AVISO DE PRIVACIDADE COMPROCARD LTDA CNPJ nº 06.175.892/0001-48

Informações Gerais

O que é um Aviso de Privacidade?

Um aviso de privacidade^1,2 é um documento público de uma organização que explica como essa organização processa dados pessoais e como aplica os princípios de proteção de dados.

A COMPROCARD LTDA, na condição de Controlador de Dados Pessoais, compromete-se a tratar informações de usuários, beneficiários dos cartões, representantes de empresas contratantes, visitantes dos canais digitais, usuários do site e demais titulares com segurança, transparência e respeito, em conformidade com:

• Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018)
• Regulamentos e Guias da Autoridade Nacional de Proteção de Dados – ANPD
• Lei nº 5.452/1943, em seu artigo 458
• Lei nº 6.321/76
• Decreto nº 11.678/2023 e Portarias MTE/2024
• Programa de Alimentação do Trabalhador (PAT)

Este Aviso descreve como e por que tratamos dados pessoais, com quem compartilhamos, por quanto tempo armazenamos e quais direitos podem ser exercidos pelo titular.

1. Definições

• BASES LEGAIS: São as hipóteses legais na LGPD (Lei Geral de Proteção de Dados) que autorizam o tratamento de dados pessoais.
• CONTROLADOR: Art. 5º, inciso VI, a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
• OPERADOR: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.

2. Dados Pessoais ou "Dados"

DADOS PESSOAIS:³ são informações relativas a uma pessoa viva, identificada ou identificável e eles são: Diretos, Indiretos e Sensíveis.

• DADOS PESSOAIS DIRETOS: Identifica diretamente a pessoa: RG, CPF, Título Eleitoral, Nome, Apelido, Foto.
• DADOS PESSOAIS INDIRETOS: Necessitam de mais informações para identificar: Placa de Carro, IP, gostos, hábitos, profissão, telefone, geolocalização, endereço físico, comportamento.
• DADOS PESSOAIS SENSÍVEIS: Origem racial ou étnica, convicção religiosa, opinião política, filiação à sindicato, associação de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
• DADOS PÚBLICOS: É importante considerar que dados pessoais tornados manifestamente públicos pela pessoa titular não deixam de ser protegidos pela LGPD. O tratamento desses dados deve respeitar os direitos e as legítimas expectativas da pessoa titular, além de observar os princípios previstos na LGPD, tais como finalidade, adequação, necessidade e transparência.⁴

ENCARREGADO(A) PELO TRATAMENTO DE DADOS PESSOAIS: A Lei Geral de Proteção de Dados Pessoais define como encarregado, em seu Art. 5º, inciso VIII, a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Agência Nacional de Proteção de Dados (ANPD). (Redação dada pela Lei nº 13.853, de 2019)

TITULAR DOS DADOS PESSOAIS: é qualquer pessoa física identificada ou identificável a quem se refere os dados pessoais tratados, por exemplo, nossos clientes, consumidores e parceiros. Tratamento de dados é qualquer operação realizada com dados pessoais, conforme art. 5º, X da LGPD.

Dados de Crianças

Tratamos dados de crianças e adolescentes sempre no melhor interesse deles, conforme art. 14 da LGPD, podendo o tratamento ocorrer com consentimento dos pais/responsáveis ou, em casos relacionados à tutela da saúde, independentemente de consentimento.

Glossário de Operações de Tratamento⁵

1. Acesso - ato de ingressar, transitar, conhecer ou consultar a informação, bem como a possibilidade de usar os ativos de informação de um órgão ou entidade, observada eventual restrição que se aplique;
2. Armazenamento - ação ou resultado de manter ou conservar em repositório um dado;
3. Arquivamento - ato ou efeito de manter registrado um dado, embora já tenha perdido a validade ou esgotado a sua vigência;
4. Avaliação - analisar o dado com o objetivo de produzir informação;
5. Classificação - maneira de ordenar os dados conforme algum critério estabelecido;
6. Coleta - recolhimento de dados com finalidade específica;
7. Comunicação - transmitir informações pertinentes a políticas de ação sobre os dados;
8. Controle - ação ou poder de regular, determinar ou monitorar as ações sobre o dado;
9. Difusão - ato ou efeito de divulgação, propagação, multiplicação dos dados;
10. Distribuição - ato ou efeito de dispor de dados de acordo com algum critério estabelecido;
11. Eliminação - ato ou efeito de excluir ou destruir dado do repositório;
12. Extração - ato de copiar ou retirar dados do repositório em que se encontrava;
13. Modificação - ato ou efeito de alterar o dado;
14. Processamento - ato ou efeito de processar dados visando organizá-los para obtenção de um resultado determinado;
15. Produção - criação de bens e de serviços a partir do tratamento de dados;
16. Recepção - ato de receber os dados ao final da transmissão;
17. Reprodução - cópia de dado preexistente obtido por meio de qualquer processo;
18. Transferência - mudança de dados de uma área de armazenamento para outra, ou para terceiro;
19. Transferência internacional de dados - transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
20. Transmissão - movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos, etc.;
21. Utilização - ato ou efeito do aproveitamento dos dados.

3. Dados Pessoais Tratados

• Dados de Identificação: Nome, CPF, RG, data de nascimento, telefone, e-mail, dados pessoais - nome, CNH, endereço (logradouro, cidade, estado, país, CEP), Horário de contato, Empresa, Quem sou Eu, Como nos achou. Número do Cartão, Senha, Banco, Agência, Valor, Estabelecimento, Saldo.
• Dados de Acesso e Navegação: Endereço IP, data e hora de acesso, cookies necessários e consentidos, logs de navegação.

Os dados podem ser fornecidos pelo Titular, coletados automaticamente ou obtidos em razão de obrigação legal, regulatória, visitantes, usuários do site, caso se neguem a fornecer alguns dados, poderemos não oferecer alguns serviços ou acessos. Compreendemos a importância de adotar precauções adicionais para proteger a privacidade e a segurança de menores de idade.

4. Princípios

1. Finalidade
2. Adequação
3. Necessidade
4. Livre acesso
5. Qualidade dos dados
6. Transparência
7. Segurança
8. Prevenção
9. Não discriminação
10. Responsabilização e prestação de contas

Referência LGPD	Princípio	Descrição
Art. 6º, I	Finalidade	Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades
Art. 6º, II	Adequação	Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento
Art. 6º, III	Necessidade	Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos
Art. 6º, IV	Livre acesso	Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais
Art. 6º, V	Qualidade dos dados	Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento
Art. 6º, VI	Transparência	Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento
Art. 6º, VII	Segurança	Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas
Art. 6º, VIII	Prevenção	Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais
Art. 6º, IX	Não discriminação	Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos
Art. 6º, X	Responsabilização e prestação de contas	Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais

5. Finalidade do Tratamento de Dados

Os dados pessoais são tratados para as seguintes finalidades legítimas:

• Cadastro e identificação do titular
• Emissão, gestão e operacionalização dos cartões
• Processamento de transações financeiras
• Prevenção à fraude e segurança
• Atendimento ao titular
• Cumprimento de obrigações legais e regulatórias
• Exercício regular de direitos em processos administrativos ou judiciais
• Melhoria da experiência do usuário

Os dados de identificação (nome, CPF, RG, endereço, telefone etc.) servem para autenticação de titulares, execução de contratos de serviços de crédito e contato para suporte ou cobranças. Dados financeiros (número do cartão, senha, banco, agência, valor, saldo) destinam-se ao processamento de pagamentos, análise de crédito e prevenção de fraudes, previstas nas obrigações regulatórias do Banco Central. Dados de acesso (IP, logs, cookies) visam segurança cibernética, monitoramento de navegação e conformidade com normas de continuidade de negócios.

Bases Legais (Art. 7º LGPD)

O tratamento de dados pessoais é realizado com fundamento nas bases legais previstas no art. 7º da LGPD, incluindo:

• Execução de contrato (art. 7°, V)
• Cumprimento de obrigação legal ou regulatória (art. 7º, II)
• Exercício regular de direitos (art. 7°, VI)
• Legítimo interesse, quando aplicável e precedido de avaliação (art. 7º, IX e art. 10)
• Consentimento, quando exigido (art. 7º, I)

Execução de contrato (inciso V): Para dados essenciais ao serviço de cartão de crédito, como identificação, dados bancários e transações, permitindo processamento sem consentimento quando necessário ao cumprimento do acordo com o titular.

Obrigação legal/regulatória (inciso II): Aplicável a CPF para emissão de notas fiscais e dados financeiros sob normas do BACEN (ex.: Res. 4.893/21), garantindo proteção ao crédito e relatórios obrigatórios.

Interesse legítimo (inciso IX): Para dados de navegação (IP, logs) em prevenção de fraudes ou pontuação de crédito, após teste de proporcionalidade que equilibre interesses da empresa e direitos do titular; não se aplica a dados sensíveis. O consentimento (inciso I) é residual, usado para cookies não essenciais ou de marketing, devendo ser específico e revogável.

6. Tratamento dos Dados Pessoais

Dados Cadastrais do Usuário

Dados Pessoais	Nome completo, CPF, data de nascimento, telefone, e-mail, endereço, número do cartão, identificador interno, status do cartão
Titular	Pessoa física beneficiária do cartão
Finalidade	Identificação do titular, gestão do benefício, prevenção à fraude, comunicação operacional
Base Legal	Execução de contrato (art. 7º, V) e cumprimento de obrigação legal (art. 7º, II)
Categoria de Dados	Dados pessoais comuns
Sistema/Área	Sistema de cartões, CRM, antifraude
Compartilhamento	Empresa contratante, bandeiras, parceiros tecnológicos
Retenção	Vigência do contrato + 5 anos
Fundamento de Retenção	Art. 16, I e IV – obrigação legal e exercício regular de direitos

Dados da Empresa Contratante (B2B)

Dados Pessoais	Nome do responsável, CPF (quando PF), e-mail corporativo, telefone
Titular	Representante legal da empresa contratante
Finalidade	Gestão contratual e operacional
Base Legal	Execução de contrato (art. 7°, V)
Categoria de Dados	Dados pessoais comuns
Sistema/Área	Comercial, jurídico, financeiro
Compartilhamento	Contabilidade, jurídico
Retenção	Vigência contratual + 5 anos
Fundamento de Retenção	Art. 16, IV

Dados Financeiros e de Transação

Dados Pessoais	Número do cartão, valor, data/hora da transação, estabelecimento, MCC, saldo, histórico
Titular	Pessoa física usuária do cartão
Finalidade	Processamento de transações, controle financeiro, prevenção à fraude
Base Legal	Execução de contrato (art. 7º, V) e obrigação legal (art. 7º, II)
Categoria de Dados	Dados pessoais comuns de alto risco
Sistema/Área	Core financeiro, conciliação
Compartilhamento	Bancos, bandeiras, estabelecimentos credenciados
Retenção	10 anos
Fundamento de Retenção	Art. 16, I e IV

Cartão Premiação

Os dados pessoais tratados no âmbito do Cartão Premiação são utilizados exclusivamente para a operacionalização de programas de incentivo, reconhecimento e recompensa definidos pela empresa contratante. O tratamento limita-se à identificação do beneficiário, crédito do valor concedido, histórico de utilização e controle antifraude, sendo vedada a utilização para fins de perfilamento comportamental ou marketing.

Bases legais aplicáveis: Execução de contrato (art. 7°, V) e cumprimento de obrigação legal, quando aplicável (art. 7º, II).

Dados Pessoais	Valor creditado, origem da premiação, histórico de uso
Titular	Beneficiário do prêmio
Finalidade	Execução do programa de incentivos
Base Legal	Execução de contrato (art. 7°, V)
Retenção	5 anos

Cartão Combustível

No Cartão Combustível, são tratados dados relativos às transações realizadas em postos e estabelecimentos credenciados, incluindo valor, data, horário e local da operação. Esses dados são necessários para o controle financeiro, prevenção a fraudes e prestação de contas à empresa contratante.

A Comprocard não realiza monitoramento de deslocamento em tempo real, limitando-se aos registros estritamente necessários para a execução do benefício.

Bases legais aplicáveis: Execução de contrato (art. 7º, V) e legítimo interesse, precedido de avaliação (art. 7º, IX e art. 10)

Dados Pessoais	Estabelecimento, tipo de combustível, valor, local da transação
Titular	Usuário do cartão combustível
Finalidade	Controle de gastos e execução do benefício
Base Legal	Execução de contrato (art. 7°, V)
Retenção	5 a 10 anos

Cartão Presente

O tratamento de dados no Cartão Presente ocorre de forma simplificada, restringindo-se à identificação mínima do titular, valor disponibilizado, data de ativação, validade e histórico de uso. Por sua natureza eventual, o risco associado ao tratamento é considerado reduzido.

Bases legais aplicáveis: Execução de contrato (art. 7º, V).

Dados Pessoais	Valor do crédito, histórico de uso, data de expiração
Titular	Usuário do cartão presente
Finalidade	Disponibilização do benefício
Base Legal	Execução de contrato (art. 7°, V)
Retenção	5 anos

Cartão Alimentação

No Cartão Alimentação, são tratados dados referentes a transações realizadas em estabelecimentos do segmento alimentício, exclusivamente para viabilizar o benefício concedido. Não são coletados dados sensíveis relacionados à saúde ou preferências alimentares específicas.

A Comprocard não utiliza tais informações para inferir hábitos de vida ou padrões comportamentais, observando rigorosamente o princípio da não discriminação.

Bases legais aplicáveis: Execução de contrato (art. 7º, V) e cumprimento de obrigação legal, quando aplicável (art. 7º, II)

Dados Pessoais	Estabelecimentos alimentícios, valores, data e horário
Titular	Usuário do cartão alimentação
Finalidade	Execução do benefício alimentação
Base Legal	Execução de contrato (art. 7°, V)
Retenção	5 anos

Dados de Acesso e Segurança

Dados Pessoais	IP, data/hora de acesso, logs, cookies essenciais
Titular	Usuário do sistema
Finalidade	Segurança, auditoria e antifraude
Base Legal	Obrigação legal (art. 7º, II) e legítimo interesse (art. 7º, IX)
Retenção	6 a 12 meses

7. Cookies ou Dados de Navegação

Os cookies referem-se a arquivos de texto enviados pela plataforma com informações relacionadas à navegação no site.

O cookie persistente permanece no disco rígido do usuário e visitante depois que o navegador é fechado e será usado pelo navegador em visitas subsequentes ao site. Os cookies persistentes podem ser removidos seguindo as instruções do seu navegador. Já o cookie de sessão é temporário e desaparece depois que o navegador é fechado. É possível redefinir seu navegador da web para recusar todos os cookies, porém alguns recursos, sistemas e serviços da plataforma podem não funcionar corretamente se a capacidade de aceitar cookies estiver desabilitada.

8. Como Coletamos Seus Dados

Os dados pessoais podem ser coletados:

• Diretamente do titular (formulários, app, portal, atendimento)
• Por meio da empresa contratante (empregador)
• Durante o uso do cartão em estabelecimentos credenciados
• Automaticamente por sistemas digitais e de segurança
• Por integrações com bancos, bandeiras e parceiros tecnológicos

Canal de Coleta	Como Ocorre	Tipos de Dados	Finalidade
Formulário de adesão	Preenchimento pelo titular	Nome, CPF, endereço, telefone, e-mail, data de nascimento	Cadastro e habilitação do benefício
Portal do usuário (web)	Cadastro e atualização de dados	Dados cadastrais, login, histórico de uso	Gestão do benefício
Aplicativo móvel	Uso do app	Dados cadastrais, IP, logs, saldo, transações	Operacionalidade e segurança
Atendimento telefônico (SAC)	Contato ativo ou receptivo	Nome, CPF, telefone, gravação de voz	Suporte e atendimento
Atendimento via e-mail/chat	Comunicação direta	Nome, e-mail, CPF (quando necessário)	Atendimento e resolução de demandas
Empresa contratante	Envio de base de beneficiários	Nome, CPF, matrícula, tipo de benefício	Concessão e gestão do benefício
Integração sistêmica (API/planilhas)	Transferência estruturada de dados	Dados cadastrais e contratuais	Operacionalização do serviço
Uso do cartão no POS	Transação financeira	Valor, data/hora, estabelecimento, MCC, saldo	Processamento de pagamento
Estabelecimentos credenciados	Captura da transação	Dados da compra e local	Execução do benefício
Bancos parceiros	Liquidação financeira	Dados da transação, conta liquidante	Compensação e liquidação
Bandeiras de cartão	Processamento e autorização	Dados tokenizados do cartão	Autorização da transação
Sistemas antifraude	Monitoramento automático	Padrões de uso, risco, tentativas	Prevenção à fraude
Site institucional	Navegação	IP, cookies, data/hora	Funcionamento e segurança
Cookies essenciais	Uso do site/app	Identificadores técnicos	Operação do sistema
Cookies não essenciais	Mediante aceite	Preferências e métricas	Experiência do usuário
Logs de acesso	Registro automático	IP, data, hora, ações	Segurança e auditoria
SAC / Ouvidoria	Reclamações	Dados cadastrais e histórico	Defesa e atendimento
Consumidor.gov / Procon	Demandas externas	Dados de identificação	Defesa administrativa
Auditorias internas	Verificação de conformidade	Dados operacionais	Compliance

Bases Legais por Canal de Coleta

Canal de Coleta	Base Legal (LGPD)	Artigo LGPD
Formulário de adesão	Execução de contrato	Art. 7º, V
Portal do usuário (web)	Execução de contrato	Art. 7º, V
Aplicativo móvel	Execução de contrato / Legítimo interesse	Art. 7º, V e IX
Atendimento telefônico (SAC)	Execução de contrato	Art. 7º, V
Atendimento via e-mail/chat	Execução de contrato	Art. 7º, V
Empresa contratante	Execução de contrato / Obrigação legal	Art. 7º, V e II
Integração sistêmica	Execução de contrato	Art. 7º, V
Uso do cartão no POS	Execução de contrato / Obrigação legal	Art. 7º, V e II
Estabelecimentos credenciados	Execução de contrato	Art. 7º, V
Bancos parceiros	Obrigação legal	Art. 7º, II
Bandeiras de cartão	Execução de contrato	Art. 7º, V
Sistemas antifraude	Legítimo interesse	Art. 7º, IX
Site institucional	Legítimo interesse	Art. 7º, IX
Cookies essenciais	Legítimo interesse	Art. 7º, IX
Cookies não essenciais	Consentimento	Art. 7º, I
Logs de acesso	Obrigação legal (MCI)	Art. 7º, II
SAC / Ouvidoria	Exercício regular de direitos	Art. 7º, VI
Consumidor.gov / Procon	Exercício regular de direitos	Art. 7º, VI
Auditorias internas	Obrigação legal	Art. 7º, II
Órgãos reguladores	Obrigação legal	Art. 7º, II

9. Compartilhamento de Dados

Os dados pessoais poderão ser compartilhados de forma controlada e segura com:

• Empresas contratantes (empregadores)
• Bancos e instituições financeiras
• Bandeiras de cartão
• Estabelecimentos credenciados
• Prestadores de serviços e operadores
• Autoridades públicas, quando exigido por lei

A Comprocard poderá realizar transferência internacional de dados exclusivamente quando necessária à execução do serviço, observando os requisitos dos arts. 33 a 36 da LGPD, com garantias contratuais adequadas.

10. Gerenciamento dos Cookies

A instalação dos cookies está sujeita ao seu consentimento. Apesar da maioria dos navegadores estarem inicialmente configurada para aceitar cookies de forma automática, você pode rever suas permissões a qualquer tempo, de forma a bloqueá-los, aceitá-los ou ativar notificações para quando alguns cookies forem enviados ao seu dispositivo.

Atualmente, na primeira vez que você acessa nossas aplicações, será requerida a sua concordância com a instalação destes. Apenas após a sua aceitação eles serão ativados.

É de sua livre escolha a qualquer tempo e sem nenhum custo, alterar as permissões, bloquear ou recusar os Cookies. Você também pode configurá-los caso a caso.

Para obter mais informações sobre como desabilitar cookies ou gerenciar as configurações de cookies em seu navegador, consulte a seguinte lista:

• Se usa o Internet Explorer
• Se usa o Firefox
• Se usa o Safari
• Se usa o Google Chrome
• Se usa o Microsoft Edge
• Se usa o Opera

11. Direitos do Titular

O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

O titular poderá solicitar, via email, a confirmação da existência tratamento de dados pessoais.

• Prazo padrão de resposta até 15 dias;
• Possibilidade de solicitação de identidade;
• Confirmação da existência de tratamento; acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
• Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa pelo Usuário;
• Eliminação dos dados tratados com consentimento do Usuário;
• Obtenção de informações sobre as entidades públicas ou privadas com as quais a COMPROCARD compartilhou os seus dados;
• Informação sobre a possibilidade de não consentir, e as consequências dessa negativa;
• Revogação do consentimento; revisão de decisões tomadas unicamente com base em tratamento automatizado.

A Portabilidade de Dados dependerá dos sistemas, contudo entregaremos um documento contendo todos os dados em formato comum (doc, txt ou xls), para que os utilize no preenchimento dos dados de outro Controlador/Operador da portabilidade.

12. Como Exercer Seus Direitos

Solicitações e dúvidas em relação aos seus direitos e ao Aviso de Privacidade, enviar e-mail para:

13. Tempo de Permanência

Art. 15, Art. 16, Art. 40 – Os dados serão mantidos enquanto relevantes ou para fins de segurança, proteção e integridade. Após o período em que os dados pessoais não precisem permanecer armazenados, estes serão excluídos de nossas bases de dados ou anonimizados, respeitando as hipóteses legalmente previstas no art. 16 da LGPD.

Os dados pessoais são armazenados em ambientes seguros e pelo tempo estritamente necessário para:

• Cumprimento das finalidades informadas
• Atendimento a obrigações legais, regulatórias e fiscais
• Exercício regular de direitos

14. Versão e Data do Documento

A COMPROCARD se reserva o direito de modificar, a qualquer momento, as presentes normas, especialmente para adaptá-las às melhorias, seja pela retirada ou modificação daquelas já existentes.

Versão	Data	Autor	Aprovação	Comentários
01	02/12/2025	Oficial de proteção de dados pessoais (DPO)	Comitê - LGPD	Primeira Política