POLÍTICA DE PRIVACIDADE DE DADOS

1. OBJETIVO DA POLÍTICA

Esta Política de Privacidade de Dados (“Política”) descreve como a Consig 360 Ltda. (“Consig 360”) procede com o tratamento dos dados pessoais dos seus usuários e agentes substabelecidos;, potenciais clientes dos usuários e agentes substabelecidos cadastrados na Plataforma Consig 360 (“Plataforma”); colaboradores, prestadores de serviços, fornecedores e parceiros. Estabelecemos este documento para garantir transparência total nas operações realizadas através da Plataforma Consig 360, especialmente em atividades que envolvem o Open Finance.

2. CONFORMIDADE LEGAL

Esta Política está alinhada com o Marco Civil da Internet (Lei Federal nº 12.965/2014), a Lei Geral de Proteção de Dados Pessoais nº 13.709/2018 (“LGPD”) e, quando aplicável, ao Regulamento Geral Europeu de Proteção de Dados Pessoais (GDPR, Regulamento UE nº 2016/679).

3. QUEM SOMOS?

A Consig 360 atua na qualidade de correspondente bancário, devidamente autorizada a exercer suas atividades nos termos da Resolução do Conselho Monetário Nacional nº 4.935/2021, bem como em conformidade com as demais normas e legislações aplicáveis ao exercício da atividade. As suas operações são realizadas por meio de plataforma tecnológica disponibilizada em ambiente web, de titularidade de terceiro, a qual é regularmente licenciada e autorizada à Consig 360 para fins de uso operacional, doravante denominada “Plataforma Consig 360”. Referida Plataforma foi desenvolvida para viabilizar e apoiar a oferta, a intermediação e a gestão de soluções financeiras e não financeiras, em colaboração com instituições financeiras e parceiros devidamente autorizados e supervisionados pelo Banco Central do Brasil (BCB), observadas as diretrizes regulatórias, operacionais e de compliance aplicáveis.

4. DEFINIÇÕES

Para os fins desta Política, os termos abaixo terão os significados a eles atribuídos, nos termos da legislação aplicável, especialmente da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD):

I. ANPD (Autoridade Nacional de Proteção de Dados): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da legislação de proteção de dados pessoais no Brasil;

II. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

III. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador e de acordo com suas instruções;

IV. Titular : pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

V. Dados Pessoais : informação relacionada a pessoa natural identificada ou identificável;

VI. Dados Pessoais Sensíveis: dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, bem como dados referentes à saúde ou à vida sexual, e dados genéticos ou biométricos, quando vinculados a uma pessoa natural; e,

VII. Tratamento de Dados Pessoais : toda e qualquer operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

5. DADOS PESSOAIS COLETADOS

A Consig 360 poderá coletar e tratar dados pessoais estritamente necessários para a execução de suas atividades; para a oferta, intermediação e gestão de produtos e soluções financeiras e não financeiras por meio de sua Plataforma, bem como para o cumprimento de obrigações legais, regulatórias e contratuais, sempre em observância aos princípios da finalidade, adequação, necessidade, transparência e segurança.

5.1. Categorias de Dados Pessoais Coletados

De acordo com a natureza da relação estabelecida, o produto contratado e o canal de interação utilizado, poderão ser coletadas as seguintes categorias de Dados Pessoais:

Dados Cadastrais: nome completo, número de CPF, data de nascimento, endereços residencial e comercial, estado civil, profissão e demais informações necessárias à identificação do titular;

Dados de Contato: endereço de correio eletrônico (e-mail), número de telefone fixo e/ou móvel;

Dados Bancários e Financeiros: informações de instituição financeira, agência, conta bancária, chave PIX e demais dados necessários para a operacionalização das transações financeiras;

Dados para Análise de Crédito: informações relacionadas à capacidade de crédito, histórico financeiro, margem consignável, registros de operações anteriores e dados obtidos junto a bases de análise de crédito, quando aplicável;

Dados de Navegação e Acesso: endereço IP, data e hora de acesso, informações sobre dispositivo, registros de interação digital e, quando autorizado, dados de geolocalização;

Dados Biométricos : dados de reconhecimento facial e de voz, coletados exclusivamente para fins de identificação, autenticação, prova de vida e prevenção a fraudes, inclusive por meio de tecnologias de liveness, quando aplicável;

Documentos Comprobatórios: documentos de identificação pessoal, tais como RG, CPF, comprovante de residência, comprovante de renda ou benefício previdenciário, entre outros documentos necessários à formalização e validação das operações.

A Consig 360 poderá, quando necessário, realizar o tratamento de dados adicionais, desde que compatíveis com as finalidades informadas e observada a base legal adequada.

5.2. Solicitação de Dados Complementares

Poderá ser solicitada a apresentação de dados pessoais complementares, de forma pontual e proporcional, nas seguintes hipóteses:

I. Quando necessários para a adequada prestação dos serviços, execução de contratos ou formalização de operações intermediadas pela Consig 360;

II. Para atendimento a solicitações de instituições financeiras ou não financeiras parceiras, devidamente autorizadas, com o objetivo de complementar análises técnicas, cadastrais ou de crédito; e,

III. Para cumprimento de obrigações legais, regulatórias ou determinações de autoridades competentes.

A solicitação e o tratamento de dados complementares ocorrerão mediante informação prévia ao titular, observada a base legal aplicável, podendo envolver o consentimento do titular, quando exigido pela legislação.

6. Finalidades do Tratamento de Dados

A Consig 360 realiza o tratamento de dados pessoais estritamente necessários para a execução de suas atividades como correspondente bancário, para a operacionalização das operações de crédito consignado e produtos correlatos, bem como para o adequado funcionamento de seus processos internos, inclusive de backoffice, compliance, controle operacional e prevenção a fraudes, sempre em observância à legislação aplicável e aos princípios da Lei Geral de Proteção de Dados Pessoais (LGPD).

6.1. Base de Confiança, Veracidade e Finalidades

Ao fornecer seus dados pessoais à Consig 360, o titular declara, sob sua responsabilidade, que as informações prestadas são verdadeiras, completas e atualizadas, comprometendo-se a mantê-las corretas sempre que necessário. O tratamento desses dados ocorrerá exclusivamente para as finalidades legítimas e específicas descritas abaixo, conforme a natureza da relação estabelecida:

I. Execução de contratos e procedimentos preliminares, incluindo a formalização, gestão, refinanciamento, portabilidade e encerramento de operações de crédito consignado;

II. Cumprimento de obrigações legais, regulatórias e autorregulatórias, inclusive aquelas relacionadas a órgãos reguladores, instituições financeiras parceiras e convênios aplicáveis;

III. Análise cadastral, financeira e de crédito, avaliação de margem consignável, prevenção a fraudes e verificação de identidade;

IV. Realização e viabilização de transações financeiras e não financeiras, incluindo repasses, liquidações, registros, averbações e controles operacionais;

V. Atividades internas de backoffice , tais como auditorias, controles internos, gestão de riscos, suporte operacional, atendimento ao cliente e gestão de contratos;

VI. Comunicação com o titular, inclusive para envio de informações operacionais, contratuais, regulatórias ou de atendimento, pelos canais informados;

VII. Ações de marketing e relacionamento, quando aplicável e observado o consentimento do titular ou outra base legal legítima, incluindo oferta de produtos e serviços relacionados ao crédito consignado; e,

VIII. Atendimento a determinações de autoridades competentes, requisições administrativas, judiciais ou arbitrais.

6.2. Segurança da Informação e Proteção dos Dados

A Consig 360 adota medidas técnicas, administrativas e organizacionais adequadas para proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração, comunicação ou difusão indevida, bem como contra qualquer forma de tratamento inadequado ou ilícito. Tais medidas são continuamente avaliadas e aprimoradas, considerando a natureza dos dados tratados, o contexto da operação de crédito consignado e os riscos envolvidos, em especial no que se refere à prevenção de fraudes, proteção de dados sensíveis e integridade das informações.

7. CONSENTIMENTO DO TITULAR E PAPÉIS NO TRATAMENTO DE DADOS PESSOAIS

7.1. Consentimento do Titular

Sempre que o tratamento de dados pessoais exigir consentimento, nos termos da legislação aplicável, caberá ao usuário da Plataforma Consig 360, na qualidade de Controlador, coletar o consentimento do titular por seus próprios meios, de forma livre, informada, inequívoca e específica, previamente à inserção ou utilização dos dados pessoais na plataforma. A inserção, o compartilhamento ou o tratamento de dados pessoais na Plataforma Consig 360 pressupõem e confirmam que o usuário da plataforma obteve validamente o consentimento do titular, quando exigido, ou que dispõe de outra base legal legítima para o tratamento, assumindo integral responsabilidade por sua regularidade. Sem prejuízo do disposto acima, quando os dados pessoais forem tratados por meio da Plataforma Consig 360, a Consig 360 poderá realizar, na qualidade de Operadora, a coleta complementar de consentimento, por meio do envio de termo próprio ao titular, com o objetivo de:

I. Reforçar a transparência quanto ao uso da plataforma;

II. Informar as finalidades específicas do tratamento realizado no ambiente tecnológico; e,

III. Registrar a ciência e a manifestação de vontade do titular quanto às operações intermediadas.

A coleta complementar de consentimento realizada pela Consig 360 não exime nem substitui a obrigação do usuário da plataforma de obter o consentimento inicial ou de assegurar a existência de base legal válida para o tratamento dos dados pessoais. O consentimento poderá ser revogado a qualquer tempo pelo titular, mediante solicitação, observado que a revogação não afetará a licitude dos tratamentos realizados anteriormente, nem aqueles amparados por outras bases legais previstas na LGPD.

7.2. Papéis da Consig 360 e dos Usuários da Plataforma

No contexto da exploração e utilização da Plataforma, a Consig 360 atuará, como regra geral, na qualidade de Operadora de Dados Pessoais, realizando o tratamento de dados em nome e de acordo com as instruções do usuário da plataforma, que, por sua vez, atuará como Controlador, nos termos da Lei Geral de Proteção de Dados Pessoais (LGPD). Nessa condição:

I. Compete ao Controlador definir as finalidades e os meios do tratamento de dados pessoais, bem como assegurar a existência de base legal válida, inclusive quanto à coleta do consentimento do titular, quando aplicável; e,

II. Compete à Consig 360, na qualidade de Operadora, realizar o tratamento dos dados pessoais estritamente conforme as instruções documentadas do Controlador, observadas as medidas de segurança, confidencialidade e proteção previstas nesta Política e na legislação aplicável.

7.3. Responsabilidades e Cooperação

A Consig 360 e os usuários da Plataforma comprometem-se a cooperar entre si para:

I. Garantir o atendimento aos direitos dos titulares de dados pessoais;

II. Implementar medidas adequadas de segurança da informação;

III . Responder a incidentes de segurança e comunicações à autoridade competente, quando aplicável; e,

IV. Cumprir integralmente as obrigações previstas na LGPD, nos contratos celebrados e nesta Política.

Sempre que a Consig 360 realizar o tratamento de dados pessoais na qualidade de Controladora, em hipóteses específicas e devidamente informadas ao titular, tais situações serão claramente indicadas nesta Política ou em instrumentos próprios.

8. DIREITOS DO TITULAR DOS DADOS PESSOAIS

Nos termos da legislação aplicável, especialmente da Lei Geral de Proteção de Dados Pessoais (LGPD), o titular dos dados pessoais possui, entre outros, os seguintes direitos, os quais poderão ser exercidos mediante solicitação:

I. Confirmação da existência de tratamento de seus dados pessoais;

II. Acesso aos dados pessoais tratados;

III. Correção de dados incompletos, inexatos ou desatualizados;

IV. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a legislação aplicável, quando cabível;

V. Portabilidade dos dados a outro fornecedor de serviço ou produto, observados os limites legais e regulamentares;

VI. Eliminação dos dados pessoais tratados com base no consentimento, ressalvadas as hipóteses legais de conservação;

VII. Informação sobre as entidades públicas e privadas com as quais os dados pessoais foram compartilhados, quando aplicável;

VIII. Informação sobre a possibilidade de não fornecer consentimento, bem como sobre as consequências da negativa;

IX. Revogação do consentimento, nos termos da legislação aplicável;

X. Oposição ao tratamento, quando este ocorrer em desconformidade com a LGPD;

XI. Revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive decisões destinadas a definir perfil pessoal, profissional, de consumo ou de crédito, quando aplicável.

O exercício dos direitos previstos neste tópico será analisado de acordo com a natureza da relação estabelecida, a base legal aplicável ao tratamento e os limites impostos por obrigações legais, regulatórias ou contratuais.

9. EXERCÍCIO DOS DIREITOS PELO TITULAR

O titular poderá exercer seus direitos a qualquer tempo, mediante solicitação formal, por meio dos canais oficiais de comunicação disponibilizados pela Consig 360, incluindo o canal de contato do Encarregado pelo Tratamento de Dados Pessoais (DPO) indicado nesta Política. Para fins de segurança e prevenção a fraudes, a Consig 360 poderá solicitar informações adicionais para a verificação da identidade do solicitante, antes de atender à requisição, garantindo que o acesso ou a alteração dos dados seja realizada exclusivamente pelo próprio titular ou por representante legal devidamente autorizado. Considerando que a Consig 360 atua, em regra, na qualidade de Operadora de Dados Pessoais, as solicitações relativas ao exercício de direitos serão encaminhadas ao respectivo Controlador, responsável pelas decisões quanto ao atendimento do pedido, sem prejuízo da cooperação da Consig 360 para viabilizar o cumprimento das obrigações legais. As solicitações serão analisadas e respondidas dentro dos prazos legais aplicáveis, observada a complexidade da demanda e a legislação vigente.

10. ARMAZENAMENTO DE DADOS EM SERVIDORES EM NUVEM

Os dados pessoais tratados no âmbito das atividades da Consig 360 poderão ser armazenados e processados em servidores de computação em nuvem, próprios ou de terceiros contratados, localizados no Brasil ou no exterior, desde que observados os requisitos legais, regulatórios e as boas práticas de segurança da informação. A Consig 360 adota critérios técnicos e contratuais para a seleção de provedores de serviços em nuvem, exigindo a implementação de medidas de segurança compatíveis com os padrões do mercado, incluindo, quando aplicável:

I. Controles de acesso lógico e físico;

II. Criptografia de dados em repouso e em trânsito;

III . Mecanismos de autenticação e rastreabilidade de acessos;

IV . Procedimentos de backup, redundância e recuperação de desastres;

V . Monitoramento contínuo e gestão de incidentes de segurança.

Quando o armazenamento ou processamento de dados pessoais envolver transferência internacional de dados, a Consig 360 assegurará que tal operação ocorra em conformidade com a legislação aplicável, especialmente quanto à adoção de garantias adequadas de proteção, nos termos da LGPD e das orientações da Autoridade Nacional de Proteção de Dados (ANPD). Os dados pessoais serão mantidos em ambiente seguro pelo período necessário ao cumprimento das finalidades do tratamento, observadas as obrigações legais, regulatórias e contratuais de retenção, sendo posteriormente eliminados, anonimizados ou bloqueados, conforme o caso.

11. COMPARTILHAMENTO DE DADOS PESSOAIS

A Consig 360 poderá compartilhar dados pessoais estritamente necessários ao cumprimento das finalidades informadas nesta Política, sempre em observância à legislação aplicável, aos princípios da necessidade, adequação e segurança, e aos deveres de confidencialidade e proteção da informação. O compartilhamento poderá ocorrer, conforme o caso, com as seguintes categorias de destinatários:

I. Instituições financeiras e não financeiras parceiras, devidamente autorizadas, para fins de análise, formalização, gestão e execução de operações de crédito consignado e produtos correlatos;

II . Empresas integrantes do mesmo conglomerado econômico da Consig 360, quando necessário para a execução de atividades operacionais, administrativas, de compliance, governança, prevenção a fraudes, suporte tecnológico ou melhoria de serviços, observado o uso compatível com as finalidades informadas;

III. Prestadores de serviços e fornecedores, inclusive de tecnologia, hospedagem em nuvem, segurança da informação, biometria, comunicação e atendimento, que atuem em nome da Consig 360 ou dos usuários da plataforma, mediante contratos que assegurem a proteção dos dados pessoais;

IV. Usuários da Plataforma Consig 360, na qualidade de Controladores, quando aplicável, para a execução das operações por eles intermediadas; e,

V. Autoridades públicas, administrativas, judiciais ou arbitrais, sempre que houver obrigação legal, regulatória ou determinação válida nesse sentido.

O compartilhamento de dados pessoais não implica comercialização ou uso indiscriminado das informações, sendo vedado o tratamento para finalidades incompatíveis com aquelas informadas ao titular. Os terceiros que receberem dados pessoais em decorrência do compartilhamento previsto neste tópico, incluindo empresas do conglomerado econômico, instituições financeiras e não financeiras parceiras, usuários da Plataforma Consig 360, prestadores de serviços e autoridades competentes, possuem políticas, procedimentos e mecanismos próprios de proteção de dados pessoais, sendo responsáveis pelo tratamento das informações no âmbito de suas respectivas atividades e competências, nos termos da legislação aplicável. A Consig 360 não se responsabiliza pelos atos de tratamento realizados de forma autônoma por tais terceiros, fora do escopo de suas instruções, ambientes ou sistemas, permanecendo cada destinatário integralmente responsável pela observância da Lei Geral de Proteção de Dados Pessoais (LGPD), pela adoção de medidas de segurança adequadas e pelo atendimento aos direitos dos titulares, na medida de sua atuação como controlador ou operador.

12. INCIDENTES DE SEGURANÇA

Na hipótese de ocorrência de incidente de segurança da informação que possa acarretar risco ou dano relevante aos titulares de dados pessoais, a Consig 360 adotará, de forma diligente e tempestiva, todas as medidas técnicas e organizacionais cabíveis para contenção, mitigação e remediação dos efeitos do incidente. Quando exigido pela legislação aplicável, a Consig 360 realizará as comunicações e notificações necessárias à Autoridade Nacional de Proteção de Dados (ANPD), aos titulares dos dados pessoais afetados e, quando pertinente, a outras autoridades competentes, observados os prazos, critérios e orientações regulatórias. A Consig 360 mantém procedimentos internos para identificação, registro, análise, resposta, comunicação e tratamento de incidentes, os quais são continuamente revisados e aplicados de forma integrada às demais políticas de segurança, privacidade e compliance .

13. TÉRMINO DO TRATAMENTO E ELIMINAÇÃO DOS DADOS PESSOAIS

Os dados pessoais tratados pela Consig 360 serão mantidos apenas pelo período necessário ao cumprimento das finalidades para as quais foram coletados e tratados, observados os princípios da necessidade e da minimização, bem como os prazos legais, regulatórios e contratuais aplicáveis. Após o encerramento da finalidade do tratamento, os dados pessoais serão eliminados, anonimizados ou bloqueados, conforme o caso, ressalvadas as hipóteses em que sua conservação seja necessária para:

I. Cumprimento de obrigação legal ou regulatória;

II. Exercício regular de direitos, inclusive para fins de defesa em processos judiciais, administrativos ou arbitrais;

III. Atendimento a interesses legítimos, desde que respeitados os direitos e liberdades fundamentais do titular e a legislação aplicável; e,

IV. Outras hipóteses legalmente autorizadas.

A eliminação ou descarte dos dados pessoais será realizada por meios seguros e adequados, de modo a impedir sua recuperação ou uso indevido, em conformidade com as políticas internas de segurança da informação e proteção de dados da Consig 360.

14. ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (DPO)

A Consig 360 designou Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer – DPO), responsável por atuar como canal de comunicação entre a Consig 360, os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD, nos termos da legislação aplicável. O Encarregado poderá ser contatado para esclarecimento de dúvidas, solicitações relacionadas ao tratamento de dados pessoais, exercício de direitos dos titulares ou demais assuntos correlatos, exclusivamente pelos seguintes canais oficiais, os quais deverão ser utilizados em conjunto, conforme indicado:

Endereços de e-mail : suportelgpd@teddydigital.io

Telefone : 0800 0003292

As comunicações encaminhadas ao Encarregado serão tratadas de forma diligente,

15. ATUALIZAÇÕES NA POLÍTICA DE PRIVACIDADE

Esta Política de Privacidade poderá ser revista, atualizada ou modificada a qualquer tempo, com o objetivo de refletir alterações legislativas, regulatórias, orientações da Autoridade Nacional de Proteção de Dados (ANPD), aprimoramentos operacionais ou mudanças nos processos internos da Consig 360. As versões atualizadas desta Política serão divulgadas pelos canais oficiais da Consig 360, sendo de responsabilidade dos usuários, titulares de dados e demais interessados acompanhar periodicamente seu conteúdo. A continuidade da utilização da plataforma, dos serviços ou da manutenção da relação com a Consig 360 após a publicação de nova versão será considerada como ciência e concordância com os termos atualizados, quando aplicável.

16. DISPOSIÇÕES FINAIS E ENCERRAMENTO

Esta Política de Privacidade entra em vigor na data de sua publicação e permanece válida por prazo indeterminado, aplicando-se a todos os tratamentos de dados pessoais realizados no âmbito das atividades da Consig 360. As disposições aqui previstas complementam, e não substituem, outros avisos de privacidade, contratos, termos de uso e políticas internas da Consig 360, devendo ser interpretadas de forma sistemática e integrada. A eventual tolerância quanto ao descumprimento de qualquer disposição desta Política não constituirá renúncia, novação ou precedente, permanecendo a Consig 360 apta a exigir seu fiel cumprimento a qualquer tempo, nos limites da legislação aplicável.