Acordo de Processamento de Dados (DPA)

Data efetiva: Abril 13, 2026

‍

RESUMO EXECUTIVO. Este Acordo Global de Tratamento de Dados Pessoais estabelece como a Yuno trata Dados Pessoais na qualidade de Operador de Dados em nome de suas Contrapartes, incluindo tanto Estabelecimentos Comerciais quanto Parceiros Tecnológicos. Sob este marco unificado, a Yuno atua principalmente como Operador de Dados para seus Serviços de orquestração de pagamentos, enquanto as Contrapartes atuam como Controladores de Dados para suas respectivas finalidades de Tratamento. Os Parceiros Tecnológicos são controladores independentes e não são suboperadores da Yuno. Este Acordo se aplica em todas as jurisdições operacionais da Yuno e garante conformidade com as Leis de Proteção de Dados Aplicáveis em nível global. Deve ser lido em conjunto com a Política de Privacidade do Grupo Yuno, disponível em y.uno/privacy.

‍

ARTIGO 1: DEFINIÇÕES E ESCOPO

‍

1.1 Objeto e Aplicação. Este Acordo Global de Tratamento de Dados Pessoais (o "DPA" ou "Acordo") estabelece o marco para a proteção de dados pessoais entre a Yuno e suas Contrapartes comerciais, incluindo tanto Estabelecimentos Comerciais quanto Parceiros Tecnológicos (coletivamente, "Contrapartes"). Este DPA se aplica a todas as atividades de Tratamento de Dados Pessoais realizadas pela Yuno em conexão com os Serviços e incorpora os padrões estabelecidos na Política de Privacidade do Grupo Yuno (Versão 3.0 ou posterior, disponível em y.uno/privacy).

‍

1.2 Definições. Para os fins deste DPA, os seguintes termos terão os significados estabelecidos abaixo:

‍

Cláusulas Contratuais Padrão. Significa as cláusulas contratuais para a transferência de Dados Pessoais a operadores estabelecidos em países terceiros aprovadas pela autoridade supervisora pertinente, incluindo: Cláusulas Contratuais Padrão da UE Módulos 1, 2 e 3 (Decisão da Comissão 2021/914); o Acordo de Transferência Internacional de Dados do Reino Unido (IDTA) ou o Adendo do Reino Unido às CCP da UE; Cláusulas Contratuais Padrão da ANPD do Brasil (Resolução CD/ANPD Nº 19/2024); e Cláusulas Contratuais Padrão da SDAIA da Arábia Saudita (emitidas em setembro de 2024, módulos de Controlador para Operador e de Operador para Operador).

‍

Contraparte. Significa qualquer entidade comercial que celebre este DPA com a Yuno, incluindo tanto Estabelecimentos Comerciais quanto Parceiros Tecnológicos conforme definidos abaixo. As Contrapartes podem atuar como Controladores de Dados ou Controladores Conjuntos dependendo das circunstâncias fáticas das atividades de Tratamento.

‍

Controlador Conjunto. Significa dois ou mais controladores que determinam conjuntamente as finalidades e os meios do Tratamento, conforme definido no Artigo 26 do RGPD e disposições equivalentes em outras Leis de Proteção de Dados Aplicáveis. A determinação da controlaria conjunta considerará o grau de influência sobre as finalidades e meios do Tratamento e os processos de tomada de decisão compartilhados.

‍

Controlador de Dados. Significa a entidade que, sozinha ou em conjunto com outras, determina as finalidades e os meios do Tratamento de Dados Pessoais. Os papéis de Tratamento são determinados pelas circunstâncias fáticas e não pelos rótulos contratuais. O conceito equivalente se aplica independentemente da terminologia utilizada na legislação local (por exemplo, "Data Fiduciary" sob a Lei DPDP, "Responsável" sob a Lei 1581 da Colômbia, "Responsável" sob a LFPDPPP do México).

‍

Dados Pessoais. Significa qualquer informação relativa a uma pessoa natural identificada ou identificável, incluindo, mas não se limitando a: (i) dados de cartão de pagamento e credenciais de pagamento tokenizadas; (ii) informações transacionais e dados comerciais; (iii) dados de prevenção de fraude e avaliação de riscos; (iv) biometria de dispositivo e comportamental; (v) dados de geolocalização e endereço IP; (vi) dados de autenticação e verificação de identidade; (vii) dados inferidos com base em comportamentos ou características observados; e (viii) quaisquer outros dados tratados por meio da plataforma da Yuno que direta ou indiretamente identifiquem uma pessoa natural.

‍

Estabelecimento Comercial. Uma entidade comercial que utiliza os Serviços da Yuno para orquestrar fluxos de dados de pagamento com seus Parceiros Tecnológicos escolhidos. Os Estabelecimentos Comerciais geralmente atuam como Controladores de Dados para os Dados Pessoais dos Usuários Finais.

‍

Incidente de Segurança com Dados Pessoais. Significa uma violação de segurança que leve à destruição, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais, seja acidental ou ilícita.

‍

Leis de Proteção de Dados Aplicáveis. Significa todas as leis, regulamentos e diretrizes regulatórias internacionais, nacionais, federais, estaduais e locais aplicáveis em matéria de proteção de dados pessoais, privacidade e segurança, incluindo: o Regulamento Geral sobre a Proteção de Dados da União Europeia (RGPD UE, Regulamento 2016/679); o Regulamento Geral sobre a Proteção de Dados do Reino Unido e a Lei de Proteção de Dados 2018; a Lei Geral de Proteção de Dados do Brasil (LGPD, Lei 13.709/2018); a Lei 1581 de 2012 da Colômbia e o Decreto 1377 de 2013; a Lei Federal de Proteção de Dados Pessoais em Posse de Particulares do México (LFPDPPP); a Lei de Privacidade do Consumidor da Califórnia emendada pela Lei de Direitos de Privacidade da Califórnia (CCPA/CPRA); a Lei de Proteção de Dados Pessoais de Singapura 2012 (PDPA); a Lei de Proteção de Dados Pessoais do Reino da Arábia Saudita (PDPL, Decreto Real M/19 conforme alterado) e seu Regulamento de Execução; as Regulamentações de Proteção de Dados do Centro Financeiro do Qatar 2021; a Lei de Proteção de Dados Pessoais Digitais da Índia 2023 (Lei DPDP) e as Regras DPDP 2025; e qualquer outra legislação de privacidade aplicável nas jurisdições onde as partes operem.

‍

Operador de Dados. Significa a entidade que trata Dados Pessoais em nome e sob as instruções documentadas do Controlador de Dados. O conceito equivalente se aplica independentemente da terminologia local (por exemplo, "Intermediário de Dados" sob a PDPA de Singapura, "Encargado" sob a Lei 1581 da Colômbia, "Parte Processadora" sob a PDPL da Arábia Saudita).

‍

Parceiro Tecnológico. Significa um provedor de serviços — incluindo PSPs, provedores de prevenção de fraude, provedores de AML/KYC, adquirentes e métodos de pagamento alternativos — que os Estabelecimentos Comerciais acessam por meio da plataforma da Yuno para receber serviços da indústria de pagamentos. Os Parceiros Tecnológicos operam sob suas próprias licenças regulatórias, determinam suas próprias finalidades e meios de Tratamento, e atuam como Controladores de Dados independentes para os Dados Pessoais que recebem. Os Parceiros Tecnológicos não são contratados pela Yuno como seus suboperadores; ao contrário, o Estabelecimento Comercial seleciona e instrui o roteamento de dados para seus Parceiros Tecnológicos escolhidos por meio dos Serviços.

‍

Política de Privacidade do Grupo. Significa a Política de Privacidade do Grupo Yuno (Versão 3.0, fevereiro de 2026, ou a versão vigente naquele momento), disponível em y.uno/privacy, que descreve como a Yuno coleta, utiliza, retém e transfere Dados Pessoais em todas as jurisdições operacionais.

‍

Serviços. Significa a plataforma de orquestração de pagamentos baseada em nuvem da Yuno e qualquer tecnologia relacionada, incluindo painéis de controle, interfaces de programação de aplicativos (APIs), kits de desenvolvimento de software (SDKs) e o suporte profissional ou técnico que a Yuno fornece. Por meio dos Serviços, as Contrapartes podem acessar múltiplos métodos de pagamento, ferramentas de prevenção de fraude e outras soluções integradas da indústria de pagamentos por meio de uma única integração técnica. Os Serviços constituem infraestrutura tecnológica pura; a Yuno não detém, controla, transmite nem liquida fundos, não cadastra Usuários Finais em esquemas de pagamento, não emite moeda eletrônica e não opera sistemas de pagamento.

‍

Suboperador. Significa qualquer terceiro contratado pela Yuno para tratar Dados Pessoais em nome das Contrapartes em conexão com a prestação dos Serviços. Para fins de esclarecimento, os Parceiros Tecnológicos (incluindo PSPs, provedores de prevenção de fraude, adquirentes e métodos de pagamento alternativos) que recebem Dados Pessoais conforme as instruções de uma Contraparte e determinam suas próprias finalidades e meios de Tratamento são Controladores de Dados independentes e não Suboperadores, independentemente de a Yuno facilitar o roteamento técnico de dados para eles.

‍

Titular dos Dados. Significa uma pessoa natural identificada ou identificável cujos Dados Pessoais são tratados sob este DPA. O conceito equivalente se aplica independentemente da terminologia local (por exemplo, "Data Principal" sob a Lei DPDP da Índia, "Titular" sob a Lei 1581 da Colômbia e a LFPDPPP do México, "Consumidor" sob a CCPA/CPRA).

‍

Tratamento. Significa qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais, seja por meios automatizados ou manuais, incluindo coleta, registro, organização, estruturação, armazenamento, adaptação, alteração, consulta, uso, divulgação, disseminação, restrição, eliminação ou destruição.

‍

Usuário Final. Uma pessoa natural cliente de um Estabelecimento Comercial cujos Dados Pessoais são tratados por meio da plataforma da Yuno.

‍

Yuno. Significa, coletiva e individualmente, as seguintes entidades dentro do Grupo Yuno: Yuno Colombia S.A.S. (Colômbia), Yuno Tecnologías, S.A.P.I. de C.V. (México), Yuno Intermediação de Serviços Ltda. (Brasil), Yuno USA, LLC (Estados Unidos), Smart Routing PTE. Ltd. (Singapura), Yuno Payments Arabia (Reino da Arábia Saudita), Yuno Al Saqr (Qatar, registrada no QFC), Yuno Routing Solutions Pvt. Ltd. (Índia), juntamente com qualquer matriz, subsidiária, filial ou afiliada presente ou futura que (i) esteja sob controle comum com qualquer das entidades mencionadas e (ii) participe ou disponibilize os Serviços regidos por este Acordo. Salvo disposição expressa em contrário, cada referência a "Yuno" neste Acordo será considerada como incluindo o Grupo Yuno em sua totalidade. A entidade contratante da Yuno para uma determinada relação com Contraparte será a entidade especificada no Formulário de Pedido ou acordo comercial aplicável, ou, na ausência de tal especificação, a entidade na jurisdição onde a Contraparte estiver estabelecida.

‍

1.3 Escopo Territorial. Este DPA se aplica onde quer que a Yuno trate Dados Pessoais em conexão com os Serviços, independentemente de a Yuno manter uma entidade legal na jurisdição onde o Titular dos Dados estiver localizado. Quando a Yuno não mantiver uma entidade local, as obrigações deste DPA serão cumpridas pela entidade contratante da Yuno e, quando exigido pelas Leis de Proteção de Dados Aplicáveis, por meio da nomeação de representantes locais.

‍

ARTIGO 2: PAPÉIS E RESPONSABILIDADES NO TRATAMENTO DE DADOS

‍

2.1 Papel Principal como Operador. A Yuno atua principalmente como Operador de Dados para as atividades de Tratamento de Dados Pessoais realizadas em nome das Contrapartes. Essas Contrapartes geralmente atuam como Controladores de Dados, determinando as finalidades e os meios do Tratamento dos Dados Pessoais compartilhados com ou tratados pela Yuno.

‍

2.2 Relações com Estabelecimentos Comerciais. O Estabelecimento Comercial geralmente atua como Controlador de Dados para os Dados Pessoais dos Usuários Finais que compartilha com a Yuno para fins de orquestração de pagamentos. Nessa qualidade, o Estabelecimento Comercial determina as finalidades e os meios do Tratamento dos Dados Pessoais dos Usuários Finais e tem a responsabilidade principal pela conformidade com as Leis de Proteção de Dados Aplicáveis. A Yuno trata os Dados Pessoais dos Usuários Finais conforme as instruções do Estabelecimento Comercial seguindo este fluxo de dados:

‍

Usuário Final → Estabelecimento Comercial (Controlador) → Yuno (Operador) → Parceiros Tecnológicos (Controladores Independentes).

‍

2.3 Relações com Parceiros Tecnológicos. Os Parceiros Tecnológicos atuam como Controladores de Dados independentes para suas finalidades específicas de Tratamento (processamento de pagamentos, pontuação de fraude, verificação KYC, etc.). Quando um Estabelecimento Comercial instrui a Yuno a rotear dados para um Parceiro Tecnológico, a Yuno atua como Operador do Estabelecimento Comercial para a transmissão técnica desses dados; uma vez recebidos, o Parceiro Tecnológico trata os dados como Controlador independente sob suas próprias políticas de privacidade e obrigações regulatórias. Em nenhum momento um Parceiro Tecnológico se torna Suboperador da Yuno em virtude da relação de roteamento.

‍

Quando um Parceiro Tecnológico contrata separadamente a Yuno para tratar dados em nome do Parceiro Tecnológico (por exemplo, para análises ou relatórios), a Yuno atua como Operador de Dados sob as instruções documentadas desse Parceiro Tecnológico. Nesses casos, o fluxo de dados é:

‍

Parceiro Tecnológico (Controlador) → Yuno (Operador) → Tratamento/roteamento conforme instruído.

‍

2.4 Alocação de Responsabilidade. A Yuno assume responsabilidade apenas pela conformidade do Tratamento sob as instruções documentadas da Contraparte ou obrigações de controlaria conjunta quando aplicáveis. As Contrapartes permanecem como únicas responsáveis por: (i) autorizações dos titulares dos dados e bases legais de tratamento; (ii) conformidade com as obrigações de Controlador sob as Leis de Proteção de Dados Aplicáveis; e (iii) instruções legítimas de Tratamento à Yuno. A Yuno não será responsável por qualquer obrigação de Controlador que caiba à Contraparte, incluindo a obrigação de estabelecer uma base legal para o Tratamento antes de transferir Dados Pessoais à Yuno.

‍

2.5 Monitoramento da Conformidade da Contraparte. A Yuno poderá suspender os serviços de Tratamento para as Contrapartes que descumpram materialmente suas obrigações como Controlador, incluindo a falta de obtenção de autorizações adequadas dos titulares dos dados ou a manutenção de bases legais de tratamento, desde que a Yuno conceda aviso razoável e oportunidade de correção (não inferior a 10 dias úteis, exceto quando o Tratamento continuado colocaria a Yuno em violação das Leis de Proteção de Dados Aplicáveis, caso em que a Yuno poderá suspender imediatamente). A Contraparte reconhece que a suspensão sob esta seção é uma salvaguarda de conformidade e não uma violação das obrigações de serviço da Yuno.

‍

2.6 Tratamento Conjunto Baseado em SDK. Quando a Yuno fornecer implementações de SDK que permitam às Contrapartes integrar os algoritmos proprietários de decisão, detecção de fraude ou lógica de roteamento da Yuno em seus sistemas, ambas as partes poderão atuar como Controladores Conjuntos para atividades de Tratamento específicas se ambas as partes factualmente codeterminarem as finalidades e os meios do Tratamento. Os acordos de controlaria conjunta serão documentados em um Acordo de Controlaria Conjunta separado especificando as responsabilidades de cada parte para a conformidade com as Leis de Proteção de Dados Aplicáveis, incluindo a alocação de obrigações perante os Titulares dos Dados. Esta seção não se aplica às integrações padrão baseadas em API onde o Estabelecimento Comercial simplesmente transmite instruções e a Yuno as executa como Operador.

‍

2.7 Limitação do Escopo Regulatório. As obrigações da Yuno sob este Acordo estão estritamente limitadas à prestação dos Serviços de orquestração de pagamentos. A Yuno é um provedor de serviços tecnológicos e não detém, controla, liquida nem transmite fundos por si mesma; não presta serviços regulados de processamento de pagamentos nem atividades de serviços financeiros sujeitas a licenciamento dirigidas a Usuários Finais; e não opera sistemas de pagamento. As receitas dos Serviços são geradas por meio de tarifas de software como serviço (SaaS) e API. A Yuno não será responsável por, nem assumirá qualquer responsabilidade decorrente de: (a) atividades de marketing, captação de clientes ou conformidade específica de produtos da Contraparte; (b) obrigações fiscais, contábeis ou de reporte financeiro da Contraparte; (c) determinações independentes de AML/KYC da Contraparte, salvo quando a Yuno seja expressamente contratada sob um Formulário de Pedido aplicável exclusivamente para os serviços nele detalhados; (d) legalidade dos produtos ou serviços da Contraparte; ou (e) qualquer outra atividade de tratamento fora do escopo técnico dos Serviços.

‍

ARTIGO 3: OBRIGAÇÕES E INSTRUÇÕES DE TRATAMENTO

‍

3.1 Obrigações da Contraparte como Controlador de Dados. Cada Contraparte, em sua qualidade de Controlador de Dados, declara, garante e se compromete a que todo Tratamento de Dados Pessoais, incluindo as transferências à Yuno, seja realizado em conformidade com as Leis de Proteção de Dados Aplicáveis. Cada Contraparte obterá todos os consentimentos necessários dos Titulares dos Dados e fornecerá avisos de privacidade adequados descrevendo as atividades de Tratamento e as transferências à Yuno antes de compartilhar Dados Pessoais.

‍

3.2 Obrigações de Tratamento da Yuno. A Yuno tratará os Dados Pessoais apenas em conformidade com as instruções documentadas da respectiva Contraparte, exceto quando exigido por lei aplicável. A Yuno aplicará o princípio da minimização de dados, tratando apenas os Dados Pessoais que sejam adequados, pertinentes e limitados ao necessário para as finalidades especificadas. A Yuno informará imediatamente a Contraparte se as instruções violarem as Leis de Proteção de Dados Aplicáveis e suspenderá o Tratamento não conforme até que instruções legítimas sejam recebidas. A Yuno não tratará Dados Pessoais para finalidades distintas das especificadas pela Contraparte.

‍

3.3 Verificação Reforçada da Conformidade de Instruções. A Yuno informará oportunamente a Contraparte se as instruções de Tratamento violarem as Leis de Proteção de Dados Aplicáveis e deverá: (a) suspender o Tratamento não conforme dentro de duas (2) horas da identificação da violação; (b) documentar a natureza da violação legal e as ações de suspensão tomadas; (c) propor abordagens de Tratamento legítimas alternativas quando tecnicamente viável; (d) manter a suspensão até que a Contraparte forneça instruções legítimas emendadas; e (e) não assumir responsabilidade por impactos comerciais nem pela violação legal subjacente resultantes da suspensão legítima. A Contraparte reconhece que a suspensão do Tratamento não conforme pela Yuno é uma salvaguarda de conformidade, não uma violação das obrigações de serviço.

‍

3.4 Coordenação com Acordos Comerciais. Quando as instruções de Tratamento forem fornecidas por meio de ordens de compra ou acordos comerciais, tais instruções deverão estar em conformidade com este DPA. Qualquer instrução que conflite com os requisitos de proteção de dados deste DPA será considerada inválida e não será implementada pela Yuno.

‍

3.5 Validação de Implementação. A Yuno mantém controles técnicos para prevenir o Tratamento que exceda as instruções da Contraparte ou viole este DPA, incluindo monitoramento automatizado das atividades de Tratamento de dados e geração de relatórios de exceções.

‍

3.6 Registros de Tratamento. Ambas as partes manterão registros abrangentes das atividades de Tratamento conforme exigido pelas Leis de Proteção de Dados Aplicáveis, incluindo as categorias de Dados Pessoais tratados, as finalidades do Tratamento, os destinatários dos Dados Pessoais e os períodos de retenção.

‍

ARTIGO 4: MEDIDAS DE SEGURANÇA E SALVAGUARDAS

‍

4.1 Medidas Técnicas e Organizacionais. A Yuno implementa e mantém medidas de segurança técnicas e organizacionais abrangentes para proteger os Dados Pessoais contra destruição, perda, alteração, divulgação não autorizada ou acesso, seja acidental ou ilícita. Essas medidas incluem: criptografia AES-256 de Dados Pessoais em repouso; criptografia TLS 1.3 para dados em trânsito; serviços de gerenciamento de chaves do provedor de nuvem com suporte de módulos de segurança de hardware (HSM) (incluindo AWS KMS e GCP Cloud KMS, conforme aplicável à região de hospedagem); controles de acesso baseados em funções com autenticação multifator; segregação de redes e arquitetura de confiança zero; monitoramento de segurança 24/7 com integração SIEM; avaliações regulares de vulnerabilidades e testes de penetração; e avaliação contínua de padrões criptográficos emergentes.

‍

4.2 Padrões e Certificações de Segurança. A Yuno mantém certificações de segurança reconhecidas pela indústria incluindo: ISO 27001 para Gestão de Segurança da Informação; ISO 27701 para Gestão de Informações de Privacidade; PCI DSS Nível 1 (versão vigente) para Segurança de Dados da Indústria de Cartões de Pagamento; e SOC 2 Tipo II para Controles de Organizações de Serviços. Os detalhes atuais de certificação estão disponíveis no Trust Center da Yuno em security.y.uno. A Yuno notificará as Contrapartes de qualquer mudança material no status de certificação dentro de trinta (30) dias.

‍

4.3 Obrigações de Segurança da Contraparte. Cada Contraparte implementará medidas técnicas e organizacionais apropriadas para garantir a segurança dos Dados Pessoais sob seu controle, levando em conta o estado da arte, os custos de implementação, e a natureza, escopo, contexto e finalidades do Tratamento.

‍

4.4 Conformidade PCI DSS da Contraparte. Se uma Contraparte processar, manusear, armazenar ou transmitir Dados de Portadores de Cartão conforme definido pelo PCI DSS, recebidos de ou em nome da Yuno, ou de qualquer outra forma em conexão com os Serviços, a Contraparte declara e garante que está e permanecerá em conformidade com a versão vigente do PCI DSS. Mediante solicitação da Yuno, a Contraparte fornecerá cópia de seu Atestado de Conformidade (AoC) válido ou outra documentação de validação PCI DSS aplicável. A Contraparte fornecerá à Yuno os AoCs renovados anualmente, dentro de trinta (30) dias de sua emissão, e notificará prontamente a Yuno por escrito de qualquer mudança material em seu status de conformidade PCI DSS ou qualquer incidente de segurança que possa afetar os Dados de Portadores de Cartão tratados em conexão com este DPA.

‍

4.5 Infraestrutura em Nuvem e Localização de Dados. A Yuno opera uma infraestrutura multinuvem, hospedada principalmente na Amazon Web Services (AWS), com o Google Cloud Platform (GCP) implantado onde exigido por normas jurisdicionais de localização de dados (incluindo a região de Dammam na KSA para as operações na Arábia Saudita). As Contrapartes podem solicitar informações sobre a localização de hospedagem aplicável aos seus dados por meio dos canais descritos no Artigo 14.

‍

ARTIGO 5: SUBTRATAMENTO E DIVULGAÇÃO A TERCEIROS

‍

5.1 Autorização e Notificação de Suboperadores. A Yuno poderá contratar Suboperadores para auxiliar na prestação dos Serviços, desde que tal contratação esteja em conformidade com este DPA e as Leis de Proteção de Dados Aplicáveis. A Yuno manterá uma lista atualizada de Suboperadores, disponível mediante solicitação da Contraparte, e notificará as Contrapartes de qualquer adição ou substituição pretendida de Suboperadores com pelo menos dez (10) dias úteis de antecedência antes da contratação.

‍

5.2 Objeção ao Suboperador. Se uma Contraparte se opuser a um novo Suboperador por motivos razoáveis relacionados à proteção de dados dentro do período de notificação, as partes trabalharão de boa-fé para resolver a objeção. Se a objeção não puder ser razoavelmente resolvida, a Contraparte poderá rescindir os Serviços relevantes afetados pela contratação do Suboperador sem penalidade.

‍

5.3 Acordos com Suboperadores. Antes de contratar qualquer Suboperador, a Yuno celebrará um acordo escrito impondo obrigações de proteção de dados equivalentes às estabelecidas neste DPA. A Yuno permanece plenamente responsável pelo desempenho de seus Suboperadores e por quaisquer violações das obrigações de proteção de dados decorrentes das atividades do Suboperador.

‍

5.4 Os Parceiros Tecnológicos Não São Suboperadores. Para fins de esclarecimento, os Parceiros Tecnológicos (incluindo PSPs, provedores de prevenção de fraude, adquirentes, gateways e métodos de pagamento alternativos) para os quais os dados são roteados conforme as instruções de uma Contraparte são Controladores de Dados independentes. Não são Suboperadores da Yuno, e a Yuno não assume responsabilidade por suas atividades de Tratamento ou conformidade. A Contraparte é responsável por assegurar que seus Parceiros Tecnológicos escolhidos tratem os Dados Pessoais em conformidade com as Leis de Proteção de Dados Aplicáveis.

‍

5.5 Divulgação a Terceiros. Nenhuma das partes divulgará Dados Pessoais a terceiros exceto quando necessário para as finalidades estabelecidas neste DPA, quando exigido por lei, ou com o consentimento prévio por escrito da outra parte. Qualquer divulgação legalmente obrigatória será limitada ao mínimo necessário e a parte divulgadora fornecerá aviso oportuno salvo quando legalmente proibido.

‍

ARTIGO 6: TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

‍

6.1 Mecanismos de Transferência. As transferências internacionais de Dados Pessoais serão realizadas apenas com as salvaguardas apropriadas conforme exigido pelas Leis de Proteção de Dados Aplicáveis. A Yuno implementará o mecanismo de transferência apropriado para cada corredor de dados, que poderá incluir: Cláusulas Contratuais Padrão da UE (Decisão da Comissão 2021/914); o Acordo de Transferência Internacional de Dados do Reino Unido (IDTA) ou o Adendo do Reino Unido às CCP da UE; Cláusulas Contratuais Padrão da ANPD do Brasil (Resolução CD/ANPD Nº 19/2024); Cláusulas Contratuais Padrão da SDAIA da Arábia Saudita (módulos de Controlador para Operador e de Operador para Operador, emitidas em setembro de 2024); decisões de adequação quando disponíveis; Regras Corporativas Vinculantes (quando implementadas); ou outros mecanismos de transferência legítimos reconhecidos pela autoridade supervisora pertinente.

‍

6.2 Avaliações de Impacto de Transferência. Para transferências a jurisdições sem decisões de adequação, a Yuno realizará avaliações de impacto de transferência e implementará medidas suplementares conforme necessário para garantir uma proteção de Dados Pessoais substancialmente equivalente à exigida na jurisdição de origem.

‍

6.3 Localização de Dados. Certas jurisdições impõem requisitos de localização de dados. A Yuno cumpre tais requisitos por meio de arranjos de infraestrutura apropriados, incluindo hospedagem local em nuvem quando obrigatório. As jurisdições com obrigações atuais de localização de dados relevantes para as operações da Yuno incluem o Reino da Arábia Saudita (requisitos de SAMA e PDPL, atendidos pelo GCP Dammam) e a Índia (localização de dados de pagamento do RBI, atendida por arranjos de hospedagem local conforme aplicável). O Adendo Jurisdicional aplicável fornece maiores detalhes.

‍

6.4 Solicitações de Acesso Governamental. A Yuno avaliará qualquer solicitação governamental ou regulatória de acesso a Dados Pessoais. Quando legalmente permitido e viável, a Yuno fornecerá aviso prévio às Contrapartes afetadas antes da divulgação. A Yuno se compromete a contestar solicitações excessivamente amplas, ilícitas ou de outra forma inapropriadas de acesso a Dados Pessoais na máxima extensão permitida por lei, e a limitar as divulgações ao mínimo absoluto legalmente exigido. A Yuno manterá registros de tais solicitações e, quando permitido, fornecerá relatórios de transparência às Contrapartes.

‍

ARTIGO 7: DIREITOS DOS TITULARES DOS DADOS

‍

7.1 Facilitação de Direitos. A Yuno auxiliará as Contrapartes no atendimento a solicitações de Titulares dos Dados de acesso, retificação, eliminação, portabilidade, restrição e oposição — e seus equivalentes na legislação local — conforme exigido pelas Leis de Proteção de Dados Aplicáveis. Tal assistência incluirá o fornecimento dos Dados Pessoais e informações de Tratamento relevantes por meio da API da Yuno, um portal seguro ou canais de comunicação definidos dentro de cinco (5) dias úteis da solicitação verificada da Contraparte, para permitir que a Contraparte responda dentro do prazo legal aplicável.

‍

7.2 Solicitações Diretas à Yuno. Quando a Yuno receber solicitações de Titulares dos Dados diretamente, encaminhará tais solicitações ao contato de privacidade designado da Contraparte correspondente sem atraso injustificado, e em nenhum caso mais tarde do que dois (2) dias úteis, a menos que legalmente obrigada a responder diretamente. A Yuno não responderá a solicitações diretas sem autorização da Contraparte exceto quando exigido por lei, e nesses casos informará a Contraparte da resposta a menos que legalmente proibido.

‍

7.3 Tomada de Decisão Automatizada. Quando a Yuno tratar Dados Pessoais envolvendo tomada de decisão automatizada com efeitos significativos sobre os Titulares dos Dados, implementará medidas apropriadas para salvaguardar os direitos dos Titulares, incluindo fornecer informações significativas sobre a lógica envolvida e oferecer oportunidades de revisão humana quando exigido pelas Leis de Proteção de Dados Aplicáveis.

‍

ARTIGO 8: GESTÃO DE INCIDENTES DE SEGURANÇA COM DADOS PESSOAIS

‍

8.1 Marco de Notificação de Incidentes por Jurisdição.

‍

‍

8.2 Documentação e Investigação de Incidentes. A Yuno documentará todos os Incidentes de Segurança com Dados Pessoais e cooperará plenamente com as Contrapartes nas investigações de incidentes. A documentação incluirá os fatos relativos ao incidente, seus efeitos e as ações corretivas tomadas. A Yuno preservará as evidências e fornecerá acesso a informações forenses conforme razoavelmente solicitado.

‍

8.3 Coordenação Regulatória. As Contrapartes mantêm a responsabilidade principal pelas notificações regulatórias, com a Yuno fornecendo: documentação abrangente do incidente para as comunicações regulatórias; disponibilidade de especialistas técnicos para consultas das autoridades; documentação de remediação e eficácia; e cooperação contínua com as investigações regulatórias.

‍

ARTIGO 9: RETENÇÃO DE DADOS E ELIMINAÇÃO SEGURA

‍

9.1 Períodos de Retenção. Os Dados Pessoais serão retidos apenas pelo tempo necessário para cumprir as finalidades para as quais foram coletados ou conforme exigido por obrigações legais, regulatórias ou contratuais aplicáveis. A Yuno eliminará ou devolverá os Dados Pessoais ao término do acordo subjacente com a Contraparte, a menos que a retenção seja exigida por lei.

‍

9.2 Procedimentos de Eliminação. Mediante solicitação da Contraparte ou ao término do acordo, a Yuno eliminará de forma segura ou devolverá todos os Dados Pessoais e destruirá as cópias existentes, a menos que o armazenamento seja exigido por lei aplicável. A eliminação será realizada utilizando métodos de eliminação segura padrão da indústria, e a Yuno fornecerá certificação escrita da eliminação mediante solicitação.

‍

9.3 Requisitos de Retenção Legal. Sem prejuízo das obrigações gerais de eliminação, ambas as partes poderão reter Dados Pessoais conforme necessário para cumprir com requisitos de preservação legal, litígios pendentes ou investigações regulatórias. Tal retenção será limitada ao mínimo necessário para a finalidade legal especificada.

‍

9.4 Análises Agregadas. A Yuno poderá reter e utilizar padrões de transações agregados e anonimizados e métricas de desempenho para: (i) otimização da plataforma e aprimoramento da prevenção de fraude; (ii) benchmarking industrial e pesquisa de mercado; (iii) relatórios regulatórios e análises de conformidade; e (iv) avaliação do desempenho dos Parceiros Tecnológicos. Tais dados agregados não identificarão Contrapartes ou Usuários Finais específicos e poderão ser retidos indefinidamente. Esta disposição sobreviverá ao término deste DPA.

‍

ARTIGO 10: DIREITOS DE AUDITORIA E MONITORAMENTO DE CONFORMIDADE

‍

10.1 Autorização de Auditoria. As Contrapartes poderão realizar auditorias razoáveis das atividades de Tratamento de dados da Yuno para verificar a conformidade com este DPA e as Leis de Proteção de Dados Aplicáveis. Tais auditorias serão realizadas principalmente por meio da revisão das certificações de terceiros mais recentes da Yuno (por exemplo, relatórios ISO 27001, PCI DSS, SOC 2 Tipo II) e resumos de relatórios de auditoria, os quais a Yuno disponibilizará mediante solicitação razoável. As auditorias diretas no local, seja pela Contraparte ou por um auditor independente qualificado, serão limitadas a uma vez por ano, salvo se surgirem preocupações materiais de conformidade ou um Incidente de Segurança com Dados Pessoais, e requererão aviso prévio por escrito de trinta (30) dias.

‍

10.2 Cooperação em Auditorias. A Yuno fornecerá cooperação razoável com as auditorias autorizadas, incluindo acesso a documentação relevante, registros de sistemas e pessoal relacionado às atividades de Tratamento de dados. As auditorias serão realizadas durante o horário comercial, de maneira que minimize a interrupção das operações da Yuno, e com estrita observância da confidencialidade das informações proprietárias da Yuno, propriedade intelectual e dados de outros clientes.

‍

10.3 Achados e Remediação de Auditorias. Quaisquer deficiências materiais de conformidade identificadas por meio de auditorias serão tratadas prontamente por meio de planos de remediação mutuamente acordados. Os custos associados às auditorias serão suportados pela parte solicitante, a menos que um descumprimento material seja identificado, caso em que a Yuno suportará os custos razoáveis de auditoria.

‍

ARTIGO 11: ALOCAÇÃO DE RESPONSABILIDADE E INDENIZAÇÃO

‍

11.1 Responsabilidade Mútua. Cada parte será responsável pelos danos decorrentes de suas próprias violações às Leis de Proteção de Dados Aplicáveis ou descumprimentos deste DPA. Nenhuma das partes será responsável pelos danos decorrentes das violações da outra parte ou do Tratamento realizado em conformidade com as instruções legítimas da outra parte.

‍

11.2 Indenização. Cada parte indenizará e isentará a outra parte de reclamações, danos e despesas decorrentes de suas próprias violações às obrigações de proteção de dados sob este DPA. A Contraparte indenizará e isentará a Yuno de quaisquer reclamações, danos ou despesas decorrentes do Tratamento de Dados Pessoais pela Yuno em conformidade com as instruções legítimas da Contraparte, quando tais reclamações decorram do descumprimento pela Contraparte de suas obrigações como Controlador de Dados, incluindo a falta de obtenção de autorizações adequadas dos Titulares dos Dados ou o estabelecimento de uma base legal de Tratamento.

‍

11.3 Limitação de Responsabilidade. Nada neste DPA limitará a responsabilidade de qualquer das partes por atos fraudulentos, conduta dolosa ou violações às leis de proteção de dados. Para outras reclamações, a responsabilidade será limitada conforme estabelecido no acordo subjacente com a Contraparte.

‍

ARTIGO 12: VIGÊNCIA, RESCISÃO E TRANSIÇÃO

‍

12.1 Vigência. Este DPA começará a vigorar a partir da celebração do acordo subjacente com a Contraparte e permanecerá vigente durante a duração desse acordo ou até que seja rescindido em conformidade com seus termos.

‍

12.2 Rescisão por Justa Causa. Qualquer das partes poderá rescindir este DPA imediatamente mediante aviso por escrito se a outra parte descumprir materialmente suas obrigações de proteção de dados e não sanar tal descumprimento dentro de trinta (30) dias do aviso por escrito.

‍

12.3 Efeitos da Rescisão. Mediante rescisão, cada parte devolverá ou destruirá de forma segura os Dados Pessoais recebidos da outra parte, sujeito aos requisitos legais de retenção. As disposições relativas a confidencialidade, responsabilidade, indenização e resolução de disputas sobreviverão à rescisão.

‍

ARTIGO 13: LEI APLICÁVEL E RESOLUÇÃO DE DISPUTAS

‍

13.1 Lei Aplicável. Este DPA será regido pelas leis da jurisdição especificada no acordo subjacente com a Contraparte, desde que as obrigações de proteção de dados sejam interpretadas em conformidade com as Leis de Proteção de Dados Aplicáveis nas jurisdições relevantes onde os Dados Pessoais são tratados.

‍

13.2 Resolução de Disputas. As disputas decorrentes deste DPA serão resolvidas por meio dos mecanismos de resolução de disputas especificados no acordo subjacente. As disputas de proteção de dados envolvendo execução regulatória serão tratadas em coordenação com as autoridades supervisoras pertinentes.

‍

13.3 Jurisdição e Execução. As partes se submetem à jurisdição dos tribunais nas localidades especificadas no acordo subjacente para a execução deste DPA, reconhecendo ao mesmo tempo a autoridade das autoridades supervisoras de proteção de dados em suas respectivas jurisdições.

‍

ARTIGO 14: ALTERAÇÕES, EMENDAS E DISPOSIÇÕES FINAIS

‍

14.1 Processo de Emenda. Este DPA somente poderá ser alterado por meio de acordo escrito assinado pelos representantes autorizados de ambas as partes, exceto para atualizações necessárias à manutenção da conformidade com mudanças nas Leis de Proteção de Dados Aplicáveis.

‍

14.2 Atualizações Regulatórias. A Yuno poderá atualizar este DPA conforme necessário para cumprir com mudanças nas Leis de Proteção de Dados Aplicáveis, desde que tais atualizações não reduzam materialmente o nível de proteção concedido aos Dados Pessoais. As Contrapartes serão notificadas de atualizações materiais com pelo menos trinta (30) dias de antecedência.

‍

14.3 Termos Conflitantes. Em caso de conflito entre este DPA e o acordo comercial subjacente, os termos deste DPA prevalecerão em relação às questões de proteção de Dados Pessoais. Em caso de conflito entre o corpo principal deste DPA e um Adendo Jurisdicional, o Adendo prevalecerá para os requisitos específicos da jurisdição.

‍

14.4 Divisibilidade. Se qualquer disposição deste DPA for considerada inválida, ilegal ou inexequível, as demais disposições continuarão em pleno vigor e efeito.

‍

14.5 Acordo Completo de Proteção de Dados. Este DPA, juntamente com os Adendos Jurisdicionais aplicáveis e a Política de Privacidade do Grupo, constitui o acordo completo entre as partes com respeito à proteção de Dados Pessoais em conexão com os Serviços.

‍

ARTIGO 15: AUTORIDADE DE TRATAMENTO DE EMERGÊNCIA

‍

15.1 Exceção para Prevenção de Fraude. A Yuno poderá, sem o consentimento prévio da Contraparte, suspender, redirecionar ou modificar temporariamente o Tratamento quando razoavelmente necessário para mitigar: (a) suspeita de lavagem de dinheiro ou financiamento do terrorismo; (b) fraude com cartão de pagamento excedendo os limites dos Esquemas de Cartão; (c) violações de sanções; ou (d) abuso da plataforma ameaçando a integridade ou segurança dos Serviços. A Yuno notificará a Contraparte afetada tão logo quanto possível, e em qualquer caso dentro de vinte e quatro (24) horas, de qualquer ação tomada sob esta seção.

‍

15.2 Resposta a Incidentes de Cibersegurança. Durante um incidente de cibersegurança real ou suspeito, a Yuno poderá implementar medidas técnicas ou organizacionais de emergência, incluindo desvio de tráfego, autenticação adicional, restrições geográficas ou limitações temporárias do serviço. Tais medidas serão proporcionais à ameaça e serão revertidas tão logo o incidente seja resolvido.

‍

EXECUÇÃO
Este Acordo de Tratamento de Dados é executado pelos representantes autorizados das partes com efeitos a partir da data de execução do Acordo.

‍

‍

Os seguintes adendos abordam requisitos específicos para o Tratamento de Dados Pessoais em diversas jurisdições e formam parte integrante deste DPA quando aplicáveis. O adendo aplicável é determinado pela jurisdição onde os Dados Pessoais se originam ou são tratados, conforme identificado pela natureza de cada relação com a Contraparte e o Formulário de Pedido aplicável.

‍

• Adendo A: Serviços de Banking Connectivity
• Adendo B: Requisitos da LGPD do Brasil
• Adendo C: Requisitos da Lei 1581 da Colômbia
• Adendo D: Requisitos da LFPDPPP do México
• Adendo E: Requisitos da PDPA de Singapura
• Adendo F: Requisitos de CCPA/CPRA e Privacidade Multiestadual dos Estados Unidos
• Adendo G: Requisitos da PDPL do Reino da Arábia Saudita
• Adendo H: Requisitos de Proteção de Dados do Qatar (QFC)
• Adendo I: Requisitos da Lei DPDP da Índia
• Adendo J: Requisitos do RGPD da União Europeia e do Reino Unido

‍

ADENDO A: SERVIÇOS DE BANKING CONNECTIVITY

‍

Este Adendo forma parte integrante do Acordo Global de Tratamento de Dados Pessoais da Yuno ("DPA") e se aplica quando o Formulário de Pedido correspondente ativa os Serviços de Banking Connectivity. Em caso de conflito entre este Adendo e o corpo principal do DPA, este Adendo prevalece em tudo que se relacione aos Serviços de Banking Connectivity. Os Adendos Jurisdicionais B a J se aplicam de forma concorrente e não são afastados por este Adendo.

‍

A.1 Definições.

‍

"Serviços de Banking Connectivity" significa a infraestrutura tecnológica fornecida pela Yuno que viabiliza a transmissão de dados via API entre os sistemas do Estabelecimento Comercial e os Bank Partners contratados diretamente pelo Estabelecimento Comercial. Os Serviços de Banking Connectivity são exclusivamente serviços de integração de software. Não constituem serviços bancários, de pagamento, financeiros nem de moeda eletrônica de qualquer natureza.

‍

"Bank Partner" significa uma instituição financeira ou provedor de serviços de pagamento licenciado com o qual o Estabelecimento Comercial contratou diretamente a prestação de serviços bancários ou financeiros, incluindo abertura de contas, custódia de fundos e transferências de fundos.

‍

"Dados Pessoais de Banking Connectivity" significa qualquer Dado Pessoal, incluindo Dados Pessoais de Categoria Especial, transmitido por meio da infraestrutura de Banking Connectivity da Yuno conforme instruções do Estabelecimento Comercial, incluindo dados de verificação de identidade, documentos de identificação emitidos por autoridades governamentais, dados biométricos, documentação de comprovante de endereço e dados sobre origem de fundos relacionados a Usuários Finais.

‍

"Instrução de Roteamento ao Bank Partner" significa a designação explícita determinada pelo Estabelecimento Comercial em cada chamada de API, por meio da qual se especifica qual Bank Partner receberá os Dados Pessoais de Banking Connectivity. A Yuno não seleciona nem atribui Bank Partners de forma autônoma; todo o roteamento é determinado exclusivamente pelas instruções do Estabelecimento Comercial.

‍

A.2 Caracterização do Serviço. Os Serviços de Banking Connectivity constituem infraestrutura tecnológica pura. A Yuno opera como um relay de API que transmite dados entre os sistemas do Estabelecimento Comercial e o Bank Partner designado. A Yuno não presta nem participa de qualquer serviço bancário, de abertura de contas, custódia de fundos ou transferência de fundos. A Yuno não avalia, analisa nem classifica os Usuários Finais para fins de conformidade com KYC, AML ou sanções; não toma nem participa de decisões sobre a aceitação ou rejeição do onboarding de Usuários Finais; e não aplica nem transmite classificações de risco, designações de PEP nem determinações de conformidade de qualquer natureza. Todas essas funções são de responsabilidade exclusiva do Estabelecimento Comercial e de seus Bank Partners. Os Serviços de Banking Connectivity são mantidos como um módulo de serviço logicamente independente da plataforma de orquestração de pagamentos da Yuno. Uma determinação regulatória em qualquer jurisdicção no sentido de que os Serviços de Banking Connectivity constituem uma atividade regulada não afetará a caracterização regulatória dos Serviços de orquestração de pagamentos da Yuno.

‍

A.3 Papéis no Tratamento de Dados. O Estabelecimento Comercial atua como Controlador de Dados em relação a todos os Dados Pessoais de Banking Connectivity, incluindo Dados Pessoais de Categoria Especial. O Estabelecimento Comercial determina as finalidades e os meios do Tratamento e assume a responsabilidade exclusiva pelo cumprimento de todas as obrigações como Controlador de Dados sob as Leis de Proteção de Dados Aplicáveis em cada jurisdicção onde opera.

‍

A Yuno atua como Operador de Dados em modo passagem, limitando-se a: (i) receber os Dados Pessoais de Banking Connectivity enviados pelo Estabelecimento Comercial; (ii) validar o esquema da solicitação de API por conformidade técnica; (iii) rotear o payload de dados ao Bank Partner designado na Instrução de Roteamento ao Bank Partner do Estabelecimento Comercial; e (iv) retornar a resposta do Bank Partner ao Estabelecimento Comercial. A Yuno não exerce qualquer julgamento ou discricionariedade sobre o conteúdo, as finalidades nem o resultado de tal Tratamento.

‍

Os Bank Partners recebem os Dados Pessoais de Banking Connectivity como Controladores de Dados independentes. Não são Suboperadores da Yuno. A relação jurídica e comercial que rege a prestação de serviços bancários — incluindo a conformidade com KYC, abertura de contas, custódia de fundos e transferências de fundos — é direta entre o Estabelecimento Comercial e cada Bank Partner. A Yuno não é parte dessa relação.

‍

A.4 Garantias do Estabelecimento Comercial. O Estabelecimento Comercial declara e garante, de forma contínua, que antes de transmitir qualquer Dado Pessoal de Banking Connectivity à Yuno:
(a) estabeleceu uma base legal para todas as atividades de Tratamento sob as Leis de Proteção de Dados Aplicáveis em cada jurisdicção onde os Usuários Finais estão localizados, incluindo a transmissão transfronteiriça aos Bank Partners;
(b) obteve todos os consentimentos, autorizações e aprovações exigidos para a coleta e transmissão dos Dados Pessoais de Banking Connectivity, incluindo, quando aplicável, o consentimento explícito para Dados Pessoais de Categoria Especial nos termos do Artigo 9 do RGPD e disposições equivalentes;
(c) forneceu aos Usuários Finais avisos de privacidade adequados que identificam os Bank Partners como destinatários independentes de dados e descrevem as transferências transfronteiriças que correspondam;
(d) confirmou que a transmissão ao Bank Partner designado é juridicamente válida na jurisdicção de tal Bank Partner; e
(e) realizou qualquer Relatório de Impacto à Proteção de Dados Pessoais exigido antes de transmitir Dados Pessoais de Categoria Especial.

‍

O Estabelecimento Comercial deverá indenizar e manter a Yuno indene de quaisquer reclamações, danos, multas ou despesas decorrentes do descumprimento por parte do Estabelecimento Comercial das garantias contidas neste Artigo A.4.

‍

A.5 Obrigações Arquiteturais da Yuno. A Yuno não armazenará, reterá nem arquivará documentos de identidade, dados biométricos nem dados de reconhecimento facial transmitidos por meio dos Serviços de Banking Connectivity. Tais dados serão tratados exclusivamente em memória durante a operação de roteamento via API e não serão gravados em qualquer meio de armazenamento persistente dentro da infraestrutura da Yuno. A Yuno poderá reter metadados de transação — identificadores, marcas de tempo e registros de roteamento anonimizados — exclusivamente para fins de prestação do serviço, auditoria e resolução de disputas. A Yuno não combinará os Dados Pessoais de Banking Connectivity com outros Dados Pessoais que possua, não os utilizará para treinar nem melhorar qualquer modelo, nem os divulgará a qualquer parte que não seja o Bank Partner designado na Instrução de Roteamento ao Bank Partner do Estabelecimento Comercial.

‍

A.6 Responsabilidade e Firewall Regulatório. A responsabilidade da Yuno em relação aos Serviços de Banking Connectivity está limitada aos danos diretos causados pelo descumprimento da Yuno na transmissão de dados conforme suas especificações de API documentadas e as obrigações deste Adendo. A Yuno não terá qualquer responsabilidade por atos ou omissões de um Bank Partner, pela disponibilidade ou condições de qualquer serviço bancário, por perdas de Usuários Finais decorrentes das operações do Estabelecimento Comercial ou do Bank Partner, nem por sanções regulatórias impostas ao Estabelecimento Comercial ou a qualquer Bank Partner. A responsabilidade agregada da Yuno por todas as reclamações sob este Adendo não excederá o total de honorários pagos pelo Estabelecimento Comercial pelos Serviços de Banking Connectivity durante os seis (6) meses anteriores ao evento que deu origem à reclamação. Se qualquer autoridade governamental ou regulatória sustentar que os Serviços de Banking Connectivity constituem uma atividade regulada em qualquer jurisdicção, a Yuno se reserva o direito de suspender os Serviços de Banking Connectivity nessa jurisdicção mediante aviso escrito com trinta (30) dias de antecedência, sem responsabilidade e sem afetar a continuidade dos Serviços de orquestação de pagamentos.

‍

A.7 Requisito de Instrumento Separado. Os Serviços de Banking Connectivity somente poderão ser ativados por meio de um Formulário de Pedido ou adendo de Termos Especiais que identifique expressamente o Banking Connectivity como um serviço contratado. Não poderão ser ativados por implicação nem como "serviço adicional" sob um Formulário de Pedido de orquestação de pagamentos que não contenha uma seção dedicada ao Banking Connectivity que atenda às obrigações deste Adendo.

‍

Este Adendo entra em vigor na data de execução do Formulário de Pedido que ativa os Serviços de Banking Connectivity e permanece vigente durante a duração de tal acordo.

‍

ADENDO B: LGPD DO BRASIL

‍

• Entidade Yuno Responsável: Yuno Intermediação de Serviços Ltda. (Brasil)
  
• Leis de Proteção de Dados Aplicáveis: Lei Geral de Proteção de Dados (LGPD), Lei 13.709/2018; Regulamentações da Autoridade Nacional de Proteção de Dados (ANPD).
  
  

B.1 Marco de Conformidade com a LGPD. A Yuno se compromete a tratar os Dados Pessoais de Titulares brasileiros em conformidade com os princípios da LGPD de boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.

‍

B.2 Base Legal para o Tratamento. O Tratamento de Dados Pessoais sob este Adendo se baseia na base legal determinada pela Contraparte como Controlador de Dados, que poderá incluir qualquer uma das dez (10) bases legais do Artigo 7 da LGPD. A Yuno não tratará Dados Pessoais além do escopo das instruções da Contraparte sem autorização explícita.

‍

‍

B.3 Transferências Internacionais de Dados. Os Dados Pessoais de residentes brasileiros poderão ser transferidos internacionalmente utilizando as Cláusulas Contratuais Padrão da ANPD conforme a Resolução CD/ANPD Nº 19/2024 (módulos de Controlador para Operador e de Operador para Operador), decisões de adequação quando emitidas pela ANPD, ou outros mecanismos de transferência legítimos. A Yuno mantém documentação de todas as transferências internacionais e as salvaguardas aplicáveis.

‍

B.4 Direitos dos Titulares sob a LGPD. A Yuno auxilia as Contrapartes no cumprimento das solicitações dos Titulares conforme os Artigos 17-22 da LGPD, incluindo confirmação do Tratamento, acesso aos dados, correção de dados incompletos ou inexatos, anonimização ou eliminação, portabilidade e informação sobre compartilhamento com entidades públicas e privadas.

‍

‍

B.5 Conformidade Regulatória com a ANPD. Ambas as partes reconhecem a autoridade regulatória da ANPD e se comprometem à conformidade com as orientações, regulamentações e ações de aplicação da ANPD. A Yuno mantém o registro vigente junto à ANPD conforme exigido e fornece a documentação necessária para a conformidade regulatória.

‍

B.6 Relatório de Impacto à Proteção de Dados Pessoais. Para atividades de Tratamento de alto risco, a Yuno realizará Relatórios de Impacto à Proteção de Dados Pessoais em conformidade com as orientações da ANPD e compartilhará os achados relevantes com as Contrapartes.

‍

ADENDO C: LEI 1581 DE 2012 DA COLÔMBIA

‍

• Entidade Yuno Responsável: Yuno Colombia S.A.S. (Colômbia)
  
• Leis de Proteção de Dados Aplicáveis: Lei 1581 de 2012; Decreto 1377 de 2013; regulamentações e orientações da Superintendência de Indústria e Comércio (SIC).
  
  

C.1 Marco de Tratamento conforme a Lei 1581. A Yuno trata os Dados Pessoais em conformidade com os princípios da Lei 1581 de legalidade, finalidade, liberdade, veracidade, transparência, acesso, circulação restrita, segurança e confidencialidade. Todas as atividades de Tratamento servem a propósitos legítimos diretamente relacionados com os Serviços.

‍

C.2 Autorização e Políticas de Privacidade. As Contrapartes devem obter a autorização apropriada dos Titulares antes de transferir Dados Pessoais à Yuno, implementando políticas de privacidade claras que cumpram os requisitos da Lei 1581. A Yuno auxilia as Contrapartes no desenvolvimento de mecanismos de autorização conformes.

‍

C.3 Direitos dos Titulares (Habeas Data). A Yuno apoia as Contrapartes no cumprimento dos direitos dos Titulares conforme a Lei 1581, incluindo os direitos de acesso, atualização, retificação e eliminação de Dados Pessoais. Os procedimentos de resposta asseguram a conformidade com os prazos da SIC e mantêm registros completos de todas as solicitações de direitos.

‍

C.4 Transferências Internacionais de Dados. As transferências internacionais a partir da Colômbia cumprem com os requisitos da Lei 1581 de proteção adequada ou salvaguardas apropriadas (Declaração de Conformidade da SIC ou cláusulas contratuais). A Yuno mantém documentação dos mecanismos de transferência e atualiza as avaliações de adequação para os países destinatários.

‍

C.5 Conformidade Regulatória com a SIC. Ambas as partes reconhecem a autoridade regulatória da SIC sobre a proteção de Dados Pessoais e mantêm os registros necessários no Registro Nacional de Bancos de Dados (RNBD). A Yuno fornece às Contrapartes a informação necessária para as comunicações à SIC.

‍

C.6 Medidas de Segurança e Confidencialidade. A Yuno implementa medidas de segurança abrangentes que cumprem os requisitos da SIC, incluindo salvaguardas técnicas, administrativas e físicas proporcionais à sensibilidade e ao volume dos Dados Pessoais tratados.

‍

ADENDO D: LFPDPPP DO MÉXICO

‍

• Entidade Yuno Responsável: Yuno Tecnologías, S.A.P.I. de C.V. (México)
  
• Leis de Proteção de Dados Aplicáveis: Lei Federal de Proteção de Dados Pessoais em Posse de Particulares (LFPDPPP); seu Regulamento; e orientações da autoridade regulatória aplicável (atualmente a Secretaria Anticorrupção e Bom Governo, sucessora do INAI).
  
  

D.1 Princípios de Tratamento da LFPDPPP. A Yuno adere aos princípios da LFPDPPP de licitude, consentimento, informação, qualidade, finalidade, lealdade, proporcionalidade e responsabilidade em todas as atividades de Tratamento de Dados Pessoais. O Tratamento será limitado a finalidades diretamente relacionadas com os Serviços.

‍

D.2 Requisitos do Aviso de Privacidade. As Contrapartes devem fornecer avisos de privacidade abrangentes (Avisos de Privacidade) aos Titulares em conformidade com os Artigos 15-18 da LFPDPPP, incluindo informações sobre o papel da Yuno como Operador de Dados (Encargado). A Yuno auxilia as Contrapartes para assegurar que os avisos de privacidade cumpram os requisitos regulatórios mexicanos e incluam todos os elementos obrigatórios.

‍

D.3 Implementação de Direitos ARCO. A Yuno apoia as Contrapartes no atendimento a solicitações dos Titulares de acesso, retificação, cancelamento e oposição (direitos ARCO) conforme os Artigos 22-35 da LFPDPPP. Os procedimentos de resposta asseguram a conformidade com o prazo de vinte (20) dias úteis e mantêm registros de todas as solicitações.

‍

D.4 Transferências Internacionais de Dados. As transferências internacionais (Transferências) e remissões (Remisiones) de Dados Pessoais mexicanos cumprem com os requisitos dos Artigos 36-37 da LFPDPPP. A Yuno mantém documentação evidenciando níveis adequados de proteção para todos os países destinatários.

‍

D.5 Coordenação com a Autoridade Regulatória. Ambas as partes reconhecem a autoridade regulatória da autoridade mexicana de proteção de dados aplicável e mantêm a documentação de conformidade necessária. A Yuno responde prontamente às solicitações de informação da autoridade.

‍

D.6 Conformidade com Medidas de Segurança. A Yuno implementa medidas de segurança administrativas, físicas e técnicas que cumprem os padrões da LFPDPPP e da regulamentação, incluindo controles de acesso, criptografia, procedimentos de resposta a incidentes e avaliações de segurança periódicas apropriadas para a sensibilidade dos Dados Pessoais tratados.

‍

ADENDO E: PDPA DE SINGAPURA

‍

• Entidade Yuno Responsável: Smart Routing PTE. Ltd. (Singapura)
  
• Leis de Proteção de Dados Aplicáveis: Lei de Proteção de Dados Pessoais 2012 (PDPA); Diretrizes e Regulamentações da Comissão de Proteção de Dados Pessoais (PDPC).
  

E.1 Obrigações de Conformidade com a PDPA. A Yuno cumpre com as obrigações da PDPA como intermediário de dados que trata Dados Pessoais em nome das Contrapartes. As atividades de Tratamento aderem aos princípios de proteção de dados da PDPA, incluindo consentimento, limitação da finalidade, notificação, acesso e correção, exatidão, proteção, limitação da retenção e limitação da transferência.

‍

E.2 Requisitos de Consentimento e Notificação. As Contrapartes devem obter o consentimento apropriado dos Titulares ou se basear em outros fundamentos legítimos sob a PDPA antes de transferir Dados Pessoais à Yuno. A Yuno auxilia as Contrapartes na implementação de mecanismos de consentimento e na manutenção de registros de consentimento conforme exigido pela orientação da PDPC.

E.3 Marco de Notificação de Incidentes de Dados. A Yuno implementa procedimentos abrangentes de resposta a incidentes de dados que cumprem com os requisitos de notificação obrigatória de incidentes da PDPA. A notificação à PDPC e aos Titulares afetados segue os prazos e formatos prescritos, com as Contrapartes recebendo notificação imediata de quaisquer incidentes que afetem seus dados.

‍

E.4 Conformidade de Transferências Transfronteiriças. As transferências de Dados Pessoais a partir de Singapura cumprem com os requisitos da Seção 26 da PDPA, assegurando que os países destinatários forneçam proteção adequada ou implementando salvaguardas apropriadas. A Yuno mantém documentação de transferência e revisa periodicamente as avaliações de adequação para as jurisdições destinatárias.

‍

E.5 Acesso e Correção de Dados do Titular. A Yuno auxilia as Contrapartes no atendimento a solicitações de acesso e correção dos Titulares conforme as Seções 21-22 da PDPA dentro dos prazos prescritos. Os procedimentos de resposta incluem verificação de identidade, avaliação do escopo e redação apropriada de informações de terceiros.

‍

E.6 Interação Regulatória com a PDPC. Ambas as partes se comprometem a uma interação transparente com a PDPC, incluindo cooperação com investigações, auditorias de conformidade e implementação de orientações regulatórias.

‍

ADENDO F: CCPA/CPRA E PRIVACIDADE MULTIESTADUAL DOS ESTADOS UNIDOS

‍

• Entidade Yuno Responsável: Yuno USA, LLC (Estados Unidos)
  
• Leis de Proteção de Dados Aplicáveis: Lei de Privacidade do Consumidor da Califórnia (CCPA) emendada pela Lei de Direitos de Privacidade da Califórnia (CPRA); Código Civil da Califórnia Seção 1798.100 e seguintes; Lei de Proteção de Dados do Consumidor da Virgínia; Lei de Privacidade do Colorado; Lei de Privacidade de Dados de Connecticut; e outras leis estaduais de privacidade aplicáveis.
  
  

F.1 Obrigações como Provedor de Serviços sob CCPA/CPRA. A Yuno atua como "provedor de serviços" sob a CCPA/CPRA quando trata informações pessoais em nome das Contrapartes. A Yuno certifica a conformidade com todos os requisitos de provedor de serviços incluindo: não vender nem compartilhar informações pessoais; Tratamento apenas para finalidades comerciais especificadas; não reter fora da relação comercial; não combinar com outras fontes exceto quando permitido; e manutenção de medidas de segurança apropriadas.

‍

F.2 Implementação de Direitos do Consumidor. A Yuno auxilia as Contrapartes no atendimento a solicitações de consumidores da Califórnia de acesso, eliminação, correção e exclusão conforme as Seções 1798.100-1798.150 da CCPA/CPRA. Os procedimentos de resposta incluem verificação de identidade, avaliação do escopo e coordenação com os sistemas comerciais da Contraparte.

F.3 Categorias de Informações Pessoais. A Yuno trata as seguintes categorias de informações pessoais conforme definidas na Seção 1798.140 da CCPA: identificadores; informações comerciais; atividade na internet; dados de geolocalização; e inferências derivadas de informações pessoais. O Tratamento serve a finalidades comerciais incluindo orquestração de pagamentos, prevenção de fraude e melhoria do serviço.

‍

F.4 Proteções de Informações Pessoais Sensíveis. Para informações pessoais sensíveis conforme definidas na Seção 1798.140(ae) da CPRA, a Yuno implementa salvaguardas adicionais incluindo controles de segurança reforçados, períodos de retenção limitados e controles de acesso restritos. O Tratamento de informações sensíveis requer autorização explícita da Contraparte.

‍

F.5 Conformidade de Privacidade Multiestadual. A Yuno monitora os desenvolvimentos nas leis de privacidade estaduais incluindo a Lei de Proteção de Dados do Consumidor da Virgínia, a Lei de Privacidade do Colorado, a Lei de Privacidade de Dados de Connecticut e outra legislação estadual de privacidade emergente, implementando as medidas de conformidade necessárias conforme as leis entrem em vigor.

‍

F.6 Tomada de Decisão Automatizada. A Yuno auxilia as Contrapartes no cumprimento dos requisitos de divulgação de tomada de decisão automatizada e das obrigações de privacidade relacionadas a IA conforme se desenvolvam nas jurisdições estaduais.

‍

ADENDO G: PDPL DO REINO DA ARÁBIA SAUDITA

‍

• Entidade Yuno Responsável: Yuno Payments Arabia (Reino da Arábia Saudita)
  

• Leis de Proteção de Dados Aplicáveis: Lei de Proteção de Dados Pessoais (PDPL), emitida pelo Decreto Real M/19 (setembro de 2021) e alterada pelo Decreto Real M/148 (março de 2023), vigente desde 14 de setembro de 2023, plenamente exequível desde 14 de setembro de 2024; Regulamento de Execução da PDPL (setembro de 2023); Regulamentação sobre a Transferência de Dados Pessoais para fora do Reino (setembro de 2024); diretrizes e normas da SDAIA; e regulamentações aplicáveis da SAMA para serviços de dinheiro eletrônico e provedores de serviços de tecnologia de pagamento.
  

G.1 Marco de Conformidade com a PDPL. A Yuno Payments Arabia trata os Dados Pessoais em conformidade com a PDPL e seu Regulamento de Execução. Como provedor de serviços tecnológicos que apoia os serviços de pagamento eletrônico sob a supervisão da SAMA, as atividades de Tratamento da Yuno Payments Arabia estão limitadas à orquestração técnica de dados de pagamento em nome das Contrapartes. A Yuno Payments Arabia não detém, controla nem liquida fundos por si mesma e não é uma instituição de pagamento licenciada.

‍

G.2 Base Legal para o Tratamento. O Tratamento de Dados Pessoais se baseia na base legal determinada pela Contraparte como Controlador, que poderá incluir: consentimento (Art. 5 PDPL); execução de um contrato com o Titular dos Dados; cumprimento de uma obrigação legal; proteção de interesses vitais; tratamento de dados publicamente disponíveis; ou interesse legítimo (conforme permitido pelo Regulamento de Execução). A Yuno auxilia as Contrapartes na documentação da base legal aplicável.

‍

G.3 Transferência Internacional de Dados. As transferências de Dados Pessoais para fora do Reino da Arábia Saudita cumprem com o Artigo 29 da PDPL e a Regulamentação de Transferência de Dados (setembro de 2024). A Yuno implementa as Cláusulas Contratuais Padrão da SDAIA (módulos de Controlador para Operador e de Operador para Operador) para as transferências às entidades do Grupo Yuno e Suboperadores fora da KSA. Quando exigido, a Yuno realiza avaliações de risco de transferência antes de iniciar transferências envolvendo dados sensíveis ou transferências contínuas em grande escala. A SDAIA ainda não publicou uma lista de adequação; a Yuno monitora os desenvolvimentos regulatórios e adotará transferências baseadas em adequação quando disponíveis.

‍

G.4 Direitos dos Titulares dos Dados. A Yuno auxilia as Contrapartes no atendimento aos direitos dos Titulares dos Dados conforme os Artigos 13-18 da PDPL, incluindo o direito de ser informado sobre a base legal do Tratamento, o direito de acesso, o direito de obter Dados Pessoais em formato legível, o direito de solicitar a correção, o direito de solicitar a destruição de Dados Pessoais e o direito de oposição ao Tratamento. A Yuno facilitará as respostas dentro dos prazos prescritos pelo Regulamento de Execução.

‍

G.5 Conformidade Regulatória com a SDAIA. A Yuno Payments Arabia cumpre com os requisitos de registro da SDAIA para Controladores dentro do Reino, mantém registros de tratamento conforme exigido, e coopera com a SDAIA em relação a reclamações, investigações e auditorias. Quando exigido pelo Regulamento de Execução, a Yuno Payments Arabia nomeia um Encarregado de Proteção de Dados e notifica a SDAIA de Incidentes de Segurança com Dados Pessoais dentro de setenta e duas (72) horas quando tais incidentes possam causar dano aos Titulares dos Dados.

‍

G.6 Localização de Dados e Requisitos da SAMA. A Yuno Payments Arabia hospeda os Dados Pessoais tratados em conexão com as operações da Arábia Saudita no Google Cloud Platform (GCP) na região de Dammam, em conformidade com os requisitos de residência de dados da SAMA para provedores de serviços de pagamento eletrônico. A SAMA proíbe a transferência de dados de clientes para fora da KSA sem a aprovação prévia da SAMA. A Yuno mantém controles técnicos e organizacionais apropriados para assegurar que os dados originados na KSA permaneçam dentro do ambiente de hospedagem de Dammam, a menos que exista um mecanismo de transferência legítimo vigente.

‍

ADENDO H: PROTEÇÃO DE DADOS DO QATAR (QFC)

‍

• Entidade Yuno Responsável: Yuno Al Saqr (Qatar, entidade registrada no QFC)
  
• Leis de Proteção de Dados Aplicáveis: Regulamentações de Proteção de Dados do Centro Financeiro do Qatar 2021 (Regulamentações DP do QFC); orientações da Autoridade do QFC. Nota: Como entidade registrada no QFC, a Yuno Al Saqr está sujeita ao regime de proteção de dados do QFC, não à Lei nacional Nº 13 de 2016 do Qatar.
  
  

H.1 Marco de Conformidade com as Regulamentações DP do QFC. A Yuno Al Saqr trata os Dados Pessoais como Operador sob as Regulamentações DP do QFC 2021. O Tratamento é realizado em conformidade com os princípios de proteção de dados de licitude, lealdade, transparência, limitação da finalidade, minimização de dados, exatidão, limitação do armazenamento, integridade e confidencialidade, e responsabilização.

‍

H.2 Base Legal para o Tratamento. O Tratamento se baseia na base legal estabelecida pela Contraparte como Controlador sob as Regulamentações DP do QFC, que poderá incluir: consentimento; necessidade contratual; obrigação legal; interesses vitais; interesse público; ou interesses legítimos. Dados Pessoais Sensíveis são tratados apenas quando as condições adicionais sob as Regulamentações DP do QFC forem satisfeitas.

‍

H.3 Transferência Internacional de Dados. As transferências de Dados Pessoais para fora do QFC cumprem com as disposições de transferência das Regulamentações DP do QFC. A Yuno implementa as salvaguardas apropriadas, que poderão incluir Cláusulas Contratuais Padrão, avaliações de adequação ou regras corporativas vinculantes. A orientação da Autoridade do QFC sobre transferências internacionais é aplicada conforme atualizada.

‍

H.4 Direitos dos Titulares dos Dados. A Yuno auxilia as Contrapartes no atendimento aos direitos dos Titulares dos Dados sob as Regulamentações DP do QFC, incluindo os direitos de acesso, retificação, eliminação, restrição, portabilidade e oposição. A Yuno facilitará as respostas dentro dos prazos prescritos.

‍

H.5 Conformidade com a Autoridade do QFC. A Yuno Al Saqr coopera com a Autoridade do QFC em relação a investigações, auditorias e orientações. A Yuno Al Saqr mantém registros de Tratamento e, quando exigido, notifica a Autoridade do QFC de Incidentes de Segurança com Dados Pessoais dentro dos prazos prescritos pelas Regulamentações DP do QFC.

‍

H.6 Posicionamento Regulatório. Para fins de esclarecimento, a Yuno Al Saqr opera como provedor de serviços tecnológicos dentro do QFC e obteve uma isenção escrita do Banco Central do Qatar (QCB) em relação à Seção 6.1 das Regulamentações do Sistema de Pagamentos. A Yuno Al Saqr não presta serviços de pagamento regulados dentro do Qatar.

‍

ADENDO I: LEI DPDP DA ÍNDIA

‍

• Entidade Yuno Responsável: Yuno Routing Solutions Pvt. Ltd. (Índia)
  
• Leis de Proteção de Dados Aplicáveis: Lei de Proteção de Dados Pessoais Digitais 2023 (Lei DPDP); Regras DPDP 2025 (notificadas em 14 de novembro de 2025, com conformidade por fases até 13 de maio de 2027); e regulamentações aplicáveis do RBI incluindo requisitos de localização de dados.
  
  

I.1 Marco de Conformidade com a Lei DPDP. A Yuno Routing Solutions trata os Dados Pessoais como Operador (referido como "Data Processor" atuando em nome de um "Data Fiduciary" sob a Lei DPDP). A Yuno trata os Dados Pessoais digitais dos Data Principals apenas para as finalidades especificadas pela Contraparte e em conformidade com as instruções documentadas.

‍

I.2 Base Legal para o Tratamento. A Lei DPDP prevê o tratamento baseado em: (a) consentimento do Data Principal; ou (b) certos "usos legítimos" sem consentimento (como a execução de um contrato, o cumprimento de obrigações legais, ou a provisão voluntária de dados sem indicação de não consentimento). A Contraparte, como Data Fiduciary, é responsável por estabelecer a base legítima antes de transferir Dados Pessoais à Yuno.

‍

I.3 Direitos do Data Principal. A Yuno auxilia as Contrapartes no atendimento aos direitos do Data Principal sob a Lei DPDP, incluindo: direito de acesso a informações sobre o Tratamento; direito à correção de dados inexatos; direito de eliminação; direito à resolução de reclamações; e direito de nomear outra pessoa para exercer seus direitos. Os prazos de resposta seguem as Regras DPDP 2025.

‍

I.4 Transferência Internacional de Dados. A Lei DPDP permite as transferências internacionais de Dados Pessoais exceto para países especificamente restringidos pelo Governo Central. A Yuno monitora as notificações do Governo da Índia em relação às jurisdições restringidas. A Yuno implementa as salvaguardas contratuais apropriadas para todas as transferências internacionais de Dados Pessoais da Índia.

‍

I.5 Localização de Dados — Conformidade com o RBI. A Yuno reconhece que as regulamentações do RBI (incluindo a Circular do RBI DPSS.CO.PD.Nº 1810/02.14.008/2017-18 e diretrizes subsequentes) exigem que todos os dados do sistema de pagamentos, incluindo os detalhes completos da transação de ponta a ponta e a informação coletada, transportada ou tratada como parte das instruções de pagamento, sejam armazenados em sistemas localizados apenas na Índia. A Yuno Routing Solutions assegurará que os dados de pagamento tratados em nome de Contrapartes que sejam entidades reguladas pelo RBI ou seus agentes sejam armazenados dentro da Índia. A Yuno opera infraestrutura de hospedagem local para cumprir com este requisito.

‍

I.6 Marco de Consent Manager. Quando aplicável, a Yuno cooperará com os Consent Managers registrados por meio dos quais os Data Principals gerenciam seu consentimento. A Yuno fornece pontos de integração técnica para facilitar os fluxos de verificação e revogação do consentimento.

‍

I.7 Obrigações do Significant Data Fiduciary. Se o Governo Central designar a Contraparte como Significant Data Fiduciary, a Yuno fornecerá cooperação razoável para as obrigações de conformidade da Contraparte, incluindo apoio para Relatórios de Impacto à Proteção de Dados, auditorias por auditores de dados independentes e relatórios periódicos ao Conselho de Proteção de Dados da Índia.

‍

ADENDO J: UNIÃO EUROPEIA E REINO UNIDO

‍

• Entidade Yuno Responsável: Entidade do Reino Unido para titulares de dados do Reino Unido e Smart Routing PTE. Ltd. (Singapura) para titulares de dados da UE, salvo se especificado de forma diferente no Formulário de Pedido. Se a Yuno não mantiver um estabelecimento na UE, a Yuno nomeará um representante na UE conforme o Artigo 27 do RGPD quando exigido.
  
• Leis de Proteção de Dados Aplicáveis: Regulamento Geral sobre a Proteção de Dados da UE (RGPD) 2016/679; Regulamento Geral sobre a Proteção de Dados do Reino Unido; Lei de Proteção de Dados 2018.
  
  

J.1 Conformidade com o Artigo 28 do RGPD. Este Adendo implementa os requisitos do Artigo 28 do RGPD para as relações de Operador. A Yuno se compromete a tratar os Dados Pessoais apenas conforme as instruções documentadas da Contraparte, inclusive em relação a transferências para países terceiros ou organizações internacionais, salvo se exigido pelo direito da União ou de um Estado-Membro ao qual a Yuno esteja sujeita.

‍

J.2 Atividades de Tratamento e Base Legal. A Yuno trata Dados Pessoais para os serviços de orquestração de pagamentos sob a base legal determinada pela Contraparte. Categorias especiais de Dados Pessoais conforme definidas no Artigo 9 do RGPD não são tratadas, exceto quando expressamente autorizado e legalmente permitido.

‍

J.3 Implementação dos Direitos dos Titulares. A Yuno auxiliará a Contraparte no atendimento a solicitações dos Titulares dos Dados dentro dos prazos exigidos pelos Artigos 12-22 do RGPD, incluindo os direitos de acesso, retificação, eliminação, restrição, portabilidade e oposição. Os prazos de resposta não excederão um mês, prorrogável por dois meses para solicitações complexas.

‍

J.4 Integração das Cláusulas Contratuais Padrão. Para as transferências de Dados Pessoais do EEE ou do Reino Unido para entidades da Yuno em países terceiros, as partes incorporam as Cláusulas Contratuais Padrão aplicáveis (CCP UE Módulos 2 ou 3; IDTA do Reino Unido ou Adendo do Reino Unido às CCP da UE) conforme exigido pela relação de Tratamento específica e o cenário de transferência. O módulo aplicável é determinado pelos papéis de Tratamento das partes para cada transferência.

‍

J.5 Coordenação do Encarregado de Proteção de Dados. Quando qualquer das partes tiver nomeado um Encarregado de Proteção de Dados, tal encarregado servirá como contato principal para as questões de proteção de dados decorrentes deste Adendo. O DPO da Yuno pode ser contatado em privacy@y.uno.

‍

J.6 Cooperação com a Autoridade Supervisora. Ambas as partes se comprometem a cooperar plenamente com as autoridades supervisoras da União Europeia e do Reino Unido, incluindo fornecer informações, documentação e acesso conforme razoavelmente solicitado para investigações regulatórias ou auditorias.

‍

DISPOSIÇÕES GERAIS PARA TODOS OS ADENDOS

‍

Precedência e Integração. Estes Adendos formam parte integrante do Acordo Global de Tratamento de Dados da Yuno e serão aplicados com base nas jurisdições onde os Dados Pessoais se originam ou são tratados. Em caso de conflito entre um Adendo e o DPA principal, o Adendo prevalecerá para os requisitos específicos da jurisdição.

‍

Atualizações Regulatórias. A Yuno monitora os desenvolvimentos regulatórios em todas as jurisdições aplicáveis e poderá atualizar os Adendos conforme necessário para manter a conformidade com os requisitos legais em evolução. As Contrapartes recebem aviso prévio de mudanças materiais que afetem suas atividades de Tratamento.

‍

Tratamento Multijurisdicional. Quando o Tratamento envolver Dados Pessoais de múltiplas jurisdições, os padrões mais protetivos serão aplicados, a menos que requisitos jurisdicionais específicos exijam tratamento diferente. A Yuno mantém documentação abrangente dos requisitos legais aplicáveis para cada atividade de Tratamento.

‍

Data de Vigência. Estes Adendos entram em vigor simultaneamente com a execução do Acordo principal de Tratamento de Dados e permanecem vigentes durante a duração do Acordo, salvo se rescindidos em conformidade com as disposições de rescisão aplicáveis.

‍

Contato do Oficial de Privacidade Global:

‍

• E-mail: privacy@y.uno
• Endereço Global: Cráter 38, Jardines del Pedregal, Álvaro Obregón, Cidade do México, C.P. 01900
• Trust Center: security.y.uno
• Resposta a Incidentes 24/7: security@y.uno

‍

RESUMO EXECUTIVO. Este Acordo Global de Tratamento de Dados Pessoais (“DPA”) (“DPA”) estabelece como a Yuno realiza o Tratamento de Dados Pessoais na qualidade de Operadora em nome de suas Contrapartes, incluindo Comerciantes e Parceiros Tecnológicos. Sob este framework unificado, a Yuno atua principalmente como Operadora dos serviços de orquestração de pagamentos, enquanto as Contrapartes atuam como Controladoras para suas finalidades próprias. Este DPA DPA assegura a conformidade com legislações globais de proteção de dados, garantindo um onboarding simplificado e a alocação clara de responsabilidades.