Política de Privacidade

1. Escopo e Aplicabilidade desta Política

Esta Política aplica-se aos sites, aplicativos, plataformas, APIs, serviços de comunicação e demais canais, digitais e físicos, operados pela Tieto Capital Market e por suas subsidiárias, controladas e afiliadas (em conjunto, “TCM” ou “nós”).

Quando políticas específicas existirem para um serviço, contrato, jurisdição ou produto em particular, elas prevalecem sobre os pontos divergentes desta Política, ressalvada a observância dos direitos mínimos do titular previstos em lei.

Esta Política não se aplica a sites de terceiros eventualmente acessados a partir dos nossos canais, ainda que mencionados, divulgados ou linkados. Recomendamos a leitura das políticas próprias desses terceiros antes de fornecer qualquer dado pessoal.

• Sites institucionais e de produto sob domínio Tieto Capital Market ecorrelatos
• Plataforma transacional e aplicativo móvel destinados a clientes ativos
• Canais de atendimento (e-mail, telefone, formulários, chat e mídias sociais oficiais)
• Processos de onboarding, KYC, due diligence e antifraude

2. Identificação do Controlador

O controlador dos dados pessoais tratados nos termos desta Política é a TCM Tieto Capital Market Tecnologia Ltda., inscrita no CNPJ sob n.º informado ao final desta Política, com sede no endereço lá indicado.

Para os fins do art. 5.º, inciso VI, da LGPD, somos a pessoa jurídica a quem competem as decisões referentes ao tratamento, observada a legislação aplicável e os contratos celebrados com clientes, parceiros e prestadores de serviço.

Quando atuarmos como operador (processor) de dados a serviço de outro controlador, por exemplo, em integrações B2B —, observaremos as instruções contratuais recebidas, sem prejuízo do cumprimento da legislação de proteção de dados.

3. Princípios Aplicáveis

Conduzimos todo o tratamento de dados pessoais com observância aos princípios estabelecidos no art. 6.º da LGPD e seus equivalentes nas demais leis aplicáveis:

• Finalidade: tratamento para propósitos legítimos, específicos, explícitos e informados ao titular
• Adequação: compatibilidade entre tratamento e finalidades comunicadas
• Necessidade: limitação ao mínimo necessário ao atendimento da finalidade
• Livre acesso: garantia de consulta facilitada e gratuita pelos titulares
• Qualidade dos dados: exatidão, clareza, relevância e atualização
• Transparência: informações claras, precisas e facilmente acessíveis
• Segurança: medidas técnicas e administrativas aptas a proteger dados
• Prevenção: adoção de medidas para prevenir danos
• Não discriminação: impossibilidade de tratamento para fins discriminatórios, ilícitos ou abusivos
• Responsabilização e prestação de contas: demonstração da adoção de medidas eficazes e capazes de comprovar a observância das normas

4. Categorias de Dados Pessoais Tratados

Tratamos diferentes categorias de dados pessoais conforme a natureza da relação que mantemos com você. As categorias abaixo são exemplificativas e podem variar a depender do serviço utilizado:

5. Como Coletamos seus Dados

A coleta de dados pessoais pela Tieto Capital Market pode ocorrer de três formas principais: (i) diretamente do titular, quando você preenche formulários, completa o cadastro, transaciona em nossas plataformas ou interage com nossos canais de atendimento; (ii) automaticamente, durante a navegação em nossos sites e aplicativos, por meio de cookies e tecnologias similares descritas em nossa Política de Cookies; e (iii) de fontes legítimas, como prestadores de serviços de prevenção à fraude, bureaus de crédito, listas regulatórias e bases públicas, para fins de verificação de identidade e cumprimento de obrigações legais.

Em qualquer hipótese, informamos previamente os titulares sobre o tratamento e somente coletamos os dados estritamente necessários à finalidade pretendida.

6. Finalidades e Bases Legais

Tratamos dados pessoais para finalidades específicas, sempre amparados por uma das bases legais previstas nos arts. 7.º e 11 da LGPD. Abaixo, resumimos as principais finalidades e as respectivas bases legais:

• Prestação dos serviços contratados e execução do contrato, base: execução de contrato
• Verificação de identidade, due diligence, KYC, AML e antifraude, base: cumprimento de obrigação legal e legítimo interesse
• Comunicações operacionais e de relacionamento, base: execução de contrato e legítimo interesse
• Marketing direto, ofertas comerciais e newsletter, base: consentimento, revogável a qualquer tempo
• Pesquisas de satisfação e melhoria de produtos, base: legítimo interesse
• Cumprimento de obrigações regulatórias e fiscais (BR, EUA e outras jurisdições aplicáveis), base: cumprimento de obrigação legal
• Defesa em processos judiciais, administrativos ou arbitrais, base: exercício regular de direitos
• Análise estatística agregada e benchmark de mercado, base: legítimo interesse, após pseudonimização ou anonimização

7. Compartilhamento com Terceiros

A Tieto Capital Market não comercializa, aluga, cede ou empresta dados pessoais. O compartilhamento ocorre apenas quando estritamente necessário ao cumprimento das finalidades informadas e sempre sob garantias contratuais e técnicas adequadas.

Podemos compartilhar dados com as seguintes categorias de destinatários:

• Prestadores de serviço (operadores) que atuam por nossa conta, infraestrutura em nuvem, processadores de pagamento, custodiantes, bureaus de antifraude, plataformas de comunicação e suporte
• Empresas do mesmo grupo econômico, para fins administrativos e operacionais legítimos
• Autoridades públicas, reguladores e órgãos de fiscalização, sempre que houver requisição legal, ordem judicial ou exigência regulatória
• Auditores independentes e consultores externos, sob compromisso de confidencialidade
• Adquirentes potenciais ou parceiros em operações societárias (M&A), sob acordo de confidencialidade

8. Transferência Internacional de Dados

A Tieto Capital Market mantém infraestrutura tecnológica e operacional nos Estados Unidos e pode contratar prestadores de serviço sediados em outras jurisdições. Em razão disso, seus dados poderão ser transferidos para outros países, observadas as garantias do art. 33 da LGPD.

Adotamos cláusulas contratuais padrão, medidas técnicas equivalentes às nacionais e, quando aplicável, mecanismos como adequacy decisions ou binding corporate rules. Você pode solicitar informações específicas sobre destinos e salvaguardas pelos canais informados ao final desta Política.

9. Tempo de Retenção

Retemos seus dados pessoais apenas pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, observados os prazos legais e regulatórios aplicáveis. A título exemplificativo:

• Dados cadastrais de clientes ativos: pelo prazo do relacionamento e até o término dos prazos prescricionais aplicáveis
• Dados transacionais e contábeis: por, no mínimo, 5 (cinco) anos, conforme legislação fiscal e regulatória brasileira
• Registros de KYC, AML e antifraude: por, no mínimo, 10 (dez) anos, conforme regulamentação aplicável
• Dados de navegação anonimizados: pelo período necessário à análise estatística
• Comunicações comerciais e prospectivas: até a revogação do consentimento ou, na falta, por até 24 (vinte e quatro) meses após o último engajamento

10. Direitos do Titular

Você pode exercer, a qualquer tempo e gratuitamente, os direitos garantidos pelo art. 18 da LGPD. Respondemos às requisições no prazo de 15 (quinze) dias contados do recebimento, prorrogável quando justificado:

• Confirmação da existência de tratamento
• Acesso aos dados
• Correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
• Portabilidade dos dados a outro fornecedor de serviço ou produto
• Eliminação dos dados tratados com consentimento, ressalvadas as hipóteses legais de retenção
• Informação sobre as entidades públicas e privadas com as quais houve uso compartilhado
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
• Revogação do consentimento, a qualquer tempo, sem efeitos retroativos
• Oposição ao tratamento realizado com base em hipótese legal dispensada do consentimento, quando houver descumprimento das disposições legais

11. Decisões Automatizadas e Perfilamento

Em determinadas situações, podemos utilizar processos parcialmente ou integralmente automatizados para suporte a decisões, por exemplo, na composição de carteiras sugeridas, no perfilamento de adequação (suitability) ou na triagem antifraude.

Quando essas decisões afetarem seus interesses, você terá direito a (i) receber informações claras e adequadas sobre os critérios e os procedimentos utilizados; e (ii) solicitar revisão por pessoa natural, na forma do art. 20 da LGPD, sem prejuízo da segurança de informação que envolva segredo de negócio.

12. Segurança da Informação

Adotamos medidas técnicas e organizacionais aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Entre as principais salvaguardas:

• Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256)
• Segregação de ambientes e princípio de menor privilégio (least privilege)
• Autenticação multifator obrigatória em acessos privilegiados
• Monitoramento contínuo, SIEM, EDR e revisão periódica de logs
• Programa de gestão de vulnerabilidades, testes de invasão e bug bounty
• Plano de continuidade de negócio e resposta a incidentes
• Programa formal de privacy by design e privacy by default
• Treinamento periódico de colaboradores e prestadores

13. Comunicação de Incidentes de Segurança

Caso identifiquemos incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados, em prazo razoável e nos termos da regulamentação aplicável. A comunicação incluirá, no mínimo, a descrição da natureza dos dados afetados, as informações sobre os titulares envolvidos, as medidas adotadas e os riscos relacionados ao incidente.

14. Cookies e Tecnologias Similares

Utilizamos cookies, pixels, SDKs e tecnologias similares para garantir o funcionamento dos nossos canais digitais, mensurar audiência, personalizar a experiência e, quando autorizado, exibir publicidade. As categorias utilizadas, finalidades e prazos estão descritos em nossa Política de Cookies, parte integrante desta Política. Você pode gerenciar suas preferências a qualquer momento por meio do banner de cookies ou das configurações do seu navegador.

15. Tratamento de Dados de Crianças e Adolescentes

Nossos serviços são destinados exclusivamente a pessoas maiores de 18 (dezoito) anos. Não coletamos intencionalmente dados pessoais de crianças e adolescentes. Caso identifiquemos a coleta inadvertida, eliminaremos os dados em prazo razoável, salvo obrigação legal de retenção. Tutores e responsáveis legais podem solicitar a eliminação por meio dos canais ao final desta Política.

16. Atualizações desta Política

Esta Política pode ser atualizada periodicamente para refletir alterações regulatórias, mudanças operacionais ou aprimoramentos em nossas práticas de privacidade. A versão vigente estará sempre disponível em nosso site, com a respectiva data de “Última atualização”. Recomendamos a leitura periódica.

17. Encarregado pelo Tratamento de Dados (DPO) e Canais de Contato

Para esclarecer dúvidas, exercer direitos ou apresentar reclamações relacionadas a esta Política e ao tratamento dos seus dados pessoais, entre em contato com o nosso Encarregado de Proteção de Dados (DPO) pelo e-mail indicado ao final desta Política. Você também pode dirigir-se diretamente à Autoridade Nacional de Proteção de Dados (ANPD) por meio do site oficial.