Docs

Site Stone

Aviso de Privacidade Stone

Neste documento, Nós (“Stone” e/ou nossas Afiliadas e Parceiros, conforme o caso) apresentamos nosso Aviso de Privacidade, que possui todas as informações necessárias para Você – Cliente, Portador e/ou Comprador, Titular, saber como utilizamos os seus Dados Pessoais na oferta e disponibilização de nossas Soluções e Plataformas, sempre em conformidade com os requisitos da legislação vigente.

Fique atento! Para melhor compreensão deste Aviso de Privacidade, a sessão Termos Definidos e Interpretação define os termos iniciados com letras maiúsculas, assim como as regras de interpretação aplicáveis.

Este Aviso de Privacidade não se aplica a informações coletadas e processadas por terceiros, incluindo sites, aplicativos ou outro conteúdo que possa ser acessível por meio ou vinculado a este site e/ou às nossas Soluções e Plataformas. A Stone não é responsável pelo conteúdo ou práticas de privacidade em qualquer site, aplicativos e/ou soluções que não sejam da Stone, os quais são considerados ambientes externos às nossas Soluções e Plataformas.

Ao utilizar nossas Plataformas e Soluções, Você declara estar ciente do disposto neste Aviso de Privacidade.

Stone enquanto Controlador de Dados Pessoais

No que tange ao Tratamento dos Dados Pessoais dos Clientes, a Stone atua majoritariamente como Controlador de Dados Pessoais. Caso Você seja Comprador e interaja com os serviços da Stone através de nossos Clientes, Nós também seremos Controladores no Tratamento dos seus Dados Pessoais, por exemplo, quando da análise de riscos transacionais, auxiliar na resolução de problemas operacionais, e processamento de transações via Pix.

Abaixo, são apresentados maiores detalhes acerca do Tratamento de Dados Pessoais realizado pela Stone enquanto Controlador.

Coleta de Dados Pessoais

Poderemos Tratar Dados Pessoais:

  • Fornecidos diretamente por Você, durante o credenciamento, auto credenciamento, contratação, cadastro, preenchimento de formulários e/ou interações em nossas Soluções e Plataformas (ou de nossas Afiliadas), inclusive nas situações de campanhas de marketing, atendimento por e-mail, mensagens instantâneas e/ou contato telefônico;
  • Coletados, inclusive automaticamente:
    • quando da utilização de nossas Soluções e Plataformas, inclusive por meio de tecnologias que possam nos ajudar a identificar Você (como: endereço de IP, horários de acesso, identificadores relacionados a cookies, web beacons, pixels, local shared objects ou tecnologias semelhantes que possuam a capacidade de identificação de dispositivos e navegadores. Para saber mais, acesse nosso Aviso de Cookies.
    • quando compartilhados ou transmitidos por ou em nome de nossos Clientes, durante a utilização das Soluções e Plataformas por Usuários e Compradores. Exemplificativamente, podemos citar operações como transações Pix e procedimentos de análise antifraude – em que a Stone irá tratar dados de Compradores.
  • Fornecidos e/ou coletados de bases de dados de terceiros, pessoas físicas ou jurídicas, que possuam relacionamento direto com Você – incluindo, Afiliadas e/ou Parceiros da Stone – e/ou de bases de dados públicas e/ou privadas, estruturadas ou não, a exemplo de bureaus de crédito, redes sociais e bancos de dados mantidos pelas Registradoras e Infraestruturas de Mercado Financeiro, bandeiras de cartões qualificadas como Parceiros (“Bandeiras Parceiras”), Banco Central do Brasil (“BCB”), Receita Federal, Tribunais e Cartórios.

Atenção! Sempre que Você disponibilizar, publicar e/ou compartilhar por meio de nossas Plataformas e Soluções, quaisquer Dados Pessoais de terceiros, certifique-se de que Você possui embasamento legal para fornecê-los à Stone, afinal, nos termos da Lei, Você é responsável pela licitude deste compartilhamento de Dados Pessoais.

Tipos/categorias de Dados Pessoais que poderão ser Tratados:

  • Dados cadastrais: nome completo, número e imagem de documento de identidade CPF, data de nascimento, nome da mãe, estado civil, nacionalidade, naturalidade, escolaridade, profissão, autodeclaração de pessoa politicamente exposta, dentre outras informações que poderão ser solicitadas, inclusive em campos de cadastro, para viabilizar a prestação das Soluções e uso das Plataformas;
  • Dados biométricos: biometria facial;
  • Dados de contato: aqueles que auxiliem a Stone e/ou Afiliadas a contatar indivíduos com fins de envio de material publicitário ou outros tipos de propaganda, incluindo números de telefone, endereço para correspondência, e-mail, perfis em redes sociais.
  • Dados bancários e financeiros: número de agência e conta em instituição financeira e/ou de pagamento, chave Pix, histórico financeiro, saldo em conta, limites de crédito, saldos de faturas;
  • Dados transacionais e de meios de pagamentos: dados de cartão (criptografados) e/ou outros meios de pagamentos, nome do Portador e/ou do Comprador, forma de pagamento, número de parcelas, valores transacionados em operações realizadas pelos nossos Clientes que utilizam nossas Soluções e Plataformas, histórico e dados de desempenho baseados em transações de vendas com cartões das Bandeiras Parceiras, nos termos das normas e regulamentos como o PCI e o sigilo bancário e, quando aplicável, com base no consentimento do Cliente;
  • Dados de localização: geolocalização, dados sobre dispositivos, data e hora de acesso à Solução e/ou Plataformas, obtidos por meio de tecnologias como GPS, redes wi-fi e telefonia;
  • Dados de navegação: endereço IP, horários de acesso à Solução e Plataformas, identificadores relacionados a cookies, web beacons ou tecnologias semelhantes que possuam a capacidade de identificar Você, seus dispositivos e navegadores. Para saber detalhadamente como utilizamos cookies e/ou limitar a coleta de cookies por nosso site, consulte nosso Aviso de Cookies e Preferências de Cookies, no rodapé do nosso site;
  • Dados de interação: caso Você tenha utilizado algum canal de contato para falar conosco, poderão ser armazenados os dados da ligação ou do contato via chat/e-mail, a gravação da mensagem e/ou o conteúdo do que foi dito aos nossos colaboradores ou prepostos. Ainda, caso Você tenha interagido com as nossas marcas em redes sociais, sites e aplicativos, poderão ser coletados Dados Pessoais fornecidos por Você ou gerados a partir das interações feitas

Lembre-se! Para usufruir corretamente de nossas Soluções e Plataformas, precisamos sempre que Você forneça Dados Pessoais verídicos e atualizados. Você responderá, nos termos das Normas, por eventual inveracidade dos mesmos. Ainda, Nós podemos solicitar, periodicamente, que Você atualize as suas informações e/ou forneça novos Dados Pessoais que se façam necessários.

Bases Legais e Finalidades do Tratamento de Dados Pessoais

Todos os Dados Pessoais são Tratados de forma ética, conforme os padrões de segurança e confidencialidade aplicáveis ao nosso mercado de atuação e de acordo com a legislação e regulamentação aplicável.

A seguir, detalhamos as principais Bases Legais e finalidades do Tratamento dos Dados Pessoais acima indicados, nos cenários em que Nós somos Controladores dos seus Dados Pessoais:

Para o cumprimento de nossas obrigações legais e regulatórias: Nós Trataremos seus Dados Pessoais e Dados Pessoais Sensíveis com a finalidade de cumprir as exigências legais e regulatórias previstas, inclusive, no Código Civil, Marco Civil da Internet, na Lei do Sigilo Bancário, Lei do Cadastro Positivo, Lei de Lavagem de Dinheiro, Lei 12.865/13 ou nas demais regras setoriais do Banco Central do Brasil  e do Conselho Monetário Nacional (“CMN”), que regulam a atuação de Instituições de Pagamento, Instituições Financeiras e Infraestruturas de Mercado Financeiro, inclusive aquelas que se refiram à prevenção a ilícitos, gravação e/ou registro de contatos, segurança cibernética, dentre outras Normas que venham a ser aplicáveis;

Nesse sentido:

  • Seus Dados Pessoais serão Tratados na medida do que determinam as leis, regulação e normas da indústria de meios de pagamentos, a exemplo do PCI-DSS, observadas, inclusive, as hipóteses de compartilhamento de Dados Pessoais;
  • Trataremos seus Dados Pessoais, nos termos das Normas, a fim de identificar eventuais indícios de lavagem de dinheiro e/ou fraude, compartilhando com outras instituições financeiras, instituições de pagamento e demais instituições autorizadas, conforme a Resolução Conjunta nº 6 do BCB, ou encaminhando as análises para que possam ser investigadas pelas autoridades competentes, tais como ao Conselho de Controle de Atividades Financeiras (“COAF”), autoridades policiais e judiciais; 
  • Trataremos seus Dados Pessoais, quando aplicável e nos termos das Normas, para consultar a base de dados do Sistema de Informações de Crédito (SCR), informações de adimplemento e histórico de crédito – Cadastro Positivo e informações sobre operações ativas e passivas relativas às operações e serviços contratados com a Stone; e
  • É importante ressaltar que somos parte do Grupo Stone Co., que possui, dentre suas empresas, Instituições de Pagamentos, Instituição Financeira e Infraestrutura de Mercado Financeiro autorizadas, reguladas e supervisionadas pelo BCB, e, por esse motivo, devemos guardar estrita observância aos normativos regulatórios aplicáveis, inclusive aqueles que impõem obrigações relativas à coleta, armazenamento e descarte de Dados Pessoais.

Quando necessário para a execução de seu contrato conosco e/ou procedimentos preliminares a ele relacionados: poderemos Tratar seus Dados Pessoais para cumprir o contrato que firmamos com Você – ou para a análise de viabilidade de eventual relacionamento.

Nesse sentido, Tratamos Dados Pessoais para, por exemplo:

  • Analisar e realizar seu cadastro;
  • Prover continuamente nossas Soluções e Plataformas à Você, conforme previsto em nossos Contratos;
  • Prestar os serviços relacionados ao Cartão Stone, incluindo: desbloqueio, bloqueio, cancelamento e habilitação de NFC; executar atividade transacional do Cartão Stone; emissão e entrega de cartão físico e digital.
  • Prestar serviços correlatos àqueles contratados, tais como suporte e manutenção, atendimento e fornecimento de informações.

Com base no legítimo interesse: Nós podemos vir a Tratar seus Dados Pessoais com base no legítimo interesse da Stone, de nossos clientes, Parceiros e Afiliadas, de acordo com os requisitos e limites legais para esse tipo de Tratamento. As atividades baseadas no legítimo interesse podem envolver a utilização de Dados Pessoais para:

  • Realizar análises de risco e monitorar a utilização de nossas Soluções e Plataformas, na garantia de prevenção à fraude e promoção de segurança, inclusive para verificar possíveis fraudes, ilícitos e incidentes de segurança da informação, com eventual compartilhamento de Dados Pessoais com Parceiros e Afiliadas, bem como outras instituições autorizadas pelo BCB, para fins de apuração das condutas descritas;
  • Precificação, aperfeiçoamento e atualização das Soluções e Plataformas, bem como criação de novos produtos e funcionalidades;
  • Analisar eventuais erros ou falhas em nossas Soluções e Plataformas;
  • Realizar aferições internas necessárias para a correta prestação de nossas Soluções e Plataformas, a exemplo de mapeamento e testes de controle para elaboração de planos de ação focados na mitigação de riscos;
  • Monitorar nosso atendimento, inclusive com a construção de indicadores e análises do conteúdo dos chamados;
  • Construir indicadores de utilização de nossos Serviços e Plataformas;
  • Disponibilizar informações necessárias à Você, em razão das Soluções e Plataformas utilizadas;
  • Responder a solicitações e/ou reclamações realizadas por Você em nossos canais de atendimento e/ou em meios públicos;
  • Enviar brindes e/ou conceder benefícios, em campanhas promocionais e/ou em nossas ações;
  • Confirmar sua identidade;
  • Prospecção ativa de clientes através de consulta em bancos de dados – inclusive de Afiliadas e Parceiros -, publicamente acessíveis ou não, estruturados ou não estruturados;
  • Construir e avaliar seu perfil e/ou promover atividades promocionais e de marketing, inclusive com o envio de e-mails, comunicações telefônicas e mensagens instantâneas;
    • Você poderá optar por não receber comunicações desta natureza a qualquer momento, mediante descadastramento por meio do link presente ao final dos nossos e-mails marketing.
  • Recepcionar e compartilhar Dados Pessoais com o fim de ofertar produtos e soluções desenvolvidos por Nós, nossos Parceiros e/ou Afiliadas.

Para a defesa de direitos em processos judiciais, administrativos ou arbitrais: podemos Tratar seus Dados Pessoais e Dados Pessoais Sensíveis para eventual defesa de nossos direitos e interesses em quaisquer tipos de conflitos, especialmente ações judiciais e demandas administrativas ou arbitrais, inclusive nas tratativas de reclamações realizadas através de nossos canais de ouvidoria.

Para análise e proteção ao crédito: poderá ocorrer o Tratamento de seus Dados Pessoais sempre que necessário para que nossas Afiliadas e/ou Parceiros realizem análise para eventual concessão de crédito, nas Soluções e Plataformas que demandem tais Tratamentos. Em especial, no Cartão Stone, poderá ocorrer o Tratamento necessário à análise de concessão de crédito, consulta a cálculo de score de crédito junto a bureaus e/ou outros fornecedores de análise de perfil e risco de crédito, bem como, reajuste de limite de crédito concedido no âmbito do Cartão Stone.

Para garantia da prevenção à fraude e à segurança dos Titulares: seus Dados Pessoais, notadamente os Sensíveis, poderão ser Tratados nos processos de identificação, validação e autenticação de cadastro e/ou acesso às Soluções e Plataformas com fins de prevenção à fraudes, observadas, inclusive, as normas aplicáveis.

  • Exemplificativamente, seus Dados Pessoais poderão ser tratados para a realização de análises de risco e monitoramento da utilização de nossas Soluções e Plataformas, na garantia de prevenção à fraude e promoção de segurança, inclusive para verificar possíveis fraudes, ilícitos e incidentes de segurança da informação, com eventual compartilhamento de Dados Pessoais com Parceiros e Afiliadas, bem como outras instituições autorizadas pelo BACEN, para fins de apuração das condutas descritas;

Por meio da coleta de consentimento: Nós poderemos, em casos específicos, requerer consentimento para o Tratamento de Dados Pessoais, por exemplo:

  • Coletar Dados Pessoais para a pesquisa de novos produtos, com Titulares que não possuam relacionamento prévio com a Stone, seus Parceiros e/ou Afiliadas, quando não configurado o interesse legítimo da Stone ou de terceiros no Tratamento;
  • Compartilhar Dados Pessoais com parceiros da Stone e/ou Afiliadas, no âmbito de ações de marketing, quando não configurada a hipótese de interesse legítimo da Stone ou de terceiros no Tratamento;
  • Acessar e analisar até 36 (trinta e seis) meses de dados históricos de desempenho do Cliente baseado em transações de venda com cartões das Bandeiras Parceiras, medidos a partir do início do relacionamento do Cliente com a Stone, bem como, dados futuros de desempenho do Cliente atualizados periodicamente enquanto o consentimento estiver vigente, com base nas transações com cartões das Bandeiras Parceiras e processadas por adquirentes e subadquirentes, integrantes da rede dos arranjos de pagamento das Bandeiras Parceiras, para análise de crédito e monitoramento de fraudes;
  • Construir e avaliar o perfil dos Titulares e/ou promover atividades promocionais e de marketing, inclusive com o envio de e-mails, comunicações telefônicas e mensagens instantâneas, oferecendo produtos e serviços desenvolvidos pela Stone, Parceiros e/ou Afiliadas, com Titulares que não possuam relacionamento prévio com a Stone, seus Parceiros e/ou Afiliadas, quando não configurado o interesse legítimo da Stone ou de terceiros no Tratamento;
  • Transmitir informações de localização, cabendo ao Titular optar livremente pela opção mais adequada, segundo as suas preferências.

Fique atento! Sempre que solicitarmos seu consentimento para coletar qualquer tipo de Dado Pessoal, nos termos da LGPD, Você poderá ou não fornecê-lo, sendo informado pela Stone das consequências de sua negativa, caso solicite. Adicionalmente, você poderá revogar o consentimento fornecido a qualquer momento, mediante envio de solicitação em nosso Portal de Privacidade.

Compartilhamento dos Dados Pessoais

Respeitados os limites legais, os Dados Pessoais que Tratamos poderão ser compartilhados com:

Parceiros e Afiliadas: realizamos o compartilhamento e/ou o uso compartilhado de seus Dados Pessoais nossos Parceiros e Afiliadas, com o objetivo de:

  • disponibilizar e/ou viabilizar a oferta de nossas Soluções e Plataformas, levando em consideração a utilização de infraestrutura e recursos tecnológicos compartilhados, destacando-se:
    • Stone Logística Ltda., responsável por operações logísticas; a Stone Sociedade de Crédito Direto S.A., Instituição Financeira responsável pela emissão das Cédulas de Crédito Bancário (“CCB”) ou mesmo administradoras de Fundos de Investimentos em Direitos Creditórios, no âmbito de nossa oferta de crédito; a Stone Cartões Instituição de Pagamento S.A. responsável pela emissão de cartões pós-pagos, a Linx Sistemas e Consultoria LTDA. e a Buy4 Processamento de Pagamentos S.A., que realiza o licenciamento de software de gestão empresarial.
  • análise, cobrança e recuperação de crédito;
  • promover atividades promocionais e de marketing, oferecer novas Soluções e Plataformas, produtos e/ou serviços, inclusive, desenvolvidos por Parceiros e/ou Afiliadas;
  • realizar análises de risco e monitorar a utilização de nossas Soluções e Plataformas, na garantia de prevenção à fraude e promoção de segurança, inclusive para verificar possíveis fraudes, ilícitos e incidentes de segurança da informação;

Instituições autorizadas pelo BACEN e/ou integrantes do mercado de meios de pagamentos: Nós poderemos realizar o uso compartilhado de Dados Pessoais com instituições autorizadas a funcionar pelo BCB e integrantes do mercado de meios de pagamentos, que auxiliam a prestação dos serviços, tais como Infraestruturas de Mercado Financeiro, a exemplo da TAG Tecnologia para o Sistema Financeiro S.A., instituidores de arranjos de pagamentos, sempre que necessário no âmbito das Soluções e Plataformas, ou de forma pontual, para verificar possíveis fraudes, realizar análises de risco e monitorar a utilização de nossas Soluções e Plataformas, na garantia de prevenção à fraude e promoção de segurança, inclusive para verificar possíveis fraudes, ilícitos e incidentes de segurança da informação, incluindo, mas não se limitando nos termos da Resolução Conjunta nº 6 e Resolução nº 85 do BCB;

Fornecedores, prestadores de serviços, subcontratados e parceiros comerciais: podemos compartilhar seus Dados Pessoais com prestadores de serviços, fornecedores, subcontratados e parceiros comerciais, no Brasil e exterior (conforme as diretrizes do item “Transferência Internacional de Dados Pessoais” deste Aviso de Privacidade), para:

  • prover a estrutura necessária à oferta de nossas Plataformas e Soluções, o que envolve:
    • provedores de serviços de nuvem e bancos de dados e/ou serviços de tecnologia em geral, a exemplo de processadoras, softwares necessários à prestação das Soluções e Plataformas, destacando-se a Buy4 Processamento de Pagamentos S.A., responsável por nosso processamento transacional;
    • bureaus, serviços antifraude e de identificação biométrica, com fins de manutenção da segurança e atualização de seus Dados, a exemplo da Acesso Digital Tecnologia da Informação S.A., responsável por avaliações biométricas;
    • empresas de transporte e logística, para promover as operações necessárias à entrega de POS, cartão e/ou outros subsídios necessários para que nossos clientes usufruam de nossas Soluções e Plataformas;
    • empresas de análise, cobrança e recuperação de crédito;
    • agências de publicidade ou marketing, a fim de promover campanhas e/ou veicular anúncios direcionados e relevantes à Você;
    • call centers ou centros de atendimento;

Autoridades públicas: em casos específicos, poderemos compartilhar seus Dados Pessoais para cumprir com nossas obrigações legais e regulatórias; proteger nossos interesses em caso de demandas e conflitos, inclusive em processo judicial, administrativo e/ou arbitral, ou para atender eventuais exigências das autoridades competentes, como o BCB e demais órgãos públicos. Ainda, poderemos compartilhar seus Dados Pessoais a fim de identificar eventuais indícios de lavagem de dinheiro e/ou fraude, encaminhando as análises para que possam ser investigadas pelas autoridades competentes, tais como ao COAF, autoridades policiais e judiciais.

Atenção! Nós observaremos os padrões de segurança previstos nas Normas, neste Aviso de Privacidade e em nossas políticas internas de segurança da informação quando realizarmos o uso compartilhado de seus Dados Pessoais. Ainda, quando possível, Nós poderemos adotar técnicas de anonimização, a exemplo da aleatorização e generalização, para proteção dos Dados Pessoais que vierem a ser compartilhados.

Novos negócios: se Nós estivermos envolvidos em uma fusão, aquisição ou venda de nossos ativos, seus Dados Pessoais poderão ser transferidos para a empresa ou pessoa adquirente, observando eventuais escolhas que Você possa ter acerca de seus Dados Pessoais.

Transferência Internacional de Dados Pessoais

Em alguns casos, para oferecer nossas Soluções e Plataformas, podemos compartilhar seus Dados Pessoais com empresas localizadas em outros países. Chamamos isso de Transferência Internacional de Dados Pessoais.

Nesses casos, nos comprometemos a observar a Lei Geral de Proteção de Dados Pessoais (LGPD) e as regulamentações da Autoridade Nacional de Proteção de Dados (ANPD) e demais entidades sobre o tema. Isso significa que, embora em países e territórios estrangeiros, seus Dados Pessoais receberão um nível de proteção equivalente ao que a legislação brasileira exige.

Para que seus Dados Pessoais são transferidos internacionalmente?

Seus Dados Pessoais são transferidos quando necessário para  viabilizar a utilização de nossas Soluções e Plataformas por Você, conforme finalidades definidas abaixo. Limitamos o compartilhamento ao mínimo necessário, garantindo que os Dados Pessoais sejam pertinentes, proporcionais e não excessivos para o objetivo da transferência. Quanto à duração, as transferências estão sujeitas aos critérios estabelecidos no tópico Período de Guarda dos Dados Pessoais inserido mais adiante.

As principais finalidades das transferências de Dados Pessoais realizadas incluem:

  1. armazenamento de dados em nuvem;
  2. fornecimento de infraestrutura de data center e conectividade, para abrigar, processar e gerenciar dados em ambientes seguros;
  3. criação e gerenciamento de bancos de dados para armazenar dados transacionais;
  4. análise de crédito; 
  5. viabilização de processos financeiros como transferências (TED), débito direto autorizado (DDA) e pagamento de boletos;
  6. viabilização de serviços de pagamento via cartão de crédito;
  7. armazenamento e acesso a dados de clientes e leads em sistemas de CRM, e registro de chamados relacionados a clientes.

Como garantimos a segurança e a proteção dos seus Dados Pessoais transferidos internacionalmente?

Adotamos diversas medidas de segurança técnicas e administrativas baseadas em boas práticas, para proteger seus Dados Pessoais contra acessos não autorizados, perdas, alterações ou qualquer tratamento inadequado. Para que as transferências ocorram com segurança, implementamos medidas como criptografia, controle de acesso, trilhas de auditoria, prevenção contra malware, prevenção contra perda de dados (DLP) e retenção e descarte. Periodicamente, avaliamos e revisamos essas medidas para manter um nível de proteção adequado.

Utilizamos mecanismos válidos de transferência internacional, como as cláusulas-padrão contratuais aprovadas pela ANPD, que estabelecem garantias mínimas e condições rigorosas para o tratamento de Dados Pessoais pelos destinatários das transferências internacionais. Essas cláusulas garantem o cumprimento dos princípios da LGPD e os seus direitos como titular.

Para quais países os Dados Pessoais estão sendo transferidos? 

Os países destinatários podem variar conforme a localização do Parceiro internacional e a finalidade da transferência. Os principais países de destino incluem Estados Unidos (EUA), Inglaterra e Portugal.

Quais são os seus direitos em relação aos Dados Pessoais transferidos internacionalmente?

Mesmo em transferências internacionais, seus direitos como titular de Dados Pessoais são plenamente assegurados conforme declaramos no tópico Direitos dos Titulares de Dados Pessoais abaixo. 

Segurança e Confidencialidade dos Dados Pessoais

Atuamos no sentido de implementar medidas de segurança que protejam nossos sistemas e bases de Dados Pessoais de acordo com padrões e normas internacionais como o PCI-DSS, ABNT NBR ISO/IEC 27001 e NIST Cybersecurity Framework, envidando nossos esforços na proteção das Soluções e Plataformas contra tentativas de violações ou acessos indevidos aos seus Dados Pessoais.

Dentre as medidas estão a utilização de criptografia de Dados Pessoais, controle de acesso de informações, utilização de firewalls, implementação de políticas internas relacionadas à segurança da informação, arquitetura de solução de software com prevenção a invasão, realização periódica de testes de invasão e análise de vulnerabilidades nos sistemas e aplicações.

O Tratamento de Dados Pessoais é realizado utilizando ferramentas de tecnologia da informação homologadas, seguindo procedimentos organizacionais que incluem a limitação de acessos aos bancos de Dados Pessoais, dentre outros meios alinhados aos objetivos estabelecidos em nossas políticas e diretrizes internas de segurança da informação.

Apesar dos nossos esforços, considerando a natureza e arquitetura da internet, o que inclui elementos que não estão sob nosso razoável controle, não podemos garantir que agentes mal-intencionados não conseguirão ter acesso ou farão uso indevido de seus Dados Pessoais.

Eventual ocorrência de incidente de segurança da informação envolvendo seus Dados Pessoais, inclusive aqueles que ocasionem risco e/ou dano relevante, serão tratados em conformidade com as Normas e nossas políticas e diretrizes internas de resposta a incidentes e segurança da informação.

Período de Guarda dos Dados Pessoais

Os Dados Pessoais, inclusive os transferidos internacionalmente, serão Tratados pelo tempo necessário à execução de nossas atividades, observada a necessidade e pertinência para o alcance das finalidades do Tratamento, as medidas de segurança previstas em nossas políticas e, sempre que aplicáveis, as disposições previstas em Contrato e/ou nas Normas.

Nesse sentido, podemos manter seus Dados Pessoais desde que haja fundamento nas Normas para tanto, de acordo com as seguintes diretrizes:

A retenção dos Dados Pessoais deverá ser justificável, dependendo da finalidade do Tratamento;

Os períodos de retenção deverão ser cumpridos conforme a natureza dos Dados Pessoais e a finalidade do Tratamento, bem como deverão observar, sempre que aplicável, as disposições das Normas que indiquem um prazo específico de guarda, tais como as emanadas pelo BCB e/ou demais órgãos reguladores; e

Nos casos em que a Stone atuar como Operador de Dados Pessoais, a guarda dos dados se dará pelo prazo determinado pelo Controlador.

Direitos dos Titulares de Dados Pessoais

Nos casos em que estivermos atuando como Controladores dos seus Dados Pessoais, Nós faremos o possível para garantir o cumprimento de seus direitos aplicáveis, conforme detalhados abaixo, respeitados sempre os limites impostos pelas Normas:

  • Informação: Você pode requerer a confirmação da existência de Tratamento de seus Dados Pessoais por Nós. Em caso positivo, será garantido, mediante solicitação, o acesso a seus Dados Pessoais. Na hipótese de Tratamento baseado no consentimento e/ou em contrato, Você poderá solicitar cópia eletrônica integral de seus Dados Pessoais;
  • Correção: Você pode solicitar a correção ou atualização de seus Dados Pessoais comprovadamente inexatos, incompletos ou desatualizados;
  • Anonimização, Bloqueio e/ou Eliminação: na ocasião em que os Dados Pessoais Tratados por Nós forem desnecessários, excessivos e/ou se identificada desconformidade com as normas vigentes, Você poderá enviar uma solicitação e Nós avaliaremos a possibilidade de realização de Anonimização, Bloqueio e/ou Eliminação dos referidos Dados Pessoais;
  • Portabilidade: Você poderá requerer o recebimento de seus Dados Pessoais de forma a facilitar sua migração para outras soluções;
  • Informações sobre compartilhamento: Você poderá solicitar informações sobre as entidades públicas e privadas com as quais Nós realizamos o uso compartilhado de seus Dados Pessoais;
  • Possibilidade de não fornecimento de consentimento: na hipótese de solicitação de consentimento para o Tratamento de seus Dados Pessoais, Você poderá solicitar informações sobre as consequências da recusa em fornecê-lo;
  • Revogação do consentimento: na hipótese de solicitação de consentimento para o Tratamento de seus Dados Pessoais, Você poderá optar, a qualquer momento, por sua revogação (opt-out), hipótese na qual poderá ser informado de suas consequências em relação à utilização dos Serviços e Plataformas, por exemplo. Ainda, mediante solicitação, Você poderá solicitar a exclusão dos Dados Pessoais Tratados com base no seu consentimento, salvo hipóteses de retenção admitidas pelas Normas;
  • Oposição: quando o Tratamento de seus Dados Pessoais for pautado em hipótese de Tratamento que não o consentimento e houver eventual descumprimento das Normas, Você poderá se opor ao Tratamento realizado;
  • Decisões automatizadas: Você possui o direito de solicitar a revisão de decisões que afetem seus interesses, quando baseadas unicamente no Tratamento automatizado de Dados Pessoais por Nós. Ainda, Você poderá solicitar informações sobre os critérios e procedimentos utilizados para as decisões exclusivamente automatizadas. Tomaremos as medidas técnicas possíveis para assegurar que tais critérios e procedimentos não sejam discriminatórios.

Você poderá exercer seus direitos de forma facilitada através de nosso Portal de Privacidade.

Além disso, Você poderá buscar mais informações sobre o tema privacidade e proteção de dados, bem como exercer seus direitos de petição ou denúncia junto à Autoridade Nacional de Proteção de Dados, por meio de seu site oficial.

Lembre-se! Nos casos em que Nós estivermos atuando na condição de Operadores de Dados Pessoais, os direitos acima elencados deverão ser exercidos diretamente perante o Controlador de Dados Pessoais.

Stone enquanto Operadora de Dados Pessoais

Considerando que a atividade principal da Stone é o fornecimento das nossas Soluções e Plataformas aos Clientes, salvo nas hipóteses descritas acima, Nós realizaremos o Tratamento de Dados Pessoais em nome dos nossos Clientes, conforme disposto no Contrato. Em tais situações – exemplificadamente, no processamento de transações de pagamento via boleto, cartão de crédito ou débito, entre outras operações não expressamente citadas acima -, a Stone será considerada Operadora de Dados Pessoais.

Informamos que nos casos em que a Stone atuar na condição de Operador, os direitos elencados nas Normas deverão ser solicitados diretamente ao Controlador, ou seja, ao empreendedor, Cliente das Soluções e Plataformas Stone.

Canal de Contato

Em caso de dúvidas, Você pode entrar em contato com o nosso Encarregado pela Proteção de Dados Pessoais, e, na sua ausência, com o nosso Encarregado substituto, por meio do nosso Portal de Privacidade.

Encarregado de Dados: Dalton Augusto Reis Silva

Encarregado Substituto: Lucas Albuquerque Fonseca

Alteração do Aviso de Privacidade

Este Aviso de Privacidade está sujeito a eventuais alterações e atualizações pela Stone, a qualquer tempo, para permitir a contínua melhoria de nossas Soluções e Plataformas e fornecer a Você cada vez mais transparência.

Em caso de alterações relevantes, será dada publicidade ao Cliente, entretanto, recomendamos que Você consulte regularmente este Aviso de Privacidade para estar sempre atualizado com relação ao Tratamento de Seus Dados Pessoais por Nós, especialmente se ainda não for nosso Cliente.

Última atualização em 15 de Setembro de 2025

Termos Definidos

Os termos abaixo descritos, quando aqui utilizados e na extensão máxima permitida pelas Normas, terão os significados previstos abaixo:

  • Afiliada e Parceiro: significa as sociedades que integram o grupo econômico do qual faz parte a Stone e/ou parceiros estratégicos da Stone e eventuais prestadores de serviços ou subcontratadas, incluindo:
    • Stone Sociedade de Crédito Direto S.A.;
    • Stone Sociedade de Crédito, Financiamento e Investimento S.A.;
    • Stone Cartões Instituição de Pagamento S.A.;
    • Stone Franchising Ltda.;
    • Pagar.me S.A.;
    • MNLT S.A.;
    • Stone Logística Ltda. e suas franqueadas;
    • Linx Sistemas e Consultoria Ltda.
  • Cartão Stone: meio de pagamento pós-pago, físico ou virtual, para compras à vista; compras parceladas; saques na modalidade crédito, quando disponível; e outros, oferecido pela Stone Cartões Instituição de Pagamento S.A. ao Cliente.
  • Cliente: pessoa física ou jurídica que contrata as Soluções e Plataformas da Stone através da adesão aos Contratos. Quando o Cliente for pessoa física, para fins deste Aviso de Privacidade, será considerado Titular (conforme abaixo definido).
  • Contrato: significa os instrumentos jurídicos que regem a relação da Stone com o Cliente, incluindo os “Termos Gerais de Contratação de Produtos e Serviços de Pagamento”, os “Termos e Condições de Uso da Conta Stone” e os “Termos e Condições de Uso do Cartão Pós-Pago Stone e outras Avenças”.
  • Controlador: significa a pessoa, natural ou jurídica, de direito público ou privado, a quem compete as principais decisões referentes ao Tratamento de Dados Pessoais;
  • Dado Pessoal: significa qualquer informação que seja capaz de identificar um Titular de Dados (conforme definido abaixo, de forma direta ou indiretamente), conforme a legislação vigente. Neste Aviso de Privacidade, serão tratados como “Dados” ou “Dados Pessoais” todas as informações que se refiram a um Titular de Dados e que, por alguma razão, conforme descrito neste Aviso, sejam Tratadas pela Stone, seus Parceiros e/ou Afiliadas, conforme o caso;
  • Dado Pessoal Sensível: corresponde aos Dados Pessoais que dizem respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referente à saúde ou à vida sexual, genético ou biométrico, quando vinculado a uma pessoa natural.
  • Encarregado: significa a pessoa física ou jurídica, designada pela StoneCo. para responder internamente por questões relacionadas à proteção de Dados Pessoais, inclusive na intermediação do contato com autoridades competentes e Titulares de Dados Pessoais. Contato: Portal de Privacidade.
  • Norma: significa as leis e regulamentos atinentes à proteção de Dados Pessoais no Brasil, incluindo mas não se limitando a Constituição Federal de 1988, o Código Civil de 2002, a Consolidação das Leis do Trabalho, o Marco Civil da Internet (Lei Federal nº 12.965/2014) e seu Decreto Regulamentador (Decreto nº 8.771/2016), a Lei Geral de Proteção de Dados Pessoais (“LGPD”) e demais normas setoriais e legais atinentes ao tema;
  • Operador: significa a pessoa, natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador;
  • Solução e Plataforma: significam todos os produtos e serviços atualmente disponibilizados ou que venham a ser desenvolvidos e oferecidos pela Stone, seus Parceiros e/ou Afiliadas aos Usuários (conforme definido abaixo), incluindo, sem limitação, os serviços de adquirência, conta, crédito e cartão (pré-pago e pós-pago) Stone;
  • Titular (ou “Você”): significa a pessoa física a que se refere um Dado Pessoal, conforme legislação vigente. Além do Cliente pessoa física, este Aviso de Privacidade é destinado aos seguintes Titulares de Dados:

a) Usuário das Soluções e/ou Plataformas Stone (ou simplesmente “Usuário”): pessoa física ou representante, preposto ou funcionário autorizado de pessoa jurídica, que efetivamente contrata e/ou utiliza as Soluções e Plataformas; e/ou,

b) Comprador: pessoa física ou preposto de pessoa jurídica, portador de cartão e/ou que se utiliza de outros meios de pagamento;

c) Portador(es): pessoa física que está de posse do Cartão Stone.

  • Tratamento: significa toda operação realizada com Dados Pessoais, tais como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Informações referentes ao Tratamento de Dados Pessoais de (i) candidatos de processos seletivos poderão ser consultados neste Aviso de Privacidade Candidatos; (ii) colaboradores e visitantes ou outros perfis são tratados com mais detalhes em instrumentos específicos destinados e publicizados a cada grupo de Titular;

Interpretação

Neste Aviso de Privacidade, exceto se expressamente indicado de modo diverso:

O índice e os títulos dos capítulos e das cláusulas são somente para fins de conveniência e não deverão afetar a interpretação deste Aviso de Privacidade e/ou de qualquer de seus dispositivos;

Referências a “você”, “seu”, “sua”, no singular e/ou no plural devem ser consideradas integrantes do termo definido Você;

Referências a “nós”, “nosso”, no singular e/ou no plural devem ser consideradas integrantes do termo definido Nós;

Referências a um documento ou contrato, incluindo este Aviso de Privacidade deverão ser consideradas como incluindo qualquer alteração, ajuste, modificação ou aditamento dos mesmos, celebrados de acordo com seus termos;

Os termos “incluir”, “inclui” e “incluindo” não são restritivos e devem conotar exemplificação;

Referências a qualquer pessoa deverão incluir seus sucessores e cessionários permitidos, herdeiros e representantes;

Os termos “deste”, “neste”, “sob este” e outros termos de significado semelhante deverão se referir a este Aviso de Privacidade como um todo e não a alguma disposição em especial deste Aviso de Privacidade;

O singular inclui o plural e o plural inclui o singular, e uma referência ao masculino incluirá uma referência ao feminino e neutro;

As referências a quaisquer Normas, de forma geral, deverão significar as Normas em vigor na data de assinatura deste Aviso de Privacidade e as referências a qualquer Norma específica deverão significar tal Norma específica, da forma como estiver em vigor na data de assinatura deste Aviso de Privacidade; e

Qualquer referência a um artigo, seção, cláusula, ou anexo é uma referência ao artigo, à seção, à cláusula deste Aviso de Privacidade a menos que seja indicado de outra forma.