Política de Privacidade

Como coletamos, usamos, armazenamos, compartilhamos e protegemos dados pessoais nos serviços OK!pag, em conformidade com a LGPD.

1. Introdução e Escopo

Esta Política de Privacidade ("Política") descreve como a Ok sistemas eletrônicos e meios de pagamento, inscrita no CNPJ nº 66.544.737/0001-83, na qualidade de Parceira White Label ou simplesmente "Parceira", coleta, utiliza, armazena, compartilha e protege dados pessoais em seus sites, aplicativos, APIs, plataformas, produtos e serviços digitais disponibilizados aos Usuários por meio da infraestrutura tecnológica e operacional da Plataforma.

Esta Política está em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD), normas setoriais aplicáveis às instituições de pagamento, regulamentação do Banco Central do Brasil, regras dos arranjos de pagamento e boas práticas de governança, segurança da informação e proteção de dados.

Determinados produtos ou serviços poderão estar sujeitos a termos específicos, contratos, regulamentos operacionais ou políticas adicionais da Plataforma, parceiros tecnológicos, emissores de cartões, arranjos de pagamento ou instituições financeiras participantes do Sistema de Pagamentos Brasileiro.

Ao utilizar os serviços disponibilizados pela Parceira por meio da Plataforma, o Usuário declara ter lido, compreendido e concordado com esta Política, que complementa os Termos e Condições de Uso e demais instrumentos contratuais aplicáveis.

2. Definições

Para fins desta Política, aplicam-se, entre outras, as definições previstas na LGPD:

Dados Pessoais: informação relacionada a pessoa natural identificada ou identificável.
Dados Pessoais Sensíveis: dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados genéticos, biométricos ou relativos à saúde (tratados apenas quando estritamente necessários e com base legal adequada).
Titular/Cliente: pessoa natural a quem se referem os dados pessoais.
Tratamento: toda operação realizada com dados pessoais.
Controlador: Parceira e/ou Plataforma, responsável pelas decisões referentes ao tratamento dos dados.
Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome da Parceira e/ou Plataforma.
Plataforma: infraestrutura tecnológica e operacional fornecida pela Bass Pago Instituição de Pagamento.

3. Bases Legais para o Tratamento

O tratamento de dados pessoais pela Parceira e/ou Plataforma ocorre sempre com fundamento em pelo menos uma das bases legais previstas na LGPD, incluindo, mas não se limitando a:

Cumprimento de obrigação legal ou regulatória;
Execução de contrato ou de procedimentos preliminares;
Exercício regular de direitos em processo judicial, administrativo ou arbitral;
Legítimo interesse do controlador, observados os direitos e liberdades fundamentais do titular;
Proteção do crédito;
Consentimento do titular, quando exigido.

4. Dados Pessoais Coletados

A Parceira e/ou Plataforma poderá coletar e tratar, conforme a natureza da relação e dos serviços utilizados, os seguintes dados:

4.1 Dados fornecidos diretamente pelo Usuário

Nome completo, CPF, CNPJ, data de nascimento e documentos de identificação;
Endereço, telefone, e-mail e demais dados de contato;
Dados cadastrais e empresariais;
Imagens, selfies, biometria e documentos para validação de identidade (KYC);
Informações fornecidas em atendimentos, comunicações ou formulários.

4.2 Dados obtidos de terceiros

Informações provenientes de bases públicas ou privadas;
Dados de bureaus de crédito, prevenção à fraude e PLD/FT;
Informações cadastrais e reputacionais permitidas por lei.

4.3 Dados técnicos e de navegação

Endereço IP, data e hora de acesso;
Identificadores de dispositivos, sistema operacional e navegador;
Cookies e tecnologias similares;
Dados de geolocalização, quando autorizados.

4.4 Dados transacionais e operacionais

Informações sobre transações financeiras, movimentações, pagamentos e uso dos serviços;
Registros operacionais, logs e trilhas de auditoria.

O Usuário declara possuir autorização legal para fornecer dados de terceiros, quando aplicável.

5. Finalidades do Tratamento

Os dados pessoais são tratados para:

Prestação e gestão de serviços e produtos contratados;
Identificação, autenticação e verificação de identidade;
Cumprimento de obrigações legais, regulatórias e normativas, incluindo PLD/FT;
Prevenção e combate a fraudes e incidentes de segurança;
Atendimento ao Usuário e suporte técnico;
Comunicação institucional, operacional e comercial;
Desenvolvimento, aprimoramento e personalização de produtos e serviços;
Análises, estatísticas e relatórios, preferencialmente de forma anonimizada;
Exercício regular de direitos da Parceira e/ou da Plataforma em processos administrativos, judiciais ou arbitrais.

6. Compartilhamento e Transferência Internacional de Dados

A Parceira e/ou Plataforma poderá compartilhar dados pessoais, sempre de forma proporcional e necessária, com:

Prestadores de serviços, parceiros tecnológicos e fornecedores;
Instituições financeiras, arranjos de pagamento, emissores e adquirentes;
Empresas do mesmo grupo econômico;
Autoridades administrativas, regulatórias, judiciais ou policiais, quando exigido;
Terceiros envolvidos em operações societárias, como fusão ou aquisição.

Quando aplicável, a Plataforma poderá realizar transferências internacionais de dados, observando garantias adequadas, mecanismos de proteção previstos na LGPD e contratos ou cláusulas de confidencialidade.

7. Segurança da Informação

A Parceira e/ou a Plataforma adotam medidas técnicas, administrativas e organizacionais para proteger os dados pessoais contra acessos não autorizados, perdas, destruição, alteração ou divulgação indevida, incluindo:

Controles de acesso e segregação de funções;
Criptografia e autenticação multifator;
Monitoramento, registros de logs e auditorias;
Políticas internas, treinamentos e gestão de riscos.

Apesar dos esforços, nenhum sistema é totalmente imune a riscos.

7.1 Incidentes de Segurança e Vazamento de Dados

Na hipótese de ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais, a Parceira e/ou a Plataforma adotarão as medidas técnicas e administrativas cabíveis para mitigação dos efeitos do evento, bem como realizarão as comunicações exigidas pela legislação aplicável e pelas autoridades competentes, incluindo a Autoridade Nacional de Proteção de Dados, quando aplicável.

Sempre que exigido pela legislação ou regulamentação vigente, os titulares potencialmente afetados poderão ser comunicados acerca do incidente, observadas as diretrizes estabelecidas pela autoridade reguladora e os critérios técnicos de avaliação de risco.

O Usuário reconhece que, apesar da adoção de práticas robustas de segurança da informação, nenhum sistema tecnológico é absolutamente imune a incidentes, não sendo possível garantir a inexistência de acessos indevidos, ataques cibernéticos, falhas sistêmicas ou eventos externos fora do controle razoável da Parceira e/ou da Plataforma.

A responsabilidade da Parceira e/ou da Plataforma por eventuais incidentes de segurança limitar-se-á às hipóteses em que ficar comprovado descumprimento de obrigações legais ou falha grave na adoção de medidas de segurança adequadas, nos termos da legislação aplicável.

8. Retenção e Eliminação dos Dados

Os dados pessoais serão armazenados pelo período necessário para cumprir finalidades do tratamento e obrigações legais, regulatórias e contratuais, podendo alcançar até 10 (dez) anos.

Após esse período, os dados serão eliminados ou anonimizados, salvo se houver outra base legal que autorize sua conservação.

9. Direitos dos Titulares

A Parceira e/ou a Plataforma garantem aos titulares o exercício dos direitos previstos no artigo 18 da LGPD:

Confirmação da existência de tratamento;
Acesso aos dados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação, quando aplicável;
Portabilidade, respeitados segredos comerciais e regulatórios;
Informação sobre compartilhamentos;
Revogação do consentimento;
Oposição ao tratamento, quando cabível.

As solicitações serão analisadas e respondidas nos prazos legais.

10. Cookies e Tecnologias Semelhantes

A Parceira e/ou Plataforma utilizam cookies e tecnologias similares para:

Garantir o funcionamento das plataformas;
Melhorar a experiência do Usuário;
Apoiar análises de desempenho.

O Usuário pode gerenciar suas preferências diretamente no navegador, ciente de que a desativação poderá afetar funcionalidades.

11. Encarregado pelo Tratamento de Dados (DPO)

A Plataforma mantém Encarregado pelo Tratamento de Dados Pessoais, nos termos da LGPD, contatável pelos canais oficiais divulgados em seu site institucional.

12. Alterações desta Política

Esta Política poderá ser atualizada a qualquer tempo para refletir alterações legais, regulatórias ou operacionais. A versão vigente será sempre disponibilizada nos canais oficiais da Parceira.

13. Legislação Aplicável e Foro

Esta Política é regida pelas leis da República Federativa do Brasil. Fica eleito o foro da comarca de São Paulo, com renúncia a qualquer outro, para dirimir eventuais controvérsias.