Entre em contato
Entre em contato
Última atualização: 27 de novembro de 2025

ACORDO DE TRATAMENTO DE DADOS

Este Acordo de Tratamento de Dados (“DPA“) é celebrado entre você e a entidade que você representa (“Cliente“), de um lado, e a parte contratante aplicável do grupo Pismo (“Pismo“), de outro lado. Este DPA integra o contrato de prestação de serviços de processamento, banking, pagamentos, emissão e gestão de cartões e/ou serviços financeiros correlatos (“Serviços“e “Contrato“). A Pismo e o Cliente serão referidos, individualmente, neste instrumento como “Parte” e, conjuntamente, como “Partes”.

A. DEFINIÇÕES

1. Para os fins deste DPA, aplicam-se as seguintes definições:
“Leis de Proteção de Dados” significam quaisquer leis ou regulamentos relativos ao Tratamento de Dados Pessoais, na medida em que aplicáveis às obrigações de uma Parte nos termos do Contrato e deste DPA. A título meramente exemplificativo, e na medida em que aplicáveis, “Leis de Proteção de Dados” incluem, mas não se limitam: ao Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679 – “GDPR“), às Leis de Proteção de Dados do Reino Unido, o Gramm-Leach-Bliley Act de 1999 e suas regulamentações aplicáveis (em conjunto, “GLBA“), ao California Consumer Privacy Act de 2018 e suas regulamentações, conforme alteradas ou substituídas de tempos em tempos (coletivamente, “CCPA“), ao Personal Information Protection and Electronic Documents Act, S.C. 2000, c. 5 (“PIPEDA“), às Leis de Proteção de Dados da Suíça, ao Australian Privacy Act de 1988 (incluindo os Australian Privacy Principles), ao Personal Data Protection Act de 2012 de Cingapura, ao Act on the Protection of Personal Information do Japão, ao Personal Information Protection Act da Coreia, à Lei de Proteção de Dados Pessoais do Reino da Arábia Saudita (PDPL), ao Nigeria Data Protection Act de 2023, ao Kenya Data Protection Act de 2019, ao Protection of Personal Information Act da África do Sul, ao Personal Data Privacy Ordinance (PDPO) de Hong Kong, ao New Zealand Privacy Act de 2020, ao Philippines Data Privacy Act, às Leis de Proteção de Dados da Argentina, às Leis de Proteção de Dados do Brasil, às Leis de Proteção de Dados do Chile, às Leis de Proteção de Dados da Colômbia, às Leis de Proteção de Dados da Costa Rica, às Leis de Proteção de Dados do México, às Leis de Proteção de Dados do Peru e às Leis de Proteção de Dados do Uruguai, bem como quaisquer regulamentações correlatas e toda legislação que transpuser, substituiu ou seja considerada substancialmente similar às anteriores.
“Leis de Proteção de Dados da Argentina” significa a Lei nº 25.326 e suas regulamentações, além de demais leis de proteção de dados ou privacidade em vigor na Argentina de tempos em tempos.
“Leis de Proteção de Dados do Brasil” significa a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – “LGPD”), seus regulamentos e quaisquer outras normas de proteção de dados ou privacidade em vigor no Brasil de tempos em tempos, incluindo regulamentações emitidas pela Agência Nacional de Proteção de Dados (“ANPD“).
“Leis de Proteção de Dados do Chile” significa a Lei nº 19.628 sobre Proteção da Vida Privada (conforme atualizada, alterada e substituída de tempos em tempos) e suas regulamentações.
“Leis de Proteção de Dados da Colômbia” significa a Lei 1.581 de 2012, o Decreto 1.074 de 2015, o Capítulo V da Circular Única da SIC, o Decreto 090 de 2018 e toda regulamentação relativa à proteção de dados e privacidade na Colômbia.
“Leis de Proteção de Dados da Costa Rica” significa a Lei nº 8.968, seus regulamentos e quaisquer outras normas de proteção de dados ou privacidade em vigor na Costa Rica de tempos em tempos.
“PDPL” significa a Lei de Proteção de Dados Pessoais do Reino da Arábia Saudita, seus regulamentos e quaisquer outras normas de proteção de dados ou privacidade em vigor na Arábia Saudita de tempos em tempos.
“Leis de Proteção de Dados do México” significa a Lei Federal de Proteção de Dados Pessoais em Posse de Particulares, seus regulamentos, diretrizes, circulares ou padrões emitidos pela Autoridade Supervisora, bem como quaisquer outras normas federais ou locais relativas à proteção de dados em vigor no México de tempos em tempos.
“Dados Pessoais” significam todos os dados ou informações, em qualquer forma ou formato, que identifiquem, estejam relacionados, descrevam, possam ser associados ou possam, razoavelmente e direta ou indiretamente, ser vinculados a um determinado consumidor, indivíduo (“Titular de Dados“) ou domicílio, ou que sejam regulados como “dados pessoais”, “informações pessoais” ou termo equivalente de acordo com as Leis de Proteção de Dados. Para fins de esclarecimento, Dados Pessoais incluem quaisquer informações relativas a um Titular de Dados conforme definido no Contrato e conforme descrito no Anexo 3 deste DPA.
“Leis de Proteção de Dados do Peru” significa a Lei de Proteção de Dados Pessoais nº 29.733 (conforme atualizada, alterada e substituída de tempos em tempos) e suas regulamentações.
“Tratamento”, “Tratar” ou “Tratado” significa qualquer operação ou conjunto de operações realizadas com Dados Pessoais, por meios automatizados ou não, tais como acesso, coleta, registro, organização, armazenamento, adaptação ou alteração, recuperação, divulgação ou disponibilização, duplicação, transmissão, combinação, bloqueio, redação, deleção ou eliminação, ou conforme definido nas Leis de Proteção de Dados.
“Incidente de Segurança” significa uma violação confirmada de segurança que gere destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado a Dados Pessoais. Um Incidente de Segurança inclui “vazamento de dados pessoais” (segundo o GDPR), “violação de segurança de um sistema”, “violação de salvaguardas de segurança” (conforme PIPEDA) ou termo similar em outras Leis de Proteção de Dados, bem como qualquer evento que comprometa a segurança, confidencialidade ou integridade de Dados Pessoais ou que seja regulado de forma similar.
“Leis de Proteção de Dados da Suíça” significa a Lei Federal de Proteção de Dados de 19 de junho de 1992 (conforme atualizada, alterada e substituída de tempos em tempos) e suas regulamentações.
“Transferência” significa transmitir ou, de qualquer modo, disponibilizar Dados Pessoais do Cliente além de fronteiras nacionais em determinadas circunstâncias estabelecidas nas Leis de Proteção de Dados.
“Leis de Proteção de Dados do Reino Unido” significam o GDPR conforme incorporado ao ordenamento jurídico do Reino Unido por força da European Union (Withdrawal) Act de 2018, conforme alterado pelos regulamentos de 2019 (“UK GDPR“), juntamente com o Data Protection Act de 2018, os regulamentos de 2019 relativos à Proteção de Dados, Privacidade e Comunicações Eletrônicas (referente à saída do Reino Unido da União Europeia) e demais normas de proteção de dados ou privacidade vigentes no Reino Unido de tempos em tempos. Para fins deste DPA, sempre que e somente na medida em que o UK GDPR seja aplicável, as referências ao GDPR e suas disposições devem ser interpretadas como referências ao UK GDPR e suas disposições correspondentes.
“Leis de Proteção de Dados do Uruguai” significam as Leis nº 18.331 de 2008, 414 de 2009, 19.670 de 2018 e 64 de 2020 (conforme atualizadas, alteradas e substituídas de tempos em tempos) e suas regulamentações.
2. Exceto se de outra forma definido no Contrato (incluindo neste DPA), todos os termos e definições aqui empregados terão o significado a eles atribuído nas Leis de Proteção de Dados.

B. TRATAMENTO DE DADOS PESSOAIS DO CLIENTE

Designação

As Partes têm conhecimento e concordam que, no que se refere aos Dados Pessoais que a Pismo Trata em nome do Cliente (“Dados Pessoais do Cliente“) para prestar os Serviços, a Pismo atua como “operadora” ou “prestadora de serviços” e o Cliente atua como “controlador” ou termo equivalente nos termos das Leis de Proteção de Dados, conforme aplicável. O objeto, a duração e a finalidade do Tratamento, incluindo a natureza dos Dados Pessoais envolvidos e as categorias de Titulares de Dados, constam do Anexo 3 deste DPA.

Instruções para o Tratamento

A Pismo Tratará os Dados Pessoais do Cliente para a prestação dos Serviços, e o Cliente autoriza a Pismo a Tratar tais Dados Pessoais do Cliente exclusivamente em conexão com as seguintes atividades (em conjunto, “Instruções de Tratamento“):
  • em conformidade com o Contrato, o Anexo 3 deste DPA e quaisquer outro(s) instrumento(s) aplicável(is), incluindo, mas sem se limitar a, anexos, apêndices e tabela(s) de preços aplicáveis, para prestar os Serviços, bem como todo Tratamento exigido ou permitido por leis e regulamentos aplicáveis;
  • a transferência de Dados Pessoais do Cliente a bancos de repasse, operadores de carteira, agregadores de carteiras e/ou redes de compensação e liquidação para efetuar e completar transações de pagamento;
  • a melhoria e o desenvolvimento de produtos e serviços potencialmente úteis ao Cliente ou aos clientes do Cliente;
  • a identificação, prevenção e mitigação de fraudes, inclusive por meio da avaliação, análise, desenvolvimento, aprimoramento e evolução das capacidades gerais antifraude e de risco da Pismo e de suas afiliadas; e
  • conforme razoavelmente necessário para viabilizar o cumprimento, pela Pismo, de outras orientações ou instruções fornecidas pelo Cliente.

Conformidade Legal

A Pismo, no âmbito da prestação dos Serviços ao Cliente, e o Cliente, no âmbito da fruição dos Serviços, Tratarão os Dados Pessoais do Cliente em conformidade com as Leis de Proteção de Dados. Na medida necessária ao cumprimento das obrigações de cada Parte nos termos das Leis de Proteção de Dados, as Partes concordam em cumprir quaisquer disposições estabelecidas no Anexo 1 (Cumprimento das Leis Estaduais dos Estados Unidos da América) e/ou no Anexo 2 (Cumprimento do Regulamento Geral de Proteção de Dados) deste DPA, conforme aplicáveis.

Avisos de Privacidade e Consentimento

O Cliente deverá fornecer, ou assegurar que seus clientes forneçam, aos Titulares de Dados todos os avisos e informações de privacidade, bem como opções e consentimentos necessários, de modo a permitir que a Pismo cumpra as Leis de Proteção de Dados e as Instruções para o Tratamento constantes das Cláusulas 4ª e 19.

Direitos dos Titulares

A Pismo, na medida permitida pela legislação aplicável, deverá prestar assistência razoável ao Cliente para atender às solicitações de Titulares de Dados visando exercer seus direitos previstos nas Leis de Proteção de Dados (por exemplo, direitos de acesso ou eliminação de Dados Pessoais), de forma compatível com a natureza e as funcionalidades dos Serviços. Quando a Pismo receber e identificar qualquer solicitação relacionada aos Dados Pessoais do Cliente, a Pismo deverá orientar o Titular de Dados a contatar o Cliente, sendo este último o agente responsável pelo processamento de tais solicitações, em conformidade com as Leis de Proteção de Dados.

Contratação de suboperador

A Pismo deverá assegurar que, ao contratar outro operador de dados (“Suboperador”) para realizar atividades específicas de Tratamento em nome do Cliente, a Pismo possua um acordo escrito entre a Pismo e o respectivo Suboperador que assegure, em essência, o mesmo nível de proteção aos Dados Pessoais do Cliente que o previsto neste DPA ou conforme exigido pelas Leis de Proteção de Dados.

Transferência Internacional

A Pismo deverá somente realizar Transferência de Dados Pessoais do Cliente para fora da jurisdição aplicável ao Cliente, incluindo, sem limitação, para fora do Espaço Econômico Europeu (“EEE“), do Reino Unido, da Suíça ou dos Estados Unidos, em conformidade com as Leis de Proteção de Dados. Sujeito às disposições da Cláusula 10 abaixo, o Cliente tem conhecimento e concorda que a Pismo Transfere e armazena determinados Dados Pessoais do Cliente (incluindo dados relativos a indivíduos localizados no EEE, Suíça, Reino Unido e outros países latino-americanos como Argentina, Brasil, Chile, Colômbia, Costa Rica, México, Uruguai e/ou Peru) nos Estados Unidos e em outras localidades selecionadas. Conforme seja exigido por quaisquer Leis de Proteção de Dados, o Cliente concorda em adotar salvaguardas, medidas ou mecanismos apropriados; obter consentimento expresso para a transferência internacional; efetuar registros ou notificações; obter aprovações regulatórias; implementar avaliações ou certificações de segurança; e/ou cumprir quaisquer ações necessárias para viabilizar as Transferências pela Pismo e/ou seus Suboperadores nos termos deste DPA, incluindo, mas não se limitando, ao cumprimento de regras específicas relacionadas ao Tratamento de dados sensíveis ou categorias especiais de dados, conforme aplicável.

Transferências

1. Transferências sujeitas à PDPL

Caso a Pismo Trate Dados Pessoais do Cliente sujeitos à PDPL, as Cláusulas Contratuais Padrão emitidas pela Saudi Data and Artificial Intelligence Authority (SDAIA) (“SCCs da Arábia Saudita“) deverão ser aplicadas da seguinte forma:
  • O Segundo Modelo: Controlador para Operador deverá ser aplicável às Transferências do Cliente (como Exportador de Dados Pessoais) para a Pismo (como Importadora de Dados Pessoais).
  • Em relação a quaisquer Transferências subsequentes pela Pismo, o Terceiro Modelo: Operador para Operador deverá ser aplicável às Transferências entre a Pismo (como Exportadora de Dados Pessoais) e qualquer Suboperador (como Importador de Dados Pessoais).
  • Para os fins das SCCs da Arábia Saudita, o Apêndice 1 – Lista de Partes corresponderá ao Exportador de Dados Pessoais e Importador de Dados Pessoais descritos nesta Cláusula 10.1(a) ou 10.1(b), conforme o caso; o Apêndice 2 – Descrição dos Dados Pessoais Transferidos corresponderá ao previsto no Anexo 3 – Detalhes do Tratamento; e o Apêndice 3 – Medidas de Segurança corresponderá às medidas de segurança previstas na Cláusula 10.1.1 abaixo.

1.1. Localização de Dados – Índia

Caso a Pismo Trate Dados Pessoais do Cliente relativos a indivíduos localizados na Índia e tais Dados Pessoais do Cliente estejam sujeitos às leis indianas, o Cliente tem ciência de que a Pismo Transfere e armazena tais Dados Pessoais do Cliente dentro do território indiano.

2. Transferências sujeitas às Leis de Proteção de Dados da Argentina, Colômbia, Peru ou Uruguai

Caso a Pismo Trate Dados Pessoais do Cliente sujeitos às leis dos países listados acima, deverão ser aplicáveis as Cláusulas Contratuais Padrão emitidas pela Red Iberoamericana de Protección de Datos, aprovadas pela autoridade de proteção de dados da Argentina através da Resolução nº 198/2023, pela autoridade de proteção de dados do Peru através da Resolução nº 0074-2022-JUS/DGTAIPD e pela autoridade de proteção de dados do Uruguai através da Resolução nº 50/022 URCDP, disponíveis na página da RIPD (“SCCs da RIPD“), conforme segue:
  • As Cláusulas Controlador para Operador aplicam-se às Transferências do Cliente (Exportador) para a Pismo (Importadora).
  • Em relação a quaisquer Transferências subsequentes pela Pismo, aplicam-se as Cláusulas Operador para Operador entre a Pismo (Exportadora) e o Suboperador (Importador).
Para fins das SCCs da RIPD:
  • Cláusula 5 (cláusula de adesão) será aplicável;
  • Cláusula 7.1 (autorização de suboperadores) das SCCs Controlador-Operador será substituída pela Cláusula 8 (Contratação de suboperadores) e pelo Anexo 2 deste DPA;
  • Cláusula 9 (reparação) das SCCs Controlador-Operador deverá ser lida como: “a. O Importador de Dados informará aos Titulares de Dados, de forma transparente e acessível, por meio de envio de aviso individual ou em publicação seu website, um ponto de contato autorizado para receber reclamações, o qual as tratará com a maior celeridade possível.”
  • As Partes serão o Exportador e o Importador descritos nas Cláusulas 10.2(a) ou 10.2(b) acima, conforme aplicável; o Apêndice 2 – Descrição dos Dados Pessoais Transferidos deverá corresponder ao Anexo 3 – Detalhes do Tratamento; e o Apêndice 3 – Medidas de Segurança deverá corresponder ao Anexo 5.
Em caso de conflito entre os termos deste DPA e os termos e disposições das Cláusulas Contratuais Padrão aplicáveis incorporadas a este DPA, deverão prevalecer os termos e disposições das Cláusulas Contratuais Padrão da respectiva jurisdição.

3. Transferências sujeitas às Leis de Proteção de Dados do Brasil

Caso haja a transferência de Dados Pessoais do Cliente (como Exportador de Dados localizado no Brasil) para a Pismo (como Importadora de Dados, localizada no exterior), deverão ser aplicadas as Cláusulas Contratuais Padrão aprovadas pela ANPD por meio da Resolução CD/ANPD nº 19, de 23 de agosto de 2024 (“SCCs do Brasil“), conforme disponível em https://www.gov.br/anpd/pt-br/acesso-a-informacao/institucional/atos-normativos/regulamentacoes_anpd/resolucao-cd-anpd-no-19-de-23-de-agosto-de-2024. Em caso de conflito entre os termos e disposições deste DPA e os termos e disposições das SCCs do Brasil aqui incorporadas, deverão prevalecer os termos e disposições das SCCs do Brasil.

4. Pessoal

A Pismo deverá assegurar que as pessoas autorizadas a Tratar Dados Pessoais do Cliente estejam submetidas à obrigação adequada e apropriada de confidencialidade, conforme as leis e regulamentos aplicáveis.

Segurança do Tratamento

Considerando o estado da arte, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do Tratamento, bem como os riscos aos direitos e à liberdade das pessoas físicas, a Pismo deverá implementar e manter medidas técnicas e organizacionais aptas a assegurar nível de segurança adequado ao risco. Na avaliação do nível de segurança adequado, a Pismo deverá, em especial, levar em consideração a sensibilidade dos Dados Pessoais e os riscos apresentados pelo Tratamento, especialmente aqueles decorrentes de Tratamento não autorizado ou ilícito e a destruição, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais do Cliente transmitidos, armazenados ou de outra forma Tratados. A Pismo deverá fornecer assistência razoável ao Cliente para assegurar que o Cliente cumpra com suas obrigações envolvendo tais medidas de segurança.

Incidente de Segurança

  • Na eventualidade de ocorrer um Incidente de Segurança que afete Dados Pessoais do Cliente contidas nos sistemas da Pismo, esta deverá: (i) investigar as circunstâncias, a extensão e as causas do Incidente de Segurança, reportando os resultados ao Cliente e mantendo-o periodicamente informado sobre o progresso da sua investigação até a efetiva resolução; e (ii) cooperar com o Cliente em qualquer notificação legalmente exigida pelo Cliente a Titulares de Dados afetados.
  • A Pismo deverá notificar o Cliente, sem demora injustificada, assim que a Pismo ou qualquer Suboperador tomar conhecimento de um Incidente de Segurança envolvendo Dados Pessoais do Cliente, fornecendo ao Cliente informações suficientes e assistência razoável para permitir que o Cliente cumpra suas obrigações, nos termos das Leis de Proteção de Dados, de (i) notificar a Autoridade Supervisora (conforme definido pelas Leis de Proteção de Dados) sobre o Incidente de Segurança; e (ii) comunicar o Incidente de Segurança aos Titulares de Dados afetados.
  • Na medida em que o Incidente de Segurança tenha sido causado pelo Cliente (incluindo seus administradores, empregados, agentes, parceiros de negócios, representantes e/ou fornecedores) ou por seus clientes, o Cliente será responsável pelos custos decorrentes da assistência prestada pela Pismo nos termos desta Cláusula 12.

Exclusão e Retenção

A Pismo deverá excluir todos os Dados Pessoais do Cliente ao término do Contrato e excluir quaisquer cópias existentes, salvo e na medida em que o armazenamento seja exigido ou permitido por lei ou regulamento aplicável.

Responsabilidade do Cliente na qualidade de Controlador

Quanto ao papel do Cliente como controlador de dados em relação aos Serviços, o Cliente deverá cumprir o quanto segue:
  • garantir plena conformidade com todas as Leis de Proteção de Dados e regulamentações no que se refere aos Dados Pessoais do Cliente que o Cliente coleta, armazena, transfere ou que de qualquer outro modo Trata;
  • garantir a implementação de todos os registros, notificações, submissões, revisões e/ou quaisquer outras ações regulatórias exigidas nos termos das Leis de Proteção de Dados para permitir que o Cliente use ou usufrua dos Serviços e para que a Pismo preste os Serviços, nos termos do Contrato;
  • na hipótese de existirem requisitos de localização ou armazenamento local de dados nos termos de quaisquer Leis de Proteção de Dados, o Cliente será responsável por adotar todas as medidas necessárias ao cumprimento de tais requisitos;
  • fornecer informações adequadas aos Titulares de Dados previamente ao Tratamento pretendido pelo Cliente e pela Pismo, inclusive conforme previsto nas Cláusulas 4 e 19;
  • fornecer à Pismo dados precisos sobre os Titulares de Dados, incluindo informar à Pismo quando os Dados Pessoais do Cliente devam ser corrigidos, atualizados, bloqueados, desindexados ou excluídos;
  • garantir que possui uma base legal, incluindo a obtenção do consentimento inequívoco, prévio e informado do Titular de Dados quando exigido nos termos das Leis de Proteção de Dados, para o Tratamento de quaisquer Dados Pessoais do Cliente, incluindo o Tratamento de quaisquer Dados Pessoais do Cliente pela Pismo; e
  • notificar a Pismo, após eventual contato de autoridade regulatória envolvendo os Dados Pessoais Tratados pela Pismo, exceto se tal notificação for proibida pelas leis ou regulamentos aplicáveis.

C. DISPOSIÇÕES GERAIS

De acordo com os termos do Contrato, a Pismo permitirá que o Cliente adote medidas adequadas para assegurar que a Pismo Trate Dados Pessoais do Cliente em conformidade com o Contrato e com as Leis de Proteção de Dados. Os termos deste DPA deverão se aplicar apenas na medida exigida pelas Leis de Proteção de Dados. Naquilo que não conflitarem com este instrumento, as disposições do Contrato aplicáveis (incluindo, sem limitação, regras sobre indenizações, limitações de responsabilidade, cumprimento e execução, bem como interpretação) deverão se aplicar a este DPA. Em caso de conflito entre as disposições deste DPA e do Contrato, os termos deste DPA deverão prevalecer exclusivamente quanto às cláusulas de tratamento de dados quando exigido pelas Leis de Proteção de Dados; em todos os demais aspectos, deverão prevalecer as disposições do Contrato. Sem prejuízo de qualquer termo ou condição deste DPA, este DPA não se aplica a quaisquer dados ou informações não regulados por Leis de Proteção de Dados, incluindo Dados Pessoais que tenham sido agregados ou anonimizados em conformidade com as Leis de Proteção de Dados. Ademais, este DPA não se aplica na medida em que a Pismo e o Cliente tenham celebrado termos e condições específicos de tratamento de dados que regulem o mesmo objeto desde DPA. O Cliente concorda que a Pismo poderá, sem necessidade de obter consentimento adicional ou notificar o Cliente, utilizar, distribuir, transferir ou sublicenciar quaisquer formas agregadas e anonimizadas de dados fornecidos nos termos deste Contrato, conforme permitido ou exigido pelas Leis de Proteção de Dados. Sem prejuízo do disposto acima, o Cliente reconhece que, em algumas jurisdições, a Pismo poderá realizar determinadas atividades de Tratamento de Dados Pessoais na qualidade de controladora independente para fins de faturamento, contabilidade interna e externa e auditoria, detecção ou prevenção de crimes financeiros (incluindo verificações de prevenção à lavagem de dinheiro e “know your client”), prevenção a fraudes, autenticação, segurança, gestão de riscos, propositura ou defesa em processos judiciais ou arbitrais e/ou outras formas de resolução de disputas, atendimento a requisições regulatórias ou de autoridades competentes, cumprimento de obrigações legais e regulatórias, desenvolvimento, testes e marketing de produtos e serviços, geração de bases de dados desidentificadas, anonimizadas ou agregadas, modelagem de dados, análise de dados, inteligência de negócios e insights para suportar e aprimorar programas de fidelidade e benefícios, incluindo a verificação de elegibilidade ou de transações qualificadas e segmentação.

ANEXO 1 – CUMPRIMENTO DAS LEIS ESTADUAIS DE PRIVACIDADE DOS ESTADOS UNIDOS DA AMÉRICA (EUA)

Este Anexo aplica-se, em complemento aos termos estabelecidos no corpo do DPA (e é nele incorporado por referência), quando a CCPA e seus regulamentos de implementação, conforme alterados ou substituídos periodicamente (California Civil Code §§ 1798.100 a 1798.199), ou leis estaduais semelhantes (“Leis Estaduais de Privacidade dos EUA“) forem aplicáveis ao uso ou usufruto dos Serviços pelo Cliente.

1. APLICAÇÃO

1.1 Este Anexo é aplicável exclusivamente na medida em que quaisquer Dados Pessoais do Cliente Tratados pela Pismo na prestação dos Serviços estejam sujeitos às Leis Estaduais de Privacidade dos EUA. Nada neste Anexo implica o reconhecimento, por qualquer das Partes, de que a Parte está sujeita às disposições das Leis Estaduais de Privacidade dos EUA aplicáveis para quaisquer fins, incluindo a prestação dos Serviços, nem implica renúncia, por qualquer das Partes, ao direito de contestar a aplicabilidade das Leis Estaduais de Privacidade dos EUA. Sem prejuízo de quaisquer disposições em sentido contrário, as Partes concordam que este Anexo não se aplica a quaisquer informações coletadas, tratadas, vendidas ou divulgadas pelas Partes nos termos do Gramm-Leach-Bliley Act. 1.2 Os termos em letras maiúsculas utilizados, mas não definidos neste Anexo terão o significado a eles atribuído no Contrato, no DPA ou, na ausência de definição, nas Leis Estaduais de Privacidade dos EUA aplicáveis. Em caso de conflito entre as disposições deste Anexo e do Contrato, as disposições deste Anexo deverão prevalecer na medida necessária para assegurar conformidade com as Leis Estaduais de Privacidade dos EUA. As considerações preliminares deste instrumento são incorporadas por referência a este Anexo.

2. PAPÉIS E OBRIGAÇÕES EM MATÉRIA DE PRIVACIDADE DE DADOS

2.1 Para os fins deste Anexo, as Partes reconhecem que, em relação às Dados Pessoais do Cliente que a Pismo Trata em nome do Cliente nos termos do Contrato e que não são tratadas nos termos do GLBA: (a) o Cliente atua como Organização (Business) e a Pismo atua como Prestadora de Serviços, sendo tais termos definidos na CCPA; e (b) o Cliente atua como Controlador e a Pismo atua como Operador, conforme definido em outras Leis Estaduais de Privacidade dos EUA aplicáveis. 2.2 Para fins de esclarecimento, a Pismo não atua como Terceiro (Third Party) e não realiza publicidade comportamental entre contextos (Cross-Contextual Behavioral Advertising) nos termos deste Anexo. 2.3 Cada Parte deverá cumprir suas obrigações nos termos das Leis Estaduais de Privacidade dos EUA aplicáveis em relação a quaisquer Dados Pessoais do Cliente Tratados nos termos deste Anexo. O Cliente reconhece e concorda expressamente que seu uso ou fruição dos Serviços não violará direitos de quaisquer Consumidores (Consumers), incluindo os Consumidores que tenham optado por não permitir a venda ou outras divulgações de Dados Pessoais do Cliente, na medida do aplicável de acordo com as Leis Estaduais de Privacidade dos EUA.

3. OBRIGAÇÕES DA PISMO

3.1 Na qualidade de Prestadora de Serviços ou Operadora, a Pismo:
  • Protegerá e manterá os Dados Pessoais do Cliente seguros, de acordo com as Leis Estaduais de Privacidade dos EUA, inclusive ao garantir o mesmo nível de proteção de privacidade exigido pela CCPA ou outras Leis Estaduais de Privacidade dos EUA aplicáveis;
  • Tratará os Dados Pessoais do Cliente apenas para as finalidades empresariais específicas, conforme previstas na seção “Instruções para o Tratamento”, no Contrato e/ou no Anexo 3;
  • Exceto quando permitido pelas Leis Estaduais de Privacidade dos EUA aplicáveis, não venderá nem compartilhará Dados Pessoais do Cliente, tampouco reterá, utilizará ou divulgará Dados Pessoais do Cliente (i) para fins diversos dos necessários ao cumprimento das finalidades empresariais previstas no Contrato e/ou Anexo 3, inclusive para fins comerciais distintos; ou (ii) fora da relação comercial direta entre a Pismo e o Cliente;
  • Não combinará os Dados Pessoais do Cliente com outros Dados Pessoais que receba de ou em nome de qualquer outra(s) pessoa(s) ou entidade(s), ou que colete de suas próprias interações com um indivíduo, salvo conforme permitido pelas Leis Estaduais de Privacidade dos EUA;
  • Implementará procedimentos e práticas de segurança razoáveis e apropriados à natureza dos Dados Pessoais do Cliente, para protegê-los contra acesso, destruição, uso, modificação ou divulgação que sejam não autorizados ou ilícitos;
  • Notificará imediatamente o Cliente sobre quaisquer mudanças relevantes na capacidade da Pismo de cumprir suas obrigações nos termos das Leis Estaduais de Privacidade dos EUA, incluindo, mas não se limitando a qualquer determinação de que a Pismo não está mais apta a cumprir suas obrigações nos termos deste Anexo;
  • Garantirá que o pessoal da Pismo envolvido no Tratamento de Dados Pessoais do Cliente esteja sujeito a dever de confidencialidade e que os contratos celebrados com quaisquer Suboperadores contratados para o Tratamento de Dados Pessoais do Cliente cumpram as Leis Estaduais de Privacidade dos EUA aplicáveis, incluindo, sem limitação, requisitos contratuais aplicáveis a Prestadores de Serviços e Entidades Contratadas;
  • Prestará cooperação razoável ao Cliente, quando solicitado, para viabilizar que o Cliente cumpra solicitações de consumidores nos termos das Leis Estaduais de Privacidade dos EUA aplicáveis;
  • Fornecerá informações razoáveis necessárias para que o Cliente conduza e documente avaliações de impacto de proteção de dados;
  • Assegurará ao Cliente o direito de adotar medidas razoáveis e apropriadas, nos termos do Contrato, para permitir que a Pismo utilize os Dados Pessoais do Cliente de modo consistente com as obrigações do Cliente nos termos das Leis Estaduais de Privacidade dos EUA aplicáveis;
  • Assegurará ao Cliente o direito, mediante notificação e nos termos do Contrato, de adotar medidas razoáveis e apropriadas para cessar e remediar o uso não autorizado de Dados Pessoais do Cliente pela Pismo; e
  • Excluirá os Dados Pessoais do Cliente ao término da prestação dos Serviços nos termos do Contrato, salvo quando a retenção dos Dados Pessoais do Cliente for exigida ou autorizada pelo Contrato ou pelas Leis Estaduais de Privacidade dos EUA.
A Pismo declara que compreende suas obrigações, incluindo restrições, que lhe são impostas pela CCPA em relação aos Dados Pessoais e garante que irá cumpri-las. 3.2 Sem prejuízo do acima exposto, a Pismo poderá reter, utilizar ou divulgar Dados Pessoais do Cliente conforme permitido pelas Leis Estaduais de Privacidade dos EUA aplicáveis, incluindo para as seguintes finalidades:
  • reter e contratar outro Prestador de Serviço ou Entidade Contratada como subcontratado, nos termos da Cláusula 3.1(g) deste Anexo e demais termos aplicáveis do Contrato, desde que o subcontratado atenda aos requisitos exigidos de um Prestador de Serviço ou Entidade Contratada ou termos similares definidos nas Leis Estaduais de Privacidade dos EUA aplicáveis;
  • utilizá-las internamente para criar ou aprimorar a qualidade dos Serviços, desde que não as utilize para prestar serviços em nome de terceiros;
  • prevenir, detectar ou investigar incidentes de segurança de dados, ou proteger contra atividade maliciosa, enganosa, fraudulenta ou ilegal;
  • para os propósitos enumerados no California Civil Code § 1798.145(a)(1) a § 1798.145(a)(7); e/ou
  • para quaisquer outros fins expressamente contemplados ou permitidos pelas Leis Estaduais de Privacidade dos EUA ou demais Leis de Proteção de Dados aplicáveis.

ANEXO 2 – CUMPRIMENTO DO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS (GDPR)

Este Anexo aplica-se em complemento a quaisquer termos e disposições do corpo do DPA (e está a ele incorporado por referência) quando o GDPR for aplicável ao uso ou à fruição dos Serviços pelo Cliente, ou na medida em que as Leis de Proteção de Dados estabelecerem requisitos similares aos previstos neste Anexo 2. Os termos em letras maiúsculas não definidos neste documento terão os significados a eles atribuídos no DPA. Em caso de conflito entre as disposições deste Anexo e as disposições do DPA, as disposições deste Anexo deverão prevalecer. Conforme a Cláusula 3 do DPA e para os fins deste Anexo 2, o termo “Operador” significa a Pismo.

1. OBRIGAÇÕES ADICIONAIS DO OPERADOR

1.1 Tratamento de Dados Pessoais do Cliente. O Operador deverá Tratar os Dados Pessoais do Cliente apenas conforme instruções documentadas e razoáveis do Cliente (incluindo as Instruções para o Tratamento previstas na Cláusula 4, no que diz respeito a Transferências de Dados Pessoais do Cliente a um país terceiro, se aplicável), salvo se o Operador for obrigado a Tratar os Dados Pessoais do Cliente nos termos das Leis de Proteção de Dados. Nesse caso, o Operador deverá informar o Cliente acerca dessa exigência legal antes do Tratamento, salvo se proibido pela lei aplicável, por razões relevantes de interesse público.

2. CONTRATAÇÃO DE SUBOPERADOR

2.1 O Operador não poderá contratar Suboperador sem autorização específica ou geral por escrito do Cliente. Nos termos desta Cláusula 2.1, o Cliente autoriza o Operador a contratar os Suboperadores detalhados na lista de Suboperadores do Operador, conforme atualizada periodicamente e disponibilizada ao Cliente através do portal online da Pismo. 2.2 Quando o Operador contratar um Suboperador, o Operador deverá notificar o Cliente acerca dessa contratação. O Operador deverá conceder prazo razoável para que o Cliente apresente objeções à contratação do referido Suboperador e o Cliente desde já tem ciência e concorda que o Operador poderá contratar o Suboperador relevante caso o Cliente não apresente objeção dentro do prazo aplicável. Se o Cliente apresentar objeção à contratação de um Suboperador no prazo aplicável, o Operador poderá escolher uma das seguintes opções: (i) decidir não contratar o Suboperador para aquela atividade de Tratamento; (ii) adotar as medidas corretivas solicitadas pelo Cliente em sua objeção (que eliminem as objeções do Cliente) e prosseguir com a contratação do Suboperador; ou (iii) suspender ou rescindir a prestação dos serviços que requeiram a contratação do Suboperador.

3. AVALIAÇÕES DE IMPACTO À PROTEÇÃO DE DADOS E CONSULTA PRÉVIA PARA A AUTORIDADE REGULADORA

3.1 O Operador deverá informar imediatamente o Cliente caso, na opinião do Operador, as Instruções do Cliente para o Tratamento de Dados Pessoais violem as Leis de Proteção de Dados. O Cliente tem ciência e concorda que o Operador não tem obrigação de adotar tais medidas destinadas a formar a sua opinião. 3.2 O Operador deverá fornecer assistência razoável ao Cliente em relação a quaisquer hipóteses legalmente exigidas: (a) avaliações de impacto à proteção de dados; e (b) consultas prévias iniciadas pelo Cliente junto à autoridade reguladora competente em conexão com tais avaliações de impacto à proteção de dados. Tal assistência deverá ser estritamente limitada ao Tratamento de Dados Pessoais do Cliente pelo Operador em nome do Cliente, nos termos do Contrato, considerando a natureza do Tratamento e as informações disponíveis ao Operador.

4. DEMONSTRAÇÃO DE CUMPRIMENTO DESTE DPA

4.1 O Operador deverá disponibilizar ao Cliente informações necessárias para demonstrar o cumprimento de suas obrigações nos termos deste DPA e permitir (e prestar assistência em) auditorias, incluindo inspeções conduzidas pelo Cliente ou por auditor por ele designado, com o propósito de demonstrar o cumprimento das obrigações deste DPA, desde que:
  • o Cliente notifique o Operador com antecedência razoável sobre qualquer auditoria (quando permitido por leis ou regulamentos);
  • a auditoria seja conduzida de modo a causar perturbação mínima às atividades do Operador (incluindo em relação à duração da auditoria e o número/senioridade dos colaboradores do Operador necessários para prestar assistência na auditoria); e
  • o Cliente e seu auditor terceirizado estejam sujeitos às políticas e obrigações de confidencialidade do Operador aplicáveis.
4.2 Ao reconhecer o tempo, os custos e a perturbação operacional associados à condução de auditorias e inspeções envolvendo entrevistas e visitas in loco, o Cliente concorda em conduzir tais auditorias e inspeções apenas sob a condição de que possa demonstrar que tais auditorias e inspeções são necessárias além das informações disponibilizadas pelo Operador nos termos da Cláusula 4.1. acima. Por exemplo, na medida em que o Operador demonstre cumprimento de suas obrigações estabelecidas neste DPA por meio de adesão a código de conduta aprovado, obtenção de certificação aprovada ou disponibilização de relatório de auditoria emitido por um auditor independente (desde que o Cliente cumpra as obrigações de confidencialidade adequadas previstas no Contrato e não utilize o relatório para outros fins), o Cliente concorda em não conduzir auditoria/inspeção nos termos da Cláusula 4.1. acima.

ANEXO 3 – DETALHES DO TRATAMENTO

Serviço Natureza e Finalidade do Tratamento Tipos de Dados Pessoais Categorias de Titulares de Dados
Core Banking Conjunto de serviços Pismo (acessíveis via APIs) que pode gerenciar funções internas e de terceiros/parceiros, permitindo a bancos e fintechs clientes da Pismo oferecer produtos financeiros a seus clientes, incluindo gestão bancária, Contas Remuneradas e Depósitos a Prazo, Pagamentos de Contas, Pagamentos Instantâneos e Relatórios Regulatórios. Número de telefone; Número de documento; Transação (data/hora/local/valor); CNPJ; Número da nota fiscal; Série da fatura; Chave de acesso; Autorização; E-mail; Endereço; Celular; Telefone; Nome; Identificadores de Dispositivo; endereço IP; Logs de servidor/atividade; Informações de cobrança e envio; Data de validade do cartão; Informações do estabelecimento; Dados de verificação de PIN e CVV; Número da conta de pagamento (PAN); Token de referência da conta de pagamento (PAR); Transação (data/hora/local/valor). Clientes do Cliente, incluindo consumidores, titulares de cartões e estabelecimentos comerciais.
Processamento de emissão de cartão (Card Issuing Processor) As capacidades da plataforma Pismo também podem facilitar o processamento seguro e eficiente de transações eletrônicas de pagamento entre fintechs, bancos, estabelecimentos, instituições financeiras etc. A plataforma permite que os clientes gerenciem os processos complexos envolvidos na autorização, compensação e liquidação de transações. Clientes do Cliente, incluindo consumidores, titulares de cartões e estabelecimentos comerciais.
Transaction Banking A Pismo Transaction Banking é uma plataforma de core banking nascida na nuvem (born-in-cloud), nativa em nuvem (cloud-native) e baseada em API, que oferece recursos essenciais para operações bancárias transacionais e processamento de pagamentos. Os serviços-chave fornecidos pela Pismo incluem Estrutura Hierárquica para suportar Hierarquias Organizacionais, Gestão Completa do Ciclo de Vida de Contas, Tratamento de Valores Reservados (earmarks), Gestão de Contas Inativas, entre outros. Clientes do Cliente, incluindo consumidores, titulares de cartões e estabelecimentos comerciais.
Plataforma de Gestão de Vendedores (Seller Management Platform) Compreende serviços (via APIs) para gestão de vendedores/estabelecimentos comerciais, desde o seu cadastro até aspectos financeiros, como agendamento de pagamentos e liquidação. Clientes do Cliente, incluindo consumidores, titulares de cartões e estabelecimentos comerciais.
Plataforma de Gestão de Empréstimos (Loan Management Platform) Um recurso tecnológico desenvolvido para auxiliar credores (i.e., bancos, sociedades de crédito, cooperativas ou empresas financeiras não bancárias) a automatizar e tornar altamente escaláveis as capacidades de gestão e atendimento de empréstimos para suas operações de back office de crédito. Clientes do Cliente, incluindo consumidores, titulares de cartões e estabelecimentos comerciais.
Duração e Frequência: A duração do Tratamento corresponde ao período durante o qual a Pismo presta os Serviços ao Cliente e a qualquer período adicional necessário ao cumprimento das obrigações contratuais da Pismo junto ao Cliente ou em cumprimento às leis aplicáveis. Os dados são transferidos periodicamente. A Pismo poderá reter dados para fins de arquivo ou registro, em conformidade com as leis aplicáveis e suas respectivas políticas de gestão de arquivos ou registros.

ANEXO 4 – LISTA DE SUBOPERADORES

Empresa Funções exercidas Localidade Serviços aplicáveis
Amazon Web Services Hospedagem de dados, segurança de dados e resiliência. Estados Unidos da América Todos os Serviços da Pismo

Plataforma

Visão da plataforma

Cartões

Core Banking
Crédito Digital
Carteiras Digitais
Seller Management

Insights

Blog
Knowledge
Vídeos
Eventos

Sobre nós

Pismo
Investidores
News
Newsletter

Security and Compliance

Privacy Notice
Data Privacy
Code of Conduct and Ethics
Vulnerability Disclosure

Developers​

Careers​

Contact us​

Cadastre-se na nossa lista de e-mails!

Receba as últimas tendências, notícias e conteúdos exclusivos da Pismo. Sem spam - apenas atualizações valiosas.

[hubspot type=form portal=19991203 id=52329421-b1d9-4b9e-916b-9be136a0c48b]
Linkedin logo
X logo

Pismo • All rights reserved • Cookie PolicyYour Privacy Rights