Docs

Site Stone

Aviso de Privacidade – Terceiros

Prezado Terceiro,

A StoneCo. (“StoneCo.” ou “Nós”) preza pela sua privacidade e possui um compromisso com a transparência e proteção dos seus Dados Pessoais, assim como os de seus colaboradores, nos termos da Lei Geral de Proteção de Dados Pessoais (“LGPD”), das regulamentações emitidas por autoridades competentes e demais normas sobre o tema. O presente Aviso de Privacidade (“Aviso”) informa sobre as práticas de proteção de Dados Pessoais da StoneCo. no âmbito da relação comercial com seus parceiros, fornecedores e prestadores de serviço.

O Terceiro reconhece que, no curso de seu relacionamento comercial – desde as negociações pré-contratuais, até a finalização do prazo prescricional para o exercício dos deveres e direitos estabelecidos entre  as partes, a StoneCo. poderá tratar Dados Pessoais relacionados aos colaboradores ou indivíduos que atuam em nome do Terceiro na prestação de serviços. Este Aviso de Privacidade aplica-se a todos estes Titulares. Fique tranquilo, o Tratamento de Dados Pessoais sempre ocorrerá respeitando as diretrizes da LGPD e de legislações correlatas sobre o tema.

AVISO DE PRIVACIDADE

1. Termos e Definições

  • Dados Pessoais: qualquer informação que possa levar à identificação, direta ou indireta, de uma pessoa física. O conceito inclui: nome, e-mail, RG, CPF, qualquer tipo de documento de identidade, telefone, dados cadastrais, endereço, e-mail, entre outros;
  • Dado Pessoal Sensível: Dado Pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • Tratamento: toda operação realizada com Dados Pessoais dentro de seu ciclo de vida, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  • Controlador: significa a pessoa, natural ou jurídica, de direito público ou privado, a quem compete as principais decisões referentes ao Tratamento de Dados Pessoais;
  • Afiliadas: significa qualquer entidade que, direta ou indiretamente, seja administrada ou esteja sob a administração comum da StoneIP ou ainda que pertença ao mesmo grupo econômico;
  • Bases Legais: são justificativas e argumentos que devem ser utilizados pela empresa para comprovar ou legitimar o Tratamento e o uso dos Dados Pessoais;
  • Titular: pessoa física a que se refere um Dado Pessoal, conforme legislação vigente;
  • Terceiro: toda pessoa, física ou jurídica, que produz, importa, exporta, comercializa produtos ou serviços;
  • Colaboradores: pessoas que, no presente caso, trabalham para as empresas intituladas neste aviso como “Terceiros”;
  • Soluções e Plataformas: significam todos os produtos, soluções e serviços atualmente disponibilizados ou que venham a ser desenvolvidos e oferecidos pela StoneCo. e as empresas que compõem o seu grupo econômico.

2. Como coletamos Dados Pessoais

Ao iniciar tratativas comerciais com a StoneCo., pode ser necessário fornecer Dados Pessoais para possibilitar a elaboração de instrumentos contratuais para formalizar a nossa relação. A recusa em fornecer tais Dados Pessoais pode inviabilizar o vínculo pretendido pelas partes.

Aqui estão alguns exemplos de situações em que podemos coletar seus Dados Pessoais:

  • DADOS PESSOAIS ENVIADOS POR VOCÊ:
    • Durante o processo de homologação, o representante legal ou os Colaboradores deverão encaminhar seus Dados Pessoais:
      • via e-mail; 
      • por meio do envio de propostas comerciais (RFP); 
      • no ato de formalização do contrato a ser firmado entre as partes e aditivos contratuais (se necessário); e, 
      • no preenchimento de formulários com dados (i) de identificação, (ii) bancários e (iii) de contato, conforme detalhados no item 3 abaixo. 
  • DADOS PESSOAIS QUE COLETAMOS EM SITES E PLATAFORMAS:
    • Dados Pessoais poderão ser coletados em diversos sites e plataformas, por meio de cookies, web beacons, pixels, endereço de IP, login, geolocalização, logs de acesso e local shared objects, com o objetivo de encontrar novos Terceiros;
    • Dados Pessoais poderão ser coletados em sites oficiais do governo municipal, estadual e federal, a fim de obter informações dos Terceiros, e tratados para fins de classificação dos riscos.

Em qualquer ocasião, o Tratamento de Dados Pessoais ocorrerá em conformidade com as políticas e orientações das empresas da StoneCo. e em respeito às finalidades informadas aos Titulares.

3. Dados pessoais que coletamos

  • DADOS DE IDENTIFICAÇÃO: nome; sobrenome; cópias digitais de documentos de identificação como CPF, CNPJ (como MEI e ME) e identidade; data de nascimento; filiação;
  • DADOS PROFISSIONAIS: profissão, cargo e área;
  • DADOS BANCÁRIOS: agência, conta e banco; e
  • DADOS DE CONTATO: endereço, e-mail e telefone.

4. Como utilizamos Dados Pessoais

Todos os Dados Pessoais coletados são tratados de forma ética e conforme os padrões de segurança e confidencialidade compatíveis com nosso mercado de atuação, de acordo com a legislação e regulamentação aplicável.

A seguir, detalhamos as principais Bases Legais e finalidades do Tratamento dos Dados Pessoais acima indicados, nos cenários em que Nós somos Controladores dos seus Dados Pessoais:

Quando necessário para a execução de seu contrato conosco e/ou procedimentos preliminares a ele relacionados: poderemos tratar Dados Pessoais para cumprir o contrato que firmamos com o Terceiro ou para a análise de viabilidade de eventual relacionamento. Nesse sentido, tratamos Dados Pessoais para, por exemplo:

  • Realizar análise para comprovação de vínculo com o Terceiro;
  • Realizar pagamentos dos serviços prestados ou fornecimento de produto;
  • Cadastrar o Terceiro e o Colaborador responsável pelas tratativas no banco de dados;
  • Enviar comunicação relacionada à relação contratual; e
  • Conduzir avaliação e homologação de Terceiros.

Com base no legítimo interesse: Nós podemos tratar seus Dados Pessoais com base no legítimo interesse da StoneCo., de acordo com os requisitos e limites legais para esse tipo de Tratamento. As atividades baseadas no legítimo interesse podem envolver a utilização de Dados Pessoais para:

  • Analisar eventuais erros ou falhas nos serviços ou soluções fornecidas;
  • Realizar aferições internas necessárias para a correta prestação dos serviços ou soluções, a exemplo de mapeamento e testes de controle para elaboração de planos de ação focados na mitigação de riscos;
  • Compartilhar Dados Pessoais com o fim de ofertar serviço ou solução para nossas Afiliadas;
  • Realizar check de segurança com o objetivo de mapear fatores de riscos relevantes à Companhia;
  • Disponibilizar e/ou viabilizar nossos serviços e soluções;
  • Realizar gestão dos contratos;
  • Realizar gestão dos Terceiros; e
  • Mapear novos Terceiros no mercado.

Para a defesa de direitos em processos judiciais, administrativos ou arbitrais: podemos tratar seus Dados Pessoais para eventual defesa de nossos direitos e interesses em quaisquer tipos de conflitos, especialmente ações judiciais e demandas administrativas ou arbitrais.

Para o cumprimento de nossas obrigações legais e regulatórias: Nós trataremos seus Dados Pessoais e Dados Pessoais Sensíveis com a finalidade de cumprir as exigências legais e regulatórias previstas, inclusive, no Código Civil, Marco Civil da Internet, na Lei do Sigilo Bancário, Lei de Lavagem de Dinheiro, Lei 12.865/13 ou nas demais normas setoriais do Conselho Monetário Nacional (“CMN”) e do Banco Central do Brasil (“BCB”), que regulam a atividade de Instituições de Pagamento, Instituições Financeiras e Infraestruturas de Mercado Financeiro, inclusive aquelas que se refiram à prevenção a ilícitos, gravação e/ou registro de contatos, segurança cibernética, dentre outras normas que venham a ser aplicáveis.

5. Compartilhamento de Dados Pessoais com as empresas StoneCo.

Respeitados os limites legais e regulamentações aplicáveis, os Dados Pessoais que tratamos poderão ser compartilhados com parceiros e empresas pertencentes ao grupo econômico StoneCo. e/ou franquias, com o objetivo de disponibilizar e/ou ofertar nossas soluções e plataformas, levando em consideração a utilização de infraestrutura e recursos tecnológicos compartilhados, bem como nos casos em que forem necessários para conclusão ou andamento da solicitação referente a prestação de serviço ou produto do Terceiro. 

A StoneCo. restringirá o acesso aos Dados Pessoais somente ao pessoal que guarde funções relacionadas à finalidade do Tratamento e este acesso será limitado aos Dados Pessoais necessários à finalidade para a qual o acesso foi concedido.

6. Compartilhamento de Dados Pessoais com Terceiros

No âmbito da relação comercial realizada com o Terceiro, a StoneCo. não comercializa os Dados Pessoais sob seu controle em nenhuma hipótese. Os Dados Pessoais somente serão compartilhados com terceiros se houver Base Legal para tanto e, em qualquer ocasião, para as finalidades previstas no presente Aviso de Privacidade.

Os Dados Pessoais coletados poderão ser compartilhados com terceiros na medida em que for necessário para conclusão ou andamento da solicitação referente à prestação de serviço ou produto do Terceiro, bem como para fins de avaliação da qualidade dos serviços prestados e da viabilidade da contratação.

7. Quem tem acesso aos Dados Pessoais

Os Dados Pessoais coletados serão analisados pelos profissionais responsáveis pela contratação e gestão dos Terceiros, bem como pelos times internos da StoneCo. que prestarão o serviço e/ou, de qualquer forma, estejam envolvidos com o objeto do serviço que será prestado. Em hipótese alguma colaboradores e/ou times que não exerçam função relacionada à finalidade do Tratamento poderão acessá-los.

8. Como protegemos Dados Pessoais

Atuamos no sentido de implementar medidas de segurança que protejam nossos sistemas, Titulares e bases de Dados Pessoais de acordo com os melhores padrões de mercado, envidando nossos esforços na proteção das Soluções e Plataformas contra tentativas de violações ou acessos indevidos aos seus Dados Pessoais.

Veja abaixo algumas medidas de segurança da informação e privacidade, para proteção de Dados Pessoais, que recomendamos que sejam aplicadas por nossos Terceiros no âmbito da prestação do serviço:  

  • Utilização de criptografia de Dados Pessoais;
  • Implementação de controles de acesso de informações;
  • Utilização de firewalls;
  • Implementação de políticas internas relacionadas à segurança da informação e privacidade;
  • Utilização de arquitetura de solução de software com prevenção à invasão;
  • Realização periódica de testes de invasão e análise de vulnerabilidades nos sistemas e aplicações;
  • Realização de treinamentos obrigatórios sobre Privacidade, Proteção de Dados Pessoais e Segurança da Informação; e
  • Disponibilização de um time de Privacidade que se encontre à disposição para eventuais dúvidas nas tratativas dos Dados Pessoais e para prestar auxílio aos times, guiando-os em conformidade com a lei.

Apesar dos nossos esforços, considerando a natureza e arquitetura da internet – o que inclui elementos que não estão sob nosso razoável controle, não podemos garantir que agentes mal intencionados não conseguirão acessar ou farão uso indevido de seus Dados Pessoais. 

Eventual ocorrência de incidente de segurança da informação envolvendo seus Dados Pessoais, especialmente aqueles que ocasionam risco e/ou dano relevante, serão tratados em conformidade com nossos Planos de Resposta à Incidentes e Remediação, Política de Segurança da Informação e prontamente serão informados aos Terceiros envolvidos.

9. Retenção

Os Dados Pessoais dos Terceiros e seus Colaboradores serão tratados pelo tempo necessário à execução das atividades, observando, sempre que aplicáveis, as disposições legais e as políticas internas da StoneCo. Assim, mesmo quando a exclusão for solicitada pelo Terceiro, a StoneCo. poderá manter determinados Dados Pessoais caso ainda haja fundamento legal e/ou regulatório para tanto, de acordo com as seguintes diretrizes:

  • Somente poderão ser retidos Dados Pessoais estritamente necessários para o cumprimento das finalidades do Tratamento. O Titular poderá solicitar a exclusão de Dados Pessoais desnecessários, excessivos ou Tratados em desconformidade com a legislação aplicável;
  • Os períodos de retenção deverão ser cumpridos conforme a natureza dos Dados Pessoais e a finalidade do Tratamento, e observarão, sempre que aplicáveis, as disposições legais e regulatórias que indiquem um prazo específico de guarda de documentos;
  • A retenção do Dado Pessoal deverá ser fundamentada e justificável, dependendo da finalidade do Tratamento.

10. Direitos dos Titulares

Nos casos em que atuarmos como Controladores dos seus Dados Pessoais, caberá a StoneCo. garantir o cumprimento de seus direitos aplicáveis, conforme detalhados abaixo, respeitados sempre os limites impostos pelas normas.

  • Confirmação da existência de Tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou Tratados em desconformidade com a LGPD;
  • Portabilidade dos dados a outro Terceiro de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  • Eliminação dos Dados Pessoais Tratados com o consentimento do titular, exceto nas hipóteses de: cumprimento de obrigação legal ou regulatória pela StoneCo.; estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos Dados Pessoais; transferência a terceiro, desde que respeitados os requisitos de Tratamento de dados dispostos na LGPD; ou uso exclusivo da StoneCo., vedado seu acesso por terceiro, e desde que anonimizados os dados.
  • Informação das entidades públicas e privadas com as quais a StoneCo. realizou uso compartilhado de dados;
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; 
  • Revogação do consentimento, que pode pode ocorrer a qualquer momento mediante manifestação expressa do Titular, por procedimento gratuito e facilitado, ratificados os Tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação;
  • Peticionar em relação aos seus Dados Pessoais contra a StoneCo perante a ANPD e organismos de defesa do consumidor; e
  • Oposição ao Tratamento realizado com fundamento em uma das hipóteses de dispensa do consentimento.

Adicionalmente,o Terceiro deverá efetuar todas as medidas necessárias para atender e apoiar no atendimento dos direitos dos Titulares, quando estiver atuando como operador de Dados Pessoais. 

11. Transferência Internacional de Dados Pessoais

Em alguns casos, para oferecer nossas Soluções e Plataformas, podemos compartilhar seus Dados Pessoais com empresas localizadas em outros países. Chamamos isso de Transferência Internacional de Dados Pessoais.

Nesses casos, nos comprometemos a observar a Lei Geral de Proteção de Dados Pessoais (LGPD) e as regulamentações da Autoridade Nacional de Proteção de Dados (ANPD) e demais entidades sobre o tema. Isso significa que, embora em países e territórios estrangeiros, seus Dados Pessoais receberão um nível de proteção equivalente ao que a legislação brasileira exige e a StoneCo. implementa.

11.1. Para que seus Dados Pessoais são transferidos internacionalmente?

Seus Dados Pessoais são transferidos quando necessário para viabilizar a utilização de nossas Soluções e Plataformas por Você, conforme finalidades definidas abaixo. Limitamos o compartilhamento ao mínimo necessário, garantindo que os Dados Pessoais sejam pertinentes, proporcionais e não excessivos para o objetivo da transferência. Quanto à duração, as transferências estão sujeitas aos critérios estabelecidos no tópico de Retenção, anteriormente citado.

As principais finalidades das transferências de Dados Pessoais realizadas incluem:

  1. armazenamento de dados em nuvem;
  2. fornecimento de infraestrutura de data center e conectividade, para abrigar, processar e gerenciar dados em ambientes seguros.
  3. criação e gerenciamento de bancos de dados para armazenar dados transacionais.
  4. viabilização de processos financeiros como transferências (TED), débito direto autorizado (DDA) e pagamento de boletos.

11.2. Como garantimos a segurança e a proteção dos seus Dados Pessoais transferidos internacionalmente?

Adotamos diversas medidas de segurança técnicas e administrativas baseadas em boas práticas, para proteger seus Dados Pessoais contra acessos não autorizados, perdas, alterações ou qualquer Tratamento inadequado. Para que as transferências internacionais ocorram com segurança, implementamos medidas como criptografia, controle de acesso, trilhas de auditoria, prevenção contra malware, prevenção contra perda de dados (DLP) e retenção e descarte. Periodicamente, avaliamos e revisamos essas medidas para manter um nível de proteção adequado.

Utilizamos mecanismos válidos de transferência internacional, como as cláusulas-padrão contratuais aprovadas pela ANPD, que estabelecem garantias mínimas e condições rigorosas para o Tratamento de Dados Pessoais pelos destinatários das transferências internacionais. Essas cláusulas garantem o cumprimento dos princípios da LGPD e os seus direitos como titular.

11.3. Para quais países os Dados Pessoais estão sendo transferidos? 

Os países destinatários podem variar conforme a localização do parceiro internacional e a finalidade da transferência. Os principais países de destino incluem, mas não se limitam aos Estados Unidos , Inglaterra e Portugal.

11.4. Quais são os seus direitos em relação aos Dados Pessoais transferidos internacionalmente?

Mesmo em transferências internacionais, seus direitos como titular de Dados Pessoais são plenamente assegurados conforme declaramos no tópico Direitos dos Titulares de Dados Pessoais acima. 

12. Responsabilidade dos Terceiros

É de responsabilidade dos Terceiros prezar pela privacidade e possuir um compromisso com a transparência e proteção dos Dados Pessoais, nos termos da LGPD e demais normativos sobre o tema.

Nos casos em que Terceiros atuarem como Controladores de Dados Pessoais, é imprescindível que, além de possuírem um plano de resposta à incidentes de segurança vigente, seja garantido à StoneCo. que o Terceiro faça o possível para garantir o cumprimento dos direitos aplicáveis, conforme detalhados no item 10 acima, respeitados sempre os limites impostos pelas normas.

Caso queira exercer qualquer direito sobre seus Dados Pessoais, você poderá realizar o pedido através dos nossos Portais de Privacidade: