POLÍTICA DE PRIVACIDADE DE DADOS

POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS – CASH BÔNUS

Somos a Cash Bônus, uma empresa dedicada a proteger a segurança e a integridade das informações pessoais que nos são conﬁadas. Assumimos o compromisso de tratar os Dados Pessoais de nossos clientes e parceiros com responsabilidade e respeito à privacidade. Por isso, apresentamos nossa Política de Proteção de Dados Pessoais, um documento que estabelece as diretrizes adotadas pela Cash Bônus para assegurar a proteção dessas informações.

Tempo de leitura: de 6 a 7 minutos.

1. OBJETIVO	2
2. ABRANGÊNCIA	2
3. DEFINIÇÕES	2
4. POSICIONAMENTO	4
5. DIRETRIZES	4
6. POLÍTICAS RELACIONADAS	15
7. ATRIBUIÇÕES E RESPONSABILIDADES	16
8. MEDIDAS DISCIPLINARES	16

1. OBJETIVO

Esta Política tem como objetivo apresentar de forma clara como a Cash Bônus trata os dados pessoais coletados de seus usuários (clientes e lojistas), garantindo transparência e segurança com as informações que nos são conﬁadas. Buscamos sempre estar em conformidade às normas de tratamento de dados, em especial a lei federal n° 13.709 (lei geral de tratamento de dados pessoais – LGPD), à lei 12.965/14

(Marco Civil da Internet), e à Emenda Constitucional n° 115 (que incluiu a proteção de dados pessoais como direito e garantia fundamentais).

2. ABRANGÊNCIA

Essa política é destinada a todos aqueles que possuem qualquer relação com a Cash Bônus, sejam eles diretores, colaboradores, clientes, prestadores de serviços, entre outros. Todos, sem qualquer exceção, devem seguir as regras desta política.

3. DEFINIÇÕES

Lei Geral de Proteção de Dados (LGPD): é a Lei nº 13.709, que trata da proteção de dados pessoais no Brasil. Estabelece regras sobre privacidade, segurança, direitos dos titulares, ﬁscalização e outras diretrizes relacionadas ao tratamento de dados.

Marco Civil da Internet: é a Lei nº 12.965, que deﬁne os princípios, direitos, garantias e deveres relacionados ao uso da internet no Brasil.

Aviso de Privacidade da Cash Bônus: documento elaborado pela Cash Bônus que explica, de forma transparente, como os dados pessoais dos titulares são coletados, utilizados, com qual ﬁnalidade e qual a base legal para esse tratamento. Também orienta como exercer os direitos garantidos pela LGPD.

Política de Segurança da Informação da Cash Bônus: conjunto de diretrizes da Cash Bônus voltado a assegurar a integridade, disponibilidade e conformidade das informações. Deve ser seguido por todos os envolvidos com a empresa, incluindo colaboradores, prestadores de serviço, parceiros e terceiros.

Política de Resposta a Solicitações de Titulares de Dados: documento que detalha os direitos assegurados pela LGPD aos titulares de dados e apresenta os procedimentos adotados pela Cash Bônus para que esses direitos possam ser exercidos.

Dados Pessoais: qualquer informação que se relacione a uma pessoa física que possa ser identiﬁcada ou identiﬁcável.

Dados Identiﬁcáveis: são informações que, inicialmente, não revelam diretamente quem é o titular, mas que, ao serem combinadas com outros dados, possibilitam essa identiﬁcação.

Dados Identiﬁcados: dados que, por si só, já permitem saber quem é o titular, sem a necessidade de informações adicionais.

Dados Pessoais Sensíveis: informações pessoais que dizem respeito à origem racial ou étnica, crenças religiosas, posicionamentos políticos, vínculos com sindicatos ou entidades religiosas, ﬁlosóﬁcas ou políticas, além de dados sobre saúde, vida sexual, informações genéticas ou biométricas — desde que associados a uma pessoa física.

Anonimização: processo técnico que torna os dados impossíveis de serem associados a um indivíduo, seja direta ou indiretamente. Para ser válida, a anonimização precisa ser irreversível — caso contrário, trata-se de uma pseudoanonimização.

Titular de Dados: é a pessoa física a quem pertencem os dados pessoais que estão sendo tratados.

Tratamento de Dados: qualquer ação realizada com dados pessoais, incluindo coleta, armazenamento, organização, uso, acesso, reprodução, entre outros.

Controlador: indivíduo ou empresa responsável por tomar as decisões sobre como os dados pessoais serão tratados.

Operador: indivíduo ou empresa que realiza o tratamento dos dados pessoais seguindo as orientações do controlador.

Suboperador: pessoa física ou jurídica que auxilia o operador no tratamento dos dados, também obedecendo às instruções do controlador.

Autoridade Nacional de Proteção de Dados (ANPD): órgão responsável por garantir, aplicar e ﬁscalizar a conformidade com a Lei Geral de Proteção de Dados (LGPD).

Encarregado de Dados (ou DPO – Data Protection Officer): proﬁssional designado pelo controlador para atuar como ponto de contato entre o controlador, os titulares dos dados, os operadores e a ANPD.

4. POSICIONAMENTO

A proteção de dados é uma responsabilidade essencial para a Cash Bônus. Esta política atuará como referência para garantir que a segurança das informações esteja integrada aos processos, produtos, serviços e à cultura organizacional. Em caso de dúvidas, as áreas responsáveis estarão à disposição para esclarecimentos.

5. DIRETRIZES

Neste tópico, serão apresentadas as medidas e diretrizes adotadas pela Cash Bônus para estruturar seu programa de privacidade e proteção de dados. É essencial que o público-alvo deste documento siga essas orientações de forma alinhada. O descumprimento dessas diretrizes poderá resultar em ações corretivas, como sanções disciplinares, rescisões contratuais, entre outras.

5.1. Regras de Conformidade

Em conformidade com a LGPD, a Cash Bônus orienta que o público-alvo desta política, ao lidar com dados pessoais, observe as seguintes diretrizes:

Boa-fé: devemos agir com integridade, lealdade e conduta ética ao tratar dados pessoais e nos relacionarmos com seus titulares;

Finalidade: é mandatório utilizar os dados pessoais apenas para propósitos legítimos e especíﬁcos, como, por exemplo, oferecer um produto autorizado pelo titular. Esses propósitos devem ser claros e sempre comunicados ao titular. Não é permitido, por exemplo, usar os dados disponíveis para objetivos pessoais — como copiar contatos de clientes da Cash Bônus e compartilhá-los com terceiros para ﬁns de venda de produtos;

Adequação: o uso dos dados deve estar estritamente alinhado à ﬁnalidade informada ao titular. Se os dados foram coletados com o objetivo de oferecer produtos, não podem ser utilizados, por exemplo, para vender planos telefônicos. Essa conduta é vedada pela LGPD;

Necessidade: deve-se coletar e tratar apenas os dados essenciais para atingir a ﬁnalidade informada. Caso o público-alvo desta política perceba que dados além do necessário estão sendo utilizados, deve acionar o superior imediato ou as áreas responsáveis;

Livre acesso: é nosso dever garantir aos titulares um acesso fácil e gratuito às informações sobre o tratamento de seus dados — como quais dados estão sendo tratados, por quanto tempo, e para quais ﬁnalidades.

Qualidade dos dados: é nossa responsabilidade assegurar ao titular a exatidão, clareza, relevância e atualização das informações, sempre respeitando a necessidade e a ﬁnalidade previamente informada;

Transparência: devemos manter uma postura clara e acessível com os titulares, fornecendo informações precisas sobre como realizamos o tratamento dos dados e quem são os agentes envolvidos nesse processo (controladores, operadores, suboperadores);

Segurança: é fundamental garantir a proteção dos dados pessoais em todos os produtos, serviços e processos. Para isso, devem ser adotadas medidas técnicas e administrativas que previnam acessos não autorizados, bem como situações de destruição, perda, alteração, divulgação ou uso indevido — acidentais ou intencionais;

Prevenção: a conduta recomendada é agir de maneira preventiva, com foco em evitar possíveis danos decorrentes do tratamento de dados pessoais;

Não discriminação: os dados pessoais jamais devem ser utilizados para práticas discriminatórias, abusivas ou ilícitas;

Responsabilização e prestação de contas: a Cash Bônus deve implementar e demonstrar medidas eﬁcazes que assegurem a privacidade e a proteção de dados em toda a organização, além de cobrar o mesmo compromisso de terceiros com os quais se relaciona;

Acordo para transferência de informações: a Cash Bônus ﬁrmará acordos especíﬁcos para garantir a transferência segura de dados entre a empresa e terceiros (como

operadores e suboperadores), protegendo tanto as informações pessoais quanto os dados estratégicos do negócio.

5.2. Regras para o Tratamento de Dados Pessoais

Conforme abordado no tópico de deﬁnições, tratamento é qualquer atividade realizada com dados pessoais, como coleta, classiﬁcação, processamento, armazenamento, eliminação, transferência, entre outras. A LGPD estabelece as hipóteses legais que autorizam a Cash Bônus a tratar dados pessoais. São elas:

Consentimento expresso do titular: ocorre quando o próprio titular autoriza, de maneira livre, clara e informada, o tratamento de seus dados para uma ﬁnalidade especíﬁca;

Cumprimento de obrigação legal ou regulatória: em determinadas situações, a Cash Bônus é legalmente obrigada a tratar dados pessoais, conforme exigências da legislação vigente;

Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual o titular seja parte, a pedido do titular: quando há uma relação contratual — ou quando o titular solicita ações que antecedem essa relação — o tratamento dos dados é necessário para que possamos fornecer o serviço ou produto desejado. A LGPD autoriza esse tratamento desde que relacionado diretamente à execução ou formalização do contrato.

Para exercício regular de direitos em processo judicial, administrativo ou arbitral: é permitido utilizar dados pessoais nesses contextos. Por exemplo, em uma ação judicial, podemos apresentar informações que estão sob nossa responsabilidade;

Para proteção da vida ou da integridade física do titular ou de terceiros: aplica-se em situações emergenciais, quando há risco iminente ou possibilidade de dano grave e irreversível ao titular dos dados;

Legítimo interesse: essa hipótese permite o tratamento de dados pessoais para atender interesses legítimos do controlador ou de terceiros, desde que não conﬂitem com os direitos e as liberdades fundamentais do titular;

Proteção ao crédito: a LGPD autoriza o uso de dados pessoais em casos relacionados a obrigações ﬁnanceiras, como dívidas e cobranças. Um exemplo seria a inclusão do nome de um cliente inadimplente em cadastros de restrição ao crédito. Sempre que a Cash Bônus realizar o tratamento de dados pessoais, a operação deverá obrigatoriamente se basear em uma das hipóteses legais citadas acima. Não é permitido:

I. Tratar dados pessoais sem o respaldo de uma base legal válida;
II. Que colaboradores escolham, por conta própria, a base legal aplicável a uma operação sem a devida orientação. Essa atribuição é de responsabilidade do encarregado de dados, com o suporte jurídico apropriado.

5.3. Governança de dados pessoais

Para administrar o programa de proteção de dados, a Cash Bônus conta com uma estrutura de governança bem deﬁnida, composta por comitê, áreas e agentes especíﬁcos — que serão detalhados nos subtópicos a seguir. Ressalta-se que o comitê possui um regimento próprio e, por isso, não será descrito nesta seção.

5.3.1. Diretoria

São os responsáveis pelas operações e processos da Cash Bônus. Cabe a eles assegurar que todas as diretrizes relacionadas à proteção de dados sejam devidamente aplicadas nas rotinas e práticas de suas respectivas áreas.

5.3.2. Encarregado de dados ou DPO (Data Protection Officer)

É a pessoa designada pela Cash Bônus para atuar como responsável pelo tratamento de dados pessoais. Suas atribuições legais estão previstas na LGPD e incluem:

a) Receber reclamações e comunicações dos titulares, prestando os devidos esclarecimentos e adotando as providências necessárias;
b) Receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e tomar as medidas cabíveis;
c) Orientar os colaboradores e contratados da Cash Bônus quanto às práticas adequadas relacionadas à proteção de dados pessoais.

Além disso, o encarregado será responsável por conduzir o registro das operações de tratamento de dados pessoais, avaliar hipóteses de legítimo interesse, elaborar relatórios de impacto à proteção de dados, e redigir ou revisar políticas e documentos que tratem do tema. Para o adequado desempenho de suas funções, o encarregado contará com um grau de independência em relação às demais áreas da Cash Bônus, a ﬁm de evitar possíveis conﬂitos de interesse. Também não poderá ser designado para atividades que comprometam a conformidade com as normas de privacidade e proteção de dados.

5.3.3. Área de Segurança da Informação

A área de Segurança da Informação da Cash Bônus é responsável por gerir a segurança das informações no dia a dia da empresa, abrangendo seus processos, procedimentos e também a conscientização das pessoas. Essa área atua com base em uma política especíﬁca, que contempla responsabilidades como: gestão dos ativos de tecnologia da informação, controle de acessos, uso de criptograﬁa, aquisição, desenvolvimento e manutenção de sistemas, gestão de incidentes, entre outras. Além disso, a área desempenha um papel fundamental na garantia da conﬁdencialidade, integridade e disponibilidade das informações da empresa. Assim como o encarregado de dados pessoais, essa área deve atuar com autonomia e independência, assegurando a liberdade necessária para exercer suas funções de forma eﬁcaz e alinhada às exigências de segurança e conformidade.

5.4. Agentes de tratamento de dados pessoais 5.4.1. Controlador

O controlador é o agente responsável por tomar as decisões principais relacionadas ao tratamento de dados pessoais, incluindo a deﬁnição da ﬁnalidade desse tratamento. Entre suas atribuições está também o fornecimento de instruções aos operadores contratados para a execução de atividades envolvendo dados pessoais.

A Cash Bônus será considerada controladora nas seguintes situações:

I. Quando houver exigência legal ou regulatória;
II. Quando houver previsão contratual que a designe como tal;

III. Quando detiver o poder de decisão sobre os dados pessoais, como autorizar a exclusão, o compartilhamento ou o uso dos dados. Importante destacar que não é necessário tomar todas as decisões, mas sim manter sob sua inﬂuência e controle as decisões mais relevantes.

Exemplo: ao contratar um prestador de serviços para atendimento ao cliente, a Cash Bônus deﬁne a duração, conduta e ﬁnalidade do serviço — o que a caracteriza como controladora. O prestador, na função de operador, pode tomar decisões operacionais, como selecionar equipe e ferramentas, mas sempre dentro dos limites deﬁnidos pela Cash Bônus, que mantém a autoridade sobre os objetivos do tratamento. Quando atuar como controladora, caberá à Cash Bônus:

I. Estabelecer a ﬁnalidade e as bases legais para o tratamento de dados, as quais deverão ser rigorosamente seguidas pelos operadores;
II. Mapear as operações de tratamento de dados pessoais;
III. Elaborar relatórios de legítimo interesse e relatórios de impacto à proteção de dados;
IV. Atender às solicitações dos titulares de dados;
V. Deﬁnir as regras aplicáveis aos operadores;
VI. E assumir todas as demais responsabilidades pertinentes, conforme o caso concreto.

5.4.2. Controladoria Conjunta

A Cash Bônus e seus parceiros podem atuar de forma conjunta na tomada de decisões relacionadas ao tratamento de dados pessoais. Essa atuação ocorre quando ambas as partes compartilham o poder de decisão sobre o tratamento. As decisões conjuntas podem ser classiﬁcadas como:

● Comuns, quando as partes compartilham a mesma ﬁnalidade e utilizam os mesmos meios de tratamento;
● Convergentes, quando as ﬁnalidades são complementares, ou seja, diferentes, mas interligadas de forma que uma dependa da outra.

A Controladoria Conjunta deve ser formalizada por meio de contrato, salvo nos casos em que essa relação esteja prevista legalmente. Esse contrato deve delimitar as responsabilidades de cada parte no tratamento dos dados, garantindo a conformidade com a LGPD.

5.4.3. Operador

O operador é o agente responsável por realizar o tratamento de dados pessoais conforme as ﬁnalidades previamente estabelecidas pela Cash Bônus. Sua atuação deve ser limitada às instruções fornecidas pela controladora e em conformidade com a legislação aplicável. As responsabilidades do operador incluem:

I. Realizar o tratamento de dados exclusivamente com base na ﬁnalidade deﬁnida pela Cash Bônus;
II. Atuar em conformidade com a LGPD e demais normas de proteção de dados aplicáveis;
III. Tratar os dados pessoais como informações conﬁdenciais;
Oferecer treinamento adequado às pessoas envolvidas no tratamento dos dados fornecidos pela Cash Bônus;
IV. Notiﬁcar a Cash Bônus sobre a contratação de qualquer suboperador, garantindo a possibilidade de oposição ou, alternativamente, assumindo total responsabilidade sobre ele;
V. Assegurar que suboperadores cumpram as mesmas obrigações estabelecidas para o operador principal;
VI. Manter medidas técnicas e organizacionais apropriadas para proteger os dados, assegurando sua conﬁdencialidade, integridade e disponibilidade;
Ter um processo de gerenciamento de incidentes de segurança, comunicando qualquer evento que impacte a Cash Bônus no prazo máximo de 48 horas após a ocorrência;
VII. Fornecer informações claras e suﬁcientes que permitam à Cash Bônus cumprir suas obrigações legais, regulatórias e contratuais;
VIII. Ao encerrar o vínculo com a Cash Bônus, devolver ou excluir integralmente os dados tratados, conforme instruções do controlador;

IX. Em caso de solicitação de exercício de direitos por parte de um titular cujos dados estejam sob a controladoria da Cash Bônus, encaminhar a demanda em prazo hábil, garantindo o cumprimento da legislação;
X. Não divulgar os dados pessoais obtidos da Cash Bônus a terceiros sem autorização expressa, salvo em caso de exigência legal, ordem judicial ou administrativa. O operador responderá solidariamente pelo tratamento realizado por seus representantes, colaboradores e subcontratados;
XI. Caso o suboperador esteja localizado fora do Brasil, o operador deve garantir que ele atue em jurisdição com nível de proteção de dados considerado adequado, conforme os parâmetros da LGPD.

5.4.4. Suboperador

O suboperador é um terceiro contratado pelo operador com o objetivo de auxiliá-lo na realização do tratamento de dados pessoais em nome do controlador, no caso, a Cash Bônus. Assim como o operador principal, o suboperador está subordinado às mesmas obrigações e regras previstas para os operadores da Cash Bônus, devendo cumprir integralmente as normas legais, contratuais e operacionais relacionadas à privacidade e proteção de dados.

5.5. Processos

Para garantir a conformidade com as diversas regulamentações e boas práticas relacionadas à privacidade, proteção de dados e segurança da informação, a Cash Bônus — assim como terceiros que atuem em seu nome, como os operadores, quando aplicável — devem implementar os seguintes processos.

5.5.1. Registro das operações de tratamento de dados pessoais

Trata-se de uma obrigação prevista no art. 37 da LGPD, que determina que controladores e operadores mantenham um registro das operações de tratamento de dados pessoais realizadas. Essa atividade requer o mapeamento completo de todos os processos que envolvem o uso de dados pessoais. A Cash Bônus adota um modelo estruturado de registro que contempla as seguintes classiﬁcações:

I. Nome do serviço/processo de negócio;
II. Descrição do ﬂuxo de tratamento dos dados pessoais;

III. Fontes utilizadas para a obtenção dos dados pessoais;
IV. Base legal que justiﬁca o tratamento;
V. Finalidade do tratamento;
VI. Tipos de dados pessoais tratados;
VII. Indicação se há tratamento de dados sensíveis;
VIII. Indicação da presença de dados pessoais de crianças e adolescentes;
IX. Detalhamento sobre o compartilhamento de dados com terceiros;
X. Sistemas, sites e mecanismos pelos quais os dados transitam;
XI. Indicação da ocorrência de transferência internacional de dados pessoais;
XII. Indicação sobre o uso de tratamento automatizado ou inteligência artiﬁcial no processo.

Esse registro é fundamental para garantir a transparência, controle e responsabilização das operações de dados realizadas pela empresa e por seus parceiros.

5.5.2. Registro de operações baseadas legítimo interesse

Quando identiﬁcada operação com dados pessoais em que a base legal atribuída é o legítimo interesse, deverá ser elaborado relatório que justiﬁque a possibilidade e conformidade desta atribuição. Ele conterá:

I. Natureza dos dados;
II. Interesse Legítimo;
III. Interesse do Controlador ou Terceiro;
IV. Direitos e Liberdades Fundamentais.
V. Legítima Expectativa do Titular;
VI. Necessidade, transparência e registro das operações.

5.5.3. Relatório de impacto de dados pessoais (RIPD)

Documento que contém a descrição dos processos de tratamento de dados pessoais que podem gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais. Ele conterá no mínimo:

1) Nome do serviço/ processo do negócio;
2) Descrição dos tipos de dados coletados e/ou tratados;
3) A metodologia usada para o tratamento e para a garantia da segurança das informações;
4) A análise da Cash Bônus com relação a medidas, salvaguardas e mecanismos de mitigação de riscos adotados;
5) Riscos aos direitos e garantias fundamentais do titular. 5.5.4. Gestão do consentimento

Quando o consentimento for utilizado como base legal para o tratamento de dados pessoais, ele deverá representar uma manifestação livre, informada e inequívoca do titular, concordando com o uso de seus dados para a ﬁnalidade previamente informada pela Cash Bônus. Além disso, é responsabilidade da Cash Bônus oferecer meios simples, gratuitos e acessíveis para que o titular revogue seu consentimento a qualquer momento, sempre que desejar. Essa revogação não compromete a legalidade do tratamento realizado anteriormente, desde que feito com base no consentimento válido.

5.5.5. Treinamentos

A Cash Bônus fornecerá treinamentos periódicos aos seus colaboradores e terceiros sobre Privacidade e Proteção de Dados.

5.8. Direitos dos Titulares

A LGPD assegura uma série de direitos aos titulares de dados pessoais, e para garantir que esses direitos sejam exercidos com eﬁciência, qualidade e segurança, a Cash Bônus estabelecerá uma política especíﬁca de “Resposta ao Titular de Dados Pessoais”. Essa política será disponibilizada ao público e irá descrever os ﬂuxos de atendimento, os procedimentos para conferência da titularidade dos dados, os prazos aplicáveis, os canais de contato disponíveis, além de abordar outros aspectos relevantes para assegurar o cumprimento dos direitos previstos na legislação.

5.9. Coleta e uso dos dados pessoais

A coleta e o uso de dados pessoais são decisões estratégicas e exclusivas da Cash Bônus, sendo permitidas apenas a colaboradores devidamente autorizados. Esses colaboradores devem seguir regras claras sobre quais dados serão coletados, quem terá acesso a eles e como o tratamento será realizado. É obrigatório o envolvimento do encarregado de dados pessoais em qualquer etapa desses processos, garantindo conformidade com a legislação e com as diretrizes internas da empresa. Caso colaboradores, operadores ou terceiros não autorizados realizem a coleta de dados pessoais fora das hipóteses permitidas pela Cash Bônus, estarão sujeitos às medidas disciplinares cabíveis, sejam elas de natureza contratual ou legal.

5.10. Armazenamento de dados pessoais

A Cash Bônus adota uma Norma de Retenção e Descarte de Dados que deﬁne as diretrizes para o armazenamento adequado e seguro dos dados pessoais. Conforme essa norma, tanto a Cash Bônus quanto terceiros atuando em seu nome devem priorizar o armazenamento digital, desde que garantidas as medidas de segurança necessárias para proteger os dados. O uso de mídias físicas é permitido apenas de forma residual e excepcional, devendo também atender a todos os padrões de segurança estabelecidos pela empresa. Essa prática visa assegurar a integridade, conﬁdencialidade e disponibilidade dos dados durante todo o período de retenção.

5.11. Compartilhamento de dados pessoais

Para a prestação de serviços aos seus clientes e parceiros, a Cash Bônus poderá contar com o apoio de terceiros ao longo da jornada. Nesses casos, poderá haver o compartilhamento de dados pessoais com essas partes, como por exemplo com a empresa responsável pelo transporte dos cartões. Antes de qualquer operação desse tipo, é imprescindível que o encarregado de dados pessoais seja consultado, garantindo que o compartilhamento esteja em conformidade com a legislação vigente. Além disso, deverão ser deﬁnidas regras claras que assegurem os direitos dos titulares dos dados e garantam o cumprimento das normas legais e regulatórias aplicáveis.

5.12. Transferência Internacional de dados pessoais

Nas situações que demandem a transferência internacional de dados pessoais, é responsabilidade da Cash Bônus garantir que ela ocorra de acordo com os padrões estipulados pela LGPD e pelas regulamentações especíﬁcas que possam surgir.

5.13. Incidentes de Privacidade

Um incidente de privacidade é qualquer ocorrência que comprometa a Conﬁdencialidade, Integridade ou Disponibilidade de dados pessoais. A Cash Bônus reconhece que esse tipo de situação representa um risco relevante ao negócio e, por isso, adota medidas de monitoramento, controle e resposta para lidar com esses eventos de forma eﬁcaz. Além disso, a empresa mantém um plano de resposta a incidentes, e, sempre que necessário, comunicará os envolvidos, incluindo a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares dos dados, conforme exigido pela legislação.

5.14. Contratação de serviços e prestadores de tratamento de dados pessoais

A Cash Bônus prioriza a manutenção de relações com terceiros que estejam em conformidade com boas práticas de gestão da privacidade. Para garantir esse compromisso, serão realizados procedimentos de due diligence com o objetivo de avaliar a capacidade desses parceiros em proteger os dados pessoais de forma adequada. Além disso, deverão ser estabelecidas regras claras para o tratamento de dados, assegurando que todas as atividades estejam alinhadas à legislação vigente e às diretrizes internas da empresa.

6. DOCUMENTOS RELACIONADOS

I. Aviso de Privacidade
II. Termos de Uso

7. ATRIBUIÇÕES E RESPONSABILIDADES 7.1. Diretorias

I. Manter a rotina da Cash Bônus em conformidade com a legislação, regulamentação e regras internas de proteção de dados.
II. Aprovar as Políticas sobre o tema de Privacidade e Proteção de Dados.

7.2. Jurídico e Compliance

I. Revisar políticas de proteção de dados;
II. Prestar consultoria aos atores da Cash Bônus sobre proteção de dados;
III. Fiscalizar o cumprimento das regras internas de proteção de dados;
IV. Recepcionar solicitações de titulares de dados pessoais;
V. Recepcionar solicitações da Autoridade Nacional de Proteção de Dados;
VI. Elaborar e manter atualizado os relatórios de Proteção de Dados e Privacidade;
VII. Comunicar à alta administração, titulares e ANPD sobre incidentes, quando necessário, de dados pessoais.

O descumprimento das regras contidas neste documento estará sujeito a medidas disciplinares, de acordo com a política adotada pela Cash Bônus e a legislação aplicável.

9. EMISSÃO, ATUALIZAÇÃO E VERSIONAMENTO

Esta Política está em sua Versão 1.0 e poderá ser atualizado periodicamente. A última versão foi publicada em 02 de junho de 2025. Se algum item deste Aviso for considerado inaplicável pela ANPD, pelos nossos Termos de Uso, por legislação correlata ou por decisão judicial, as demais condições continuarão válidas e em pleno vigor.