcar manterá íntegras as informações que forem fornecidas pelo Usuário/Cliente, que podem ser solicitadas a qualquer momento pelo Usuário/Cliente para consulta, através dos e-mails:

xxxxxxx@xxxxxxxx.xxx.xx xxxxxxxx@xxxxxxxx.xxx xxxxxxxxx@xxxxxxxx.xxx

O Usuário poderá gerenciar, alterar, corrigir e atualizar, seus dados, sendo possível fazê-lo através de solicitação às empresas do Grupo Arlemcar que pode ser via site, e-mail, aplicativo de mensagens fornecendo os dados a seguir:

• Nome social (apelido)/Fantasia;

• Empresa;

• CPF/CNPJ;

• Nome de usuário;

• E-mail;

• Telefone;

O Usuário/Cliente pode, a qualquer momento, solicitar a correção de dados incompletos, inexatos ou desatualizados, bem como solicitar a revogação do consentimento e remoção das informações coletadas a seu respeito do banco de dados das empresas do Grupo Arlemcar, desde que não prejudique a efetivação e legislação/regras pertinentes à prestação do serviço ao Usuário/Cliente.

Para isso, basta entrar em contato nos e-mails, telefones ou aplicativos de comunicação utilizados para comunicação e o Grupo Arlemcar respeitará o

prazo mínimo de armazenamento de informações determinado pela legislação brasileira. As atualizações, acesso aos dados e portabilidade também podem ser solicitadas pelo mesmo canal de atendimento acima referido.

O Grupo Arlemcar fará todo o possível para manter a privacidade das informações pessoais e informações de acesso armazenados em seus servidores/banco de dados, comprometendo-se a utilizar tecnologia que seja

suficientemente adequada para a proteção de tais dados, procurando manter o ambiente seguro, com uso de ferramentas apropriadas e controles eficientes de segurança das informações coletadas, sempre observando o estado da técnica disponível.

Cumprimos rigorosamente as legislações aplicáveis ao tema da Proteção dos Dados Pessoais e usamos medidas físicas e digitais de segurança, como controle de acessos, criptografia forte, implementação SSL, firewalls, registro de log de alteração, entre outros mecanismos de proteção.

Para sua maior tranquilidade, possuímos uma equipe de Segurança da Informação focada em prevenir e combater ameaças e incidentes de segurança. É por essas e outras razões que empresa do grupo é certificada pelo Payment Card Industry Security Standards Council como uma instituição segura, comparável às líderes mundiais na área de pagamentos.

Cookies

Podemos utilizar Cookies, sempre que outros estabelecimentos comerciais ou parceiros forem contratados para prover serviços de apoio, será exigida a adequação aos padrões de privacidade do Grupo Arlemcar.

Para certificar que os serviços prestados estão de acordo com o melhor padrão esperado pelo Usuário/Cliente, eventualmente, o Grupo Arlemcar poderá utilizar “cookies” (*), sendo que o Usuário/Cliente pode, a qualquer instante, ativar em seu

navegador mecanismos para informá-lo quando os mesmos estiverem acionados ou para evitar que sejam acionados.

(*) Cookies: pequeno arquivo colocado em seu dispositivo ou computador para rastrear movimentos dentro dos websites. Os cookies retêm apenas informações relacionadas com as preferências do Usuário, porém não recolhem informações que o identifique.

Alguns cookies são essenciais para acessar áreas específicas do site. Permitem

a navegação e a utilização das suas aplicações, tal como acessar áreas seguras do site através de login. Sem estes cookies, os serviços que o exijam não podem ser prestados.

O Grupo Arlemcar poderá se utilizar de empresas especializadas em veiculação de propagandas, dentro e fora do site como, por exemplo, nas redes sociais (Instagram, LinkedIn, Facebook, Google, não se restringindo ao último).

Ao aceitar esta Política de Privacidade e Segurança você concorda com a coleta dos cookies por empresas contratadas pelas empresas do Grupo Arlemcar para esse fim.

Disposições finais

Infelizmente, não podemos garantir a segurança do aparelho pelo qual você acessa os nossos sites, por isso tome sempre as precauções de segurança básicas:

• Não confie em e-mails estranhos;

• Não compartilhe sua senha de acesso com ninguém;

• Não acesse sites suspeitos;

• Tenha mecanismos de proteção ativos e atualizados, tais como antivírus e antimalware;

• Não instale programas de fontes estranhas ou ilegais.

Recomenda-se que o Usuário/Cliente verifique, periodicamente, esta Política de Privacidade, pois ela está sujeita a alterações sem prévio aviso. Havendo alterações substanciais, as empresas do Grupo Arlemcar enviarão, para o endereço eletrônico, SMS ou via aplicativo de mensagens cadastrado, um aviso que houve alteração na Política de Privacidade para a ciência do Usuário/Cliente.

Neste, o responsável pelo tratamento dos dados pessoais coletados é o Grupo Arlemcar, podendo ser encontrado no telefone: (00) 0000.0000 ou no endereço: Xxx Xxxxxx Xxxx Xxxxx, 000 – Xxxxxx – Xxxxxxx/XX, Xxx 00000-000.

Em cumprimento ao Art. 41° da LGPD e Art. 37° da GDPR, o encarregado de proteção de dados (Data Protection Officer - DPO) poderá ser contactado através dos endereços de e mails:

xxxxxxxxx@xxxxxxxx.xxx.xx xxxxxxxx@xxxxxxxx.xxx

Outras importantes informações sobre os termos e condições de utilização deste estão disponíveis nos Contratos de Credenciamento Deltapag, nos Contratos de Fomento, Prestação de Serviços, Empréstimos e demais políticas das empresas do Grupo Arlemcar.

A Deltapag trata os seus dados de forma responsável

Neste documento, nós da Deltapag e as empresas do Grupo Arlemcar apresentamos um complemento em nossa Política de Privacidade, para que você Cliente/Titular ou Parceiro saiba como utilizamos os seus dados pessoais na oferta e disponibilização de nossas Soluções e Produtos/Serviços, sempre em conformidade com os requisitos da legislação vigente.

Este Complemento à Política de Privacidade e Segurança da Informação não se aplica a informações coletadas por terceiros, incluindo sites, aplicativos ou outro conteúdo que possa ser acessível por meio ou vinculado a este site. A Deltapag e o Grupo Arlemcar não são responsáveis pelo conteúdo ou práticas de privacidade em qualquer site que não seja o do Grupo Arlemcar ou da Deltapag, ao qual este site está vinculado, considerados ambientes externos.

Ao utilizar nossas Soluções e Serviços você declara estar ciente do disposto em nossa Política e neste Complemento de Privacidade.

Se você, é um Cliente e/ou um Comprador e realizou um pagamento a um comércio/prestador de serviço que se utiliza das Soluções da Deltapag ou de uma das empresas do Grupo Arlemcar, como nós tratamos os seus dados pessoais?

A menos que você, comprador, tenha preenchido algum cadastro ou interagido diretamente com a Deltapag ou alguma empresa do Grupo Arlemcar, nós apenas realizaremos o tratamento de seus dados pessoais no momento em que você utiliza uma de nossas soluções por meio de clientes. A finalidade deste tratamento é processar os seus pagamentos e proteger você, as empresas do Grupo Arlemcar e nossos clientes de eventuais fraudes.

Na maior parte dessas situações a Deltapag será considerada Operadora de Dados Pessoais, tendo em vista sua atividade principal de fornecimento de Soluções para empreendedores comerciantes e prestadores de serviços. Informamos que nos casos em que a Deltapag atuar na condição de Operadora, os direitos elencados nas normas deverão ser solicitados diretamente ao Controlador, ou seja, ao empreendedor, cliente das Soluções.

É muito importante você saber que as nossas operações de Tratamento de Dados Pessoais respeitam padrões de segurança internacionais aplicáveis ao nosso setor, como por exemplo as diretrizes PCI-DSS (Payment Card Industry – Data Security Standard), que inclui, entre diversos requisitos de segurança, a criptografia dos

dados de cartões, e estão de acordo com a Lei 13.709/2018 (Lei Geral de Proteção de Dados - LGPD).

Coleta de Dados Pessoais

Poderemos tratar dados pessoais:

1- Fornecidos diretamente por você, durante o credenciamento, autocredenciamento, contratação, cadastro, preenchimento de formulários e/ou interações em nossas Soluções e Sistemas (ou de nossas Afiliadas), inclusive nas situações de campanhas de marketing, atendimento por e-mail, mensagens instantâneas e/ou contato telefônico.

2- Coletados, inclusive automaticamente:

• quando da utilização de nossas Soluções e Sistemas, por meio de tecnologias que possam nos ajudar a identificar você (como cookies, web beacons, pixels e local shared objects);

• quando compartilhados ou transmitidos por ou em nome de nossos Clientes, durante a utilização das Soluções e Sistema por Usuários e Compradores (a exemplo de operações como transações com cartões de crédito, débito, PIX, transferências, emissão de boletos e links de pagamento);

• Fornecidos e/ou coletados de bases de dados de terceiros, pessoas físicas ou jurídicas que possuam relacionamento direto com você e/ou de bases de dados públicas e/ou privadas, estruturadas ou não, a exemplo de bureaus, redes sociais e bancos de dados mantidos pelo Registradoras e Infraestruturas de Mercado Financeiro, Banco Central do Brasil, Receita Federal, Tribunais, Cartórios.

Atenção! Cliente! Sempre que você disponibilizar, publicar e/ou compartilhar por meio de nosso Sistema e/ou Soluções, quaisquer dados pessoais de terceiros, certifique-se de que você possui embasamento legal para fornecê-los à Deltapag e/ou uma empresa do Grupo Arlemcar, afinal, nos termos da Lei, você é responsável pela licitude desta coleta de dados pessoais.

Exemplificativamente, os seguintes tipos/categorias de dados pessoais poderão ser tratados:

• Dados cadastrais: nome completo, número de telefone, e-mail, endereço, número e imagem de documento de identidade e CPF, data de nascimento, nome completo da mãe, estado civil, naturalidade, escolaridade, profissão, autodeclaração de pessoa politicamente exposta, dentre outros que poderão ser solicitados, inclusive em campos de cadastro;

• Dados biométricos: biometria facial;

• Dados bancários e financeiros: número de agência e conta bancária e/ou de pagamento, histórico financeiro, limites de crédito;

• Dados de contato para publicidade: números de telefone, endereço para correspondência, e-mail e perfis em redes sociais;

• Dados transacionais e de meios de pagamentos: dados de Cartão (criptografados) e/ou outros meios de pagamentos, nome do portador, forma de pagamento, número de parcelas, valores transacionados em operações realizadas pelos clientes que utilizam nossas Soluções e Plataformas, nos termos das normas e regulamentos como o PCI e o sigilo bancário;

• Dados de localização: geolocalização, dados sobre dispositivos, data e hora de acesso ao site e/ou Soluções/Sistema, obtidos por meio de tecnologias como GPS, redes wi-fi e telefonia;

• Dados de navegação: endereço IP, horários de acesso a Solução e Plataformas, identificadores relacionados a cookies, tipo web beacons ou tecnologias semelhantes que possuam a capacidade de identificar você (seus dispositivos e navegadores). Para saber detalhadamente como utilizamos cookies e/ou limitar a coleta de cookies por nosso site, consulte nossa Política de Privacidade e Segurança da Informação em nosso site;

• Dados de interação: caso você tenha utilizado algum canal de contato para falar conosco (exemplos: chat, redes sociais, aplicativo de comunicação) poderão ser armazenados os dados da ligação ou do contato via chat/e-mail, a gravação da mensagem e/ou o conteúdo do que foi dito aos nossos colaboradores ou prepostos. Ainda, caso você tenha interagido com as nossas marcas em redes sociais, sites e aplicativos, poderão ser coletados dados pessoais fornecidos por você ou gerados a partir das interações feitas.

Importante! Para usufruir corretamente de nossas Soluções e Sistema, precisamos sempre que você forneça dados pessoais verídicos e atualizados. Você responderá, nos termos das normas, por eventual inveracidade dos mesmos. Ainda, nós podemos solicitar, periodicamente, que você atualize as suas informações e/ou forneça novos dados pessoais que se façam necessários.

Bases legais e finalidades do Tratamento de Dados Pessoais

Todos os dados pessoais coletados são tratados de forma ética e conforme os mais confiáveis padrões de segurança e confidencialidade, de acordo com a legislação e regulamentação aplicável.

A seguir detalhamos as principais bases legais e finalidades do Tratamento dos Dados Pessoais acima indicados, nos cenários em que nós somos controladores dos seus dados pessoais:

Para o cumprimento de nossas obrigações legais e regulatórias: nós trataremos seus dados pessoais e dados pessoais sensíveis com a finalidade de cumprir as exigências

legais e regulatórias previstas, inclusive, no Código Civil, no Marco Civil da Internet, na Lei do Sigilo Bancário, na Lei de Lavagem de Dinheiro, na Lei 12.865/13 ou nas demais regras setoriais do BACEN, CMN e do COAF, que regulam a atuação de Instituições de Pagamento, Instituições Financeiras e Infraestruturas de Mercado Financeiro e as empresas do Grupo Arlemcar, inclusive aquelas que se refiram à prevenção a ilícitos, gravação e/ou registro de contatos, segurança cibernética, dentre outras normas que venham a ser aplicáveis;

Nesse sentido:

Seus dados pessoais serão tratados na medida do que determinam as leis, regulação e normas da indústria de meios de pagamentos, a exemplo do PCI (Security Standards Council), observadas, inclusive, as hipóteses de compartilhamento de dados pessoais;

Trataremos seus dados pessoais, nos termos das normas, a fim de identificar eventuais indícios de lavagem de dinheiro e/ou fraude, encaminhando as análises para que possam ser investigadas pelas autoridades competentes, tais como ao Conselho de Controle de Atividades Financeiras (COAF), autoridades policiais e judiciais.

É importante ressaltar que somos parte do Grupo Arlemcar, que possui, dentre suas empresas, empresas de Cobrança, Factoring, Lotéricas, reguladas e supervisionadas por Órgãos do governo, e, por esse motivo, devemos guardar estrita observância aos normativos regulatórios aplicáveis, inclusive aqueles que impõem obrigações relativas à coleta, armazenamento e descarte de dados pessoais.

Quando necessário para a execução de seu contrato conosco e/ou procedimentos preliminares a ele relacionados: poderemos tratar seus dados pessoais para cumprir o contrato que firmamos com você, ou para a análise de viabilidade de eventual relacionamento.

Nesse sentido, tratamos dados pessoais para, por exemplo:

• analisar e realizar seu cadastro;

• prover continuamente nossas Soluções a você, conforme previsto em nossos Contratos;

• prestar serviços correlatos àqueles contratados, tais como como suporte, manutenção, atendimento e fornecimento de informações.

Com base no legítimo interesse: nós podemos vir a tratar seus dados pessoais com base no legítimo interesse da Deltapag e das empresas do Grupo Arlemcar, seu e de seus clientes, de nossos Parceiros e Afiliadas, de acordo com os requisitos e limites legais para esse tipo de tratamento. As atividades baseadas no legítimo interesse podem envolver a utilização de dados pessoais para:

• Realizar análises de risco e monitorar a utilização de nossos Serviços e Sistemas, na garantia de prevenção à fraude e promoção de segurança, inclusive para verificar possíveis fraudes, ilícitos e incidentes de segurança da informação, com eventual compartilhamento de dados pessoais com Parceiros e Afiliadas, bem como outras instituições autorizadas ou não pelo BACEN, para fins de apuração das condutas descritas;

• Precificação, aperfeiçoamento e atualização das Serviços e Sistemas, bem como criação de novos produtos e funcionalidades;

• Analisar eventuais erros ou falhas em nossas Soluções e Sistemas;

• Realizar aferições internas necessárias para a correta prestação de nossos Serviços e Soluções, a exemplo de mapeamento e testes de controle para elaboração de planos de ação focados na mitigação de riscos;

• Monitorar nosso atendimento, inclusive com a construção de indicadores e análises do conteúdo dos chamados;

• Construir indicadores de utilização de nossos Serviços e Sistemas;

• Disponibilizar informações necessárias a você, em razão das Soluções e Sistemas utilizados;

• Responder a solicitações e/ou reclamações realizadas por você em nossos canais de atendimento e/ou em meios públicos;

• Enviar brindes, em campanhas promocionais e/ou em alguma de nossas ações;

• Confirmar sua identidade;

• Construir e avaliar seu perfil e/ou promover atividades promocionais e de marketing, inclusive com o envio de e-mails, comunicações telefônicas e mensagens instantâneas; e

• Compartilhar dados pessoais com o fim de ofertar produtos e serviços desenvolvidos por nós, nossos Parceiros e/ou qualquer empresa do Grupo Arlemcar.

Para a defesa de direitos em processos judiciais, administrativos ou

arbitrais: podemos tratar seus Dados Pessoais e Dados Pessoais Sensíveis para eventual defesa de nossos direitos e interesses em quaisquer tipos de conflitos, especialmente ações judiciais e demandas administrativas ou arbitrais, inclusive nas tratativas de reclamações realizadas através de nossos canais de comunicação.

Para análise e proteção ao crédito: poderá ocorrer o Tratamento de seus Dados Pessoais sempre que necessário para que as empresas do Grupo Arlemcar e/ou Parceiros realizem análise para eventual concessão de crédito, nas Soluções e Plataformas que demandem tais tratamentos.

Para garantia da prevenção à fraude e à segurança dos Titulares: seus dados pessoais, notadamente os Sensíveis poderão ser tratados nos processos de identificação, validação e autenticação de cadastro e/ou acesso às Soluções e

Plataformas com fins de prevenção à fraude, observadas, inclusive, as normas aplicáveis.

Por meio da coleta de consentimento: nós poderemos, em casos específicos, requerer consentimento para o Tratamento de Dados Pessoais, por exemplo, para:

• Quando houver alguma exigência legal nesse sentido, inclusive no contexto do open banking (conforme regulação específica);

• Coletar Dados Pessoais para a pesquisa de novos produtos, com Titulares que não possuam relacionamento prévio com uma empresa do Grupo Arlemcar, seus Parceiros, quando não configurado o interesse legítimo das empresas do Grupo Arlemcar ou de terceiros no tratamento;

• Compartilhar Dados Pessoais com parceiros das empresas do Grupo Arlemcar, no âmbito de ações de marketing, quando não configurada a hipótese de interesse legítimo das empresas do Grupo Arlemcar ou de terceiros no tratamento;

• Construir e avaliar o perfil dos Titulares e/ou promover atividades promocionais e de marketing, inclusive com o envio de e-mails, comunicações telefônicas e mensagens instantâneas, oferecendo produtos e serviços desenvolvidos pelas empresas do Grupo Arlemcar, com Titulares que não possuam relacionamento prévio com as empresas do Grupo Arlemcar, quando não configurado o interesse legítimo do Grupo Arlemcar ou de terceiros no tratamento;

As Soluções e Sistemas poderão requisitar a transmissão de informações de localização, cabendo ao Usuário optar livremente pela opção mais adequada, segundo as suas preferências.

IMPORTANTE! Sempre que nós solicitarmos seu consentimento para coletar qualquer tipo de dado pessoal, nos termos da LGPD, você poderá ou não o fornecer, sendo informado pelas empresas do Grupo Arlemcar das consequências de sua negativa, caso solicite.

Compartilhamento dos Dados Pessoais

Respeitados os limites legais, os dados pessoais que tratamos poderão ser compartilhados com:

Entre as empresas do Grupo Arlemcar: realizamos o uso compartilhado de seus dados pessoais com empresas pertencentes ao nosso grupo econômico e/ou nossos parceiros, com o objetivo de:

disponibilizar e/ou viabilizar a oferta de nossas Soluções e Serviços, levando em consideração a utilização de infraestrutura e recursos tecnológicos compartilhados, destacando-se:

• JLM Fomento Mercantil e Comercial Ltda, responsável por operações de Antecipação de Recebíveis, a Arlemcred empresa Simples de Crédito, Instituição não Financeira responsável por fazer empréstimos e financiamentos no âmbito de nossa oferta de crédito, SCRTM Serviços de Cobranças e Recebimentos de Títulos Mercantis Ltda, responsável por fazer as cobranças;

• análise, cobrança e recuperação de crédito;

• promover atividades promocionais e de marketing, oferecer novas Soluções para produtos e/ou serviços;

• realizar análises de risco e monitorar a utilização de nossos Serviços e Soluções, na garantia de prevenção à fraude e promoção de segurança, inclusive para verificar possíveis fraudes, ilícitos e incidentes de segurança da informação, com eventual compartilhamento de Dados Pessoais entre as empresas do Grupo Arlemcar;

Instituições Financeiras; não Financeiras e/ou integrantes do mercado de meios de pagamentos: nós poderemos realizar o uso compartilhado de dados pessoais com instituições financeiras/ não financeiras e integrantes do mercado de meios de pagamentos, que auxiliam a prestação dos serviços, tais como Infraestruturas de Mercado Financeiro, a exemplo da CERC Registradora de Recebíveis, instituidores de arranjos de pagamentos, sempre que necessário no âmbito das Soluções e Serviços, ou de forma pontual, para verificar possíveis fraudes, realizar análises de risco e monitorar a utilização de nossos Serviços e Plataformas, na garantia de prevenção à fraude e promoção de segurança, inclusive para verificar possíveis fraudes, ilícitos e incidentes de segurança da informação;

Fornecedores, prestadores de serviços, subcontratados e parceiros comerciais: podemos compartilhar seus dados pessoais com prestadores de

serviços, fornecedores, subcontratados e parceiros comerciais, do Grupo ou fora do Grupo:

prover a estrutura necessária à oferta de nossas Serviços e Soluções, o que envolve:

• provedores de serviços de nuvem e bancos de dados e/ou serviços de tecnologia em geral, a exemplo de processadoras, softwares necessários à prestação das Soluções e Serviços;

• Bureaus de Crédito, serviços antifraude e de identificação biométrica, com fins a manutenção da segurança e atualização de seus dados;

• empresas de transporte e logística, para promover as operações necessárias à entrega de POS, Cartão e/ou outros subsídios necessários para que nossos clientes usufruam de nossas Soluções e Serviços;

• empresas de análise, cobrança e recuperação de crédito;

• agências de publicidade ou marketing, a fim de promover campanhas e/ou veicular anúncios direcionados e relevantes a você nosso Cliente;

• call centers ou centros de atendimento.

Autoridades públicas: em casos específicos, poderemos compartilhar seus dados pessoais para cumprir com nossas obrigações legislativas e regulatórias; proteger nossos interesses em caso de demandas e conflitos, inclusive em processo judicial, administrativo e/ou arbitral, ou para atender eventuais exigências das autoridades competentes, como o BACEN e demais órgãos públicos. Ainda, poderemos compartilhar seus dados pessoais a fim de identificar eventuais indícios de lavagem de dinheiro e/ou fraude, encaminhando as análises para que possam ser investigadas pelas autoridades competentes, tais como ao Conselho de Controle de Atividades Financeiras (COAF), autoridades policiais e judiciais.

IMPORTANTE! Nós observaremos os padrões de segurança previstos nas normas, neste Aviso de Privacidade e em nossa Política de Segurança quando realizarmos o uso compartilhado de seus dados pessoais. Ainda, quando possível, nós poderemos adotar técnicas de anonimização, a exemplo da aleatorização e generalização, para proteção dos dados pessoais que vierem a ser compartilhados.

Novos negócios: se a Deltapag e as empresas do Grupo Arlemcar estiverem envolvidas em uma fusão, aquisição ou venda de todos ou de parte de seus ativos, seus dados pessoais poderão ser transferidos para a empresa ou pessoa adquirente, observando eventuais escolhas que você possa ter acerca de seus dados pessoais.

Transferência Internacional de Dados Pessoais

A fim de atender a melhores padrões de segurança e proteção de dados pessoais, bem como possibilitar a utilização de nossas Soluções e Serviços, poderá ocorrer a transferência internacional de seus dados pessoais, a exemplo da utilização de parceiros localizados no exterior que ofereçam a infraestrutura técnica de alta disponibilidade ou mesmo arranjos de pagamento internacionais. Nesses casos, adotaremos as medidas previstas em nossas Políticas de Privacidade e Segurança da Informação, observando sempre os princípios, direitos do Titular e do regime de proteção de dados pessoais previstos.

Segurança e Confidencialidade dos Dados Pessoais

Atuamos no sentido de implementar medidas de segurança que protejam nossos sistemas e bases de dados pessoais de acordo com padrões e normas internacionais como o PCI-DSS e a ABNT NBR ISO/IEC 27001, envidando nossos esforços na proteção das Soluções e Plataformas contra tentativas de violações ou acessos indevidos aos seus dados.

Dentre as medidas estão a utilização de criptografia de dados pessoais, controle de acesso de informações, utilização de firewalls, implementação de políticas internas

relacionadas à segurança da informação, arquitetura de solução de software com prevenção a invasão, realização periódica de testes de invasão e análise de vulnerabilidades nos sistemas e aplicações.

Nosso Tratamento de Dados Pessoais é realizado utilizando ferramentas de tecnologia da informação homologadas, seguindo procedimentos organizacionais que incluem a limitação de acessos aos bancos de dados pessoais, dentre outros meios alinhados aos objetivos estabelecidos em nossa Política de Privacidade e Segurança da Informação.

Entretanto, apesar dos nossos esforços, considerando a natureza e arquitetura da internet, o que inclui elementos que não estão sob nosso razoável controle, não podemos garantir que agentes mal-intencionados não conseguirão ter acesso ou fazer uso indevido de seus dados pessoais. Nesse sentido, consulte periodicamente nossos Portais.

Eventual ocorrência de incidente de segurança da informação envolvendo seus dados pessoais, inclusive aqueles que ocasionem risco e/ou dano relevante, serão tratados em conformidade com nossos Planos de Resposta à Incidentes e a Política de Segurança da Informação.

Período de Guarda dos Dados Pessoais

Os dados pessoais serão tratados pelo tempo necessário à execução de nossas atividades, observada a necessidade e pertinência para o alcance das finalidades do tratamento, observando as medidas de segurança previstas em nossas Políticas e sempre que aplicáveis, as disposições previstas em Contrato.

Nesse sentido, podemos manter seus dados pessoais desde que haja fundamento para tanto, de acordo com as seguintes diretrizes:

• A retenção dos dados pessoais deverá ser justificável, dependendo da finalidade do tratamento;

• Os períodos de retenção deverão ser cumpridos conforme a natureza dos dados pessoais e a finalidade do tratamento e observar, sempre que aplicável, as disposições das normas que indiquem um prazo específico de guarda, tais como as emanadas do Banco Central do Brasil.

Direitos dos Titulares de Dados Pessoais

Nos casos em que estivermos atuando como Controladores dos seus dados pessoais, nós faremos o possível para garantir o cumprimento de seus direitos aplicáveis, conforme detalhados abaixo, respeitados sempre os limites impostos pelas normas:

• Informação: você pode requerer a confirmação da existência de tratamento de seus dados pessoais por nós. Em caso positivo, será garantido, mediante solicitação, o acesso a seus dados pessoais. Na hipótese de tratamento baseado no consentimento e/ou em contrato, você poderá solicitar cópia eletrônica/física integral de seus dados pessoais;

• Correção: você pode solicitar a correção ou atualização de seus dados pessoais comprovadamente inexatos, incompletos ou desatualizados;

• Anonimização, bloqueio e/ou eliminação: quando os dados pessoais tratados por nós forem desnecessários, excessivos e/ou se identificada desconformidade com as normas vigentes, você poderá solicitar e nós avaliaremos a possibilidade de realização de anonimização, bloqueio e/ou eliminação dos referidos dados pessoais;

• Portabilidade: você poderá requerer o recebimento de seus dados pessoais de forma a facilitar sua migração para outras soluções;

• Informações sobre compartilhamento: você poderá solicitar informações sobre as entidades públicas e privadas com as quais nós realizamos o uso compartilhado de seus dados pessoais. Lembrando que você pode verificar, a qualquer momento, essa informação;

• Possibilidade de não fornecimento de consentimento: na hipótese de solicitação de consentimento para o Tratamento de seus Dados Pessoais, você poderá solicitar informações sobre as consequências da recusa em fornecê-lo;

• Revogação do consentimento: na hipótese de solicitação de consentimento para o Tratamento de seus Dados Pessoais, você poderá optar, a qualquer momento, por sua revogação (opt-out), hipótese na qual poderá será informado de suas consequências em relação à utilização dos Serviços e Soluções, por exemplo. Ainda, mediante solicitação, você poderá solicitar a exclusão dos dados pessoais tratados com base no seu consentimento, salvo hipóteses de retenção admitidas pelas normas;

• Oposição: quando o tratamento de seus dados pessoais for pautado em hipótese de tratamento que não o consentimento e nós não estivermos cumprindo as normas, você poderá se opor ao tratamento realizado;

• Decisões automatizadas: se por ventura, nós iniciarmos operações se utilizando de IA (Inteligência Artificial) para decisões automatizadas, você terá o direito de solicitar a revisão de decisões que afetem seus interesses, quando baseadas unicamente no tratamento automatizado de dados pessoais por nós. Ainda, você poderá solicitar informações sobre os critérios e procedimentos utilizados para as decisões exclusivamente automatizadas. Tomaremos as medidas técnicas possíveis para assegurar que tais critérios e procedimentos não serão discriminatórios.

Você poderá exercer seus direitos de forma facilitada através de nossos Sites e Portal.

IMPORTANTE! Nos casos em que nós estivermos atuando na condição de Operadora de Dados Pessoais, os direitos acima elencados deverão ser exercidos diretamente perante o Controlador de Dados Pessoais. Fique tranquilo, indicaremos a você quem procurar caso sejamos apenas Operadores de seus Dados Pessoais.

Canal de Contato

Em caso de dúvidas, você pode entrar em contato com o nosso encarregado pela Proteção de Dados Pessoais, por meio dos nossos canais de atendimento ou através dos e-mails: xxxxxxxxx@xxxxxxxx.xxx.xx e xxxxxxxx@xxxxxxxx.xxx

Alteração do Aviso de Privacidade

Este Complemento à Política de Privacidade está sujeito a eventuais alterações e atualizações pelo Grupo Arlemcar, a qualquer tempo, para permitir a contínua melhoria de nossas Soluções e Serviços e fornecer a você cada vez mais transparência.

Em caso de alterações relevantes, será dada publicidade ao Cliente, entretanto, recomendamos que você consulte regularmente este Aviso de Privacidade para estar sempre atualizado com relação ao tratamento de seus dados pessoais por nós, especialmente se ainda não for nosso Cliente.