YUNO - GLOBAL DATA PROCESSING AGREEMENT

RESUMO EXECUTIVO. Este Acordo Global de Tratamento de Dados Pessoais (“DPA”) (“DPA”) estabelece como a Yuno realiza o Tratamento de Dados Pessoais na qualidade de Operadora em nome de suas Contrapartes, incluindo Comerciantes e Parceiros Tecnológicos. Sob este framework unificado, a Yuno atua principalmente como Operadora dos serviços de orquestração de pagamentos, enquanto as Contrapartes atuam como Controladoras para suas finalidades próprias. Este DPA DPA assegura a conformidade com legislações globais de proteção de dados, garantindo um onboarding simplificado e a alocação clara de responsabilidades.

‍

ARTIGO 1 - DEFINIÇÕES E ESCOPO

‍

1.1 Finalidade e Aplicação. Este DPA estabelece os termos e as condições de proteção de Dados Pessoais aplicáveis entre a Yuno e as suas Contrapartes. Este DPA aplica-se a todas as atividades de Tratamento realizadas pela Yuno em conexão com os Serviços e incorpora os padrões previstos na Política Global de Privacidade da Yuno, disponível em y.uno/pt-br/privacy.

1.2 Definições. Para fins deste DPA, aplicam-se as seguintes definições:

• Leis Aplicáveis de Proteção de Dados. Significa toda a legislação, regulamentação ou ato normativo equivalente, internacional, nacional, estadual ou local, relativa à proteção de Dados Pessoais, privacidade e segurança da informação, em vigor e vinculante às partes, incluindo: o GDPR, o UK GDPR, a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) do Brasil, bem como os regulamentos e resoluções emitidas pela ANPD, a Lei 1581/2012 (Colômbia), a LFPDPPP (México), o CCPA/CPRA (Califórnia), o PDPA (Singapura) e demais normas equivalentes de acordo com a jurisdição aplicável às partes.
• Contrapartes. Qualquer entidade comercial que firme este DPA com a Yuno, incluindo Comerciantes e Parceiros Tecnológicos.
• Controlador. Pessoa natural ou jurídica a quem competem as decisões referentes ao Tratamento de Dados Pessoais, inclusive relativas às finalidades e aos meios.
• Operador. Pessoa natural ou jurídica que realiza o Tratamento de Dados Pessoais em nome do Controlador, conforme instruções documentadas.
• Titular de Dados. Pessoa natural a quem se referem os Dados Pessoais objeto de Tratamento.
• Incidente de Segurança. Qualquer violação de segurança, acidental ou não, que resulte na destruição, perda, alteração, divulgação ou acesso não autorizado a Dados Pessoais tratados pelas partes no âmbito deste Contrato.
• Serviços. Significa a plataforma de orquestração de pagamentos da Yuno baseada em nuvem e tecnologias relacionadas (dashboards, APIs, SDKs e suporte técnico), nos termos do Contrato.
• Suboperador. Terceiro contratado pela Yuno para tratar Dados Pessoais em nome das Contrapartes.
• Parceiro Tecnológico. Prestador de serviço que auxilia a Yuno em atividades de orquestração de pagamentos (PSPs, adquirentes, gateways, prevenção à fraude, AML/KYC, etc.).
• Yuno. Significa, coletiva e individualmente, Smart Routing Pte. Ltd.; Yuno Payments Ltd.; Yuno Payments LLC; Yuno USA, LLC; Yuno Colombia S.A.S.; Yuno Intermediação de Serviços Ltda.; e Yuno Tecnologías S.A.P.I. de C.V., juntamente com qualquer controladora, subsidiária, filial ou afiliada, presente ou futura, que (i) esteja sob controle comum com qualquer uma das entidades mencionadas acima e (ii) participe ou disponibilize os Serviços regidos por este DPA. Salvo disposição expressa em contrário, cada referência a "Yuno" neste DPA será considerada como incluindo todo o Grupo Yuno.
• Dado Pessoal. Qualquer dado relacionado a um indivíduo identificado ou identificável ou qualquer outro dado que, quando combinado com outras informações, possa identificar direta ou indiretamente um indivíduo ou torná-lo identificável, incluindo “informações pessoais”, “Dados Pessoais”, “informações de identificação pessoal” e termos semelhantes à luz das Leis Aplicáveis de Proteção de Dados.
• Tratamento. Qualquer operação realizada com Dados Pessoais, por meios automatizados ou não, incluindo acesso, obtenção, coleta, registro, organização, estruturação, armazenamento, adaptação, alteração, recuperação, consulta, uso, divulgação, transmissão, disseminação, disponibilização, alinhamento, combinação, restrição, exclusão, destruição ou qualquer outra definida nas Leis Aplicáveis de Proteção de Dados.
• Comerciante. Entidade para a qual a Yuno presta diretamente os Serviços, conforme qualificada no Contrato.
• Contrato. Instrumentos contratuais que regulam a relação comercial entre a Yuno e as Contrapartes.

1.3 As expressões não definidas neste DPA, ou as expressões equivalentes a elas segundo as Leis Aplicáveis de Proteção de Dados, terão os significados atribuídos pelo Contrato e, na ausência de definição no Contrato, pelas Leis Aplicáveis de Proteção de Dados.

‍

ARTIGO 2 - PAPÉIS E RESPONSABILIDADES NO TRATAMENTO DE DADOS

‍

2.1 Papel Primário de Operadora. A Yuno atua como Operadora no âmbito do Contrato, realizando o Tratamento de Dados Pessoais em nome das Contrapartes, salvo se definido de maneira diversa pelas partes em outros instrumentos aplicáveis.

2.2 Relação com Comerciantes. O Comerciante é tipicamente o Controlador dos dados de seus clientes finais compartilhados com a Yuno para fins de orquestração de pagamentos.

‍

Fluxo de dados:

‍

Titular de Dados → Comerciante (Controlador) → Yuno (Operadora) → Parceiros Tecnológicos (conforme instruções do Comerciante).

‍

2.3 Relação com Parceiros Tecnológicos. Os Parceiros Tecnológicos poderão ser contratados pela Yuno e/ou pelo próprio Comerciante para auxiliar na prestação dos Serviços, ficando responsáveis pelo Tratamento de Dados Pessoais que realizarem na condição de Controladores. A Yuno não será responsável por obrigações decorrentes da relação jurídica estabelecida entre o Comerciante e os Parceiros Tecnológicos, limitando-se a viabilizar a integração técnica necessária aos Serviços.

2.4 Limitação de Escopo Regulatório. A Yuno não será responsável por atividades alheias à orquestração de pagamentos, tais como marketing, obrigações tributárias ou compliance de produtos. Ainda, a Contraparte reconhece ser a única responsável pelo uso que fizer dos Dados Pessoais e das demais informações no âmbito do Tratamento realizado em decorrência dos Serviços, reconhecendo não haver qualquer vínculo ou responsabilidade da Yuno relacionada às decisões, ações, abstenções e omissões que a Contraparte vier a adotar em decorrência do resultado dos Serviços e de todo o resultado do seu próprio Tratamento, respondendo pelas perdas e danos que possam, eventualmente, originar-se de tal Tratamento.

‍

ARTIGO 3 - OBRIGAÇÕES DE TRATAMENTO E INSTRUÇÕES

‍

3.1 Obrigações da Contraparte como Controladora. Cada Contraparte, na qualidade de Controladora, declara e garante que todo Tratamento de Dados Pessoais, incluindo transferências à Yuno, é realizado em conformidade com as Leis Aplicáveis de Proteção de Dados. Em especial, a Contraparte deverá: (i) obter o consentimento dos Titulares de Dados, quando necessário, ou adotar outra base legal válida prevista nas Leis Aplicáveis de Proteção de Dados para legitimar o Tratamento; (ii) fornecer aviso de privacidade claro e adequado aos Titulares de Dados; e (iii) transferir à Yuno apenas os Dados Pessoais estritamente necessários à execução dos Serviços, sendo certo que tais dados serão sempre obtidos por formas e meios lícitos e adequados.

3.2 Obrigações da Yuno no Tratamento. A Yuno processará Dados Pessoais apenas de acordo com instruções documentadas da Contraparte, salvo obrigação legal em contrário. A Yuno aplicará o princípio da minimização, tratando apenas dados estritamente necessários para a prestação dos Serviços. A Yuno informará à Contraparte, em prazo razoável, se as instruções da Contraparte violarem as Leis Aplicáveis de Proteção de Dados, suspendendo o Tratamento até receber instruções válidas.

3.3 Coordenação com Acordos Comerciais. Quando as instruções de Tratamento da Contraparte à Yuno forem fornecidas por meio de ordens de compra ou contratos comerciais, tais instruções deverão estar em conformidade com este DPA. Qualquer instrução que entre em conflito com os requisitos de proteção de dados deste DPA será considerada inválida e não poderá ser implementada pela Yuno.

3.4 Validação da Implementação. A Yuno mantém controles técnicos para impedir o Tratamento que exceda as instruções da Contraparte ou viole este DPA, incluindo monitoramento automatizado das atividades de Tratamento de dados e relatórios de exceções.

3.5 Registros de Operações. Sempre que exigido pelas Leis Aplicáveis de Proteção de Dados, as partes deverão manter um registro das atividades de Tratamento no âmbito do Contrato que inclua, mas não se limite, às categorias de dados, às finalidades de Tratamento, aos Titulares de Dados envolvidos, aos prazos de retenção e descarte de Dados Pessoais, entre outros requisitos previstos nas Leis Aplicáveis de Proteção de Dados.

‍

ARTIGO 4 - MEDIDAS DE SEGURANÇA

‍

4.1 Medidas Técnicas e Organizacionais Abrangentes. A Contraparte reconhece e concorda que a Yuno implementa e mantém medidas técnicas e organizacionais abrangentes para proteger os Dados Pessoais contra Incidentes de Segurança, em linha com as Leis Aplicáveis de Proteção de Dados. Essas medidas incluem criptografia AES‑256 para Dados Pessoais em repouso, criptografia TLS 1.3 para Dados Pessoais em trânsito, gerenciamento de chaves via AWS KMS com suporte a HSM, controles de acesso baseados em papéis com autenticação multifator, segmentação de rede e arquitetura de confiança zero, monitoramento de segurança contínuo 24/7 com integração a SIEM, avaliações de vulnerabilidade e testes de penetração regulares e preparação para criptografia resistente a computação quântica. 

4.2 Padrões e Certificações de Segurança. A Yuno mantém certificações reconhecidas pelo mercado, incluindo ISO 27001 (Sistema de Gestão de Segurança da Informação), ISO 27701 (Gestão de Privacidade), PCI DSS Nível 1 (Segurança de Dados da Indústria de Cartões) e SOC 2 Tipo II. Detalhes atualizados encontram-se no Trust Center da Yuno, disponível em security.y.uno.

4.3 Obrigações de Segurança da Contraparte. Cada Contraparte deverá implementar medidas técnicas e organizacionais apropriadas para assegurar a segurança dos Dados Pessoais sob seu controle, considerando o estado da técnica, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do Tratamento, mantendo a Yuno indene de responsabilidade por Incidentes de Segurança relacionados aos Tratamentos de Dados Pessoais que realizar por conta própria ou em descumprimento das Leis Aplicáveis de Proteção de Dados.

4.4 Conformidade PCI DSS pela Contraparte. Se uma Contraparte processar, tratar, armazenar ou transmitir Dados de portador de cartão recebidos da Yuno ou em conexão com os Serviços, a Contraparte declara e garante que é e permanecerá em conformidade com a versão vigente do PCI DSS, fornecendo a outra parte, quando solicitado, o Atestado de Conformidade (AoC) ou documentação aplicável. A Contraparte deverá informar à Yuno alterações relevantes de status ou ocorrências que possam impactar a segurança dos dados.

‍

ARTIGO 5 - SUB OPERADORES E DIVULGAÇÃO A TERCEIROS

‍

5.1 Autorização de Sub Operadores. A Yuno poderá contratar Sub Operadores para auxiliar na prestação dos Serviços, desde que tal contratação observe este DPA e as Leis Aplicáveis de Proteção de Dados. Se uma Contraparte apresentar objeção fundamentada em proteção de dados no prazo de 10 dias úteis após a notificação, as partes envidarão esforços de boa‑fé para mitigar a objeção; se não for possível, as partes poderão rescindir o Contrato sem penalidades. 

5.2 Contratos com Sub Operadores. Antes de qualquer subcontratação, a Yuno celebrará acordo escrito impondo ao Sub Operador obrigações equivalentes às deste DPA. A Yuno permanece integralmente responsável pelo desempenho do Suboperador e por eventuais violações às Leis Aplicáveis de Proteção de Dados.

‍

ARTIGO 6 - TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

‍

6.1 Mecanismos de Transferência. As partes reconhecem e concordam que, no âmbito da prestação dos Serviços, os Dados Pessoais poderão ser transferidos para outras jurisdições fora do país em que foram originalmente coletados, incluindo países ou regiões que podem não oferecer o mesmo nível de proteção exigido pela Legislação Aplicável de Proteção de Dados. Transferências internacionais de Dados Pessoais somente ocorrerão com salvaguardas apropriadas, conforme exigido pelas Leis Aplicáveis de Proteção de Dados, incluindo, mas não se limitando a, cláusulas-padrão contratuais, normas corporativas globais, consentimento ou outros mecanismos equivalentes, conforme apropriado a cada jurisdição.

6.2 Avaliações de Impacto de Transferência. Para transferências a jurisdições sem decisão de adequação, quando exigido pelas Leis Aplicáveis de Proteção de Dados, a Yuno realizará avaliações de impacto de transferência e implementará medidas suplementares, conforme necessário, para assegurar proteção substancialmente equivalente à da jurisdição de origem. Caso as Leis Aplicáveis de Proteção de Dados de determinada jurisdição exijam medidas adicionais para assegurar a legitimidade da transferência, a Yuno cooperará de boa-fé para viabilizar tais medidas junto à Contraparte, inclusive mediante aditivos contratuais.

6.3 Requisições de Acesso Governamental. A Yuno avaliará quaisquer requisições governamentais ou regulatórias de acesso a Dados Pessoais e, quando legalmente permitido e viável, fornecerá aviso prévio às Contrapartes antes de qualquer divulgação. A Yuno compromete-se a contestar solicitações excessivas, ilegais ou inadequadas na máxima extensão permitida em lei e a limitar as divulgações ao mínimo legalmente exigido, mantendo registros e relatórios de transparência quando permitido.

‍

ARTIGO 7: DIREITOS DOS TITULARES

‍

7.1 Facilitação de Direitos. A Yuno auxiliará as Contrapartes na resposta a solicitações de Titulares de Dados referentes a, incluindo, mas não se limitando, acesso, retificação, eliminação, portabilidade, restrição e oposição, conforme exigido pelas Leis Aplicáveis de Proteção de Dados. Tal assistência incluirá o fornecimento de Dados Pessoais e informações por meio de API, portal seguro ou canais definidos, em tempo razoável e sem demora injustificada, para viabilizar o atendimento do Titular de Dados pela Contraparte dentro dos prazos legais. 

7.2 Pedidos Diretos à Yuno. Se a Yuno receber solicitações diretamente de Titulares de Dados, deverá encaminhá-las ao contato de privacidade da Contraparte, com assunto claro, em tempo razoável e sem demora injustificada, salvo obrigação legal de resposta direta. A Yuno não responderá diretamente sem autorização da Contraparte, exceto quando exigido por lei, caso em que informará a Contraparte, salvo proibição legal.

7.3 Decisões Automatizadas. Quando a Yuno realizar Tratamento que envolva decisões automatizadas com efeitos relevantes para os Titulares de Dados, implementará medidas para salvaguardar seus direitos, incluindo fornecer informações significativas sobre a lógica envolvida e oferecer revisão humana, quando exigido.

‍

ARTIGO 8: GESTÃO DE INCIDENTE DE DADOS PESSOAIS

‍

8.1 Estrutura de Notificação por Jurisdição. Notificações de Incidentes de Segurança observarão os requisitos legais aplicáveis em cada jurisdição. A Yuno comunicará Incidentes de Segurança às Contrapartes e as apoiará na avaliação de risco para eventual notificação às autoridades supervisoras ou aos Titulares de Dados, em prazo razoável e proporcional à gravidade, não superando até 2 (dois) dias úteis da ciência do Incidente de Segurança pela Yuno, conforme abaixo:

‍

‍

‍8.2 Documentação e Investigação de Incidentes. A Yuno documentará todos os Incidentes de Segurança e colaborará integralmente nas investigações, incluindo registro de fatos, efeitos e medidas remediadoras. A Yuno preservará evidências e fornecerá acesso a informações forenses conforme solicitado de forma razoável.

8.3 Coordenação Regulatória e Conformidade. As Contrapartes permanecem primariamente responsáveis pelas notificações regulatórias ou aos Titulares de Dados, cabendo à Yuno: (i) fornecer documentação abrangente do Incidente de Segurança para fins de reporte; (ii) disponibilizar especialistas para esclarecimentos técnicos perante autoridades; (iii) evidenciar remediações; e (iv) cooperar de forma contínua com investigações.

‍

ARTIGO 9: RETENÇÃO E ELIMINAÇÃO SEGURA

‍

9.1 Períodos de Retenção. Os Dados Pessoais serão retidos apenas pelo tempo necessário para cumprir as finalidades para as quais foram coletados ou conforme exigido por obrigações legais, regulatórias ou contratuais aplicáveis.

9.2 Procedimentos de Eliminação. Mediante solicitação da Contraparte ou término do Contrato, a Yuno excluirá ou devolverá todos os Dados Pessoais e destruirá cópias existentes, salvo obrigação legal de retenção. A eliminação será realizada por métodos seguros e a Yuno fornecerá certificação por escrito quando solicitado.

9.3 Requisitos de Preservação Legal. Não obstante as obrigações de eliminação, as partes poderão reter Dados Pessoais conforme necessário para atender exigências de preservação legal, litígios em curso ou investigações regulatórias, limitando‑se ao mínimo necessário para a finalidade específica.

9.4 Analítica Agregada. A Yuno poderá reter e utilizar padrões transacionais agregados e métricas de performance para: (i) otimização da plataforma e aprimoramento antifraude; (ii) benchmarking e pesquisa de mercado; (iii) reporte regulatório e análises de conformidade; e (iv) avaliação de performance de Parceiros Tecnológicos. Tais dados permanecerão anonimizados, conforme as Leis Aplicáveis de Proteção de Dados, sem qualquer tentativa de reidentificação.

‍

ARTIGO 10: DIREITOS DE AUDITORIA EM MÚLTIPLOS NÍVEIS E MONITORAMENTO

‍

10.1 Autorização de Auditoria. As Contrapartes poderão realizar auditorias razoáveis das atividades de Tratamento da Yuno para verificar a conformidade com este DPA e as Leis Aplicáveis de Proteção de Dados. As auditorias ocorrerão preferencialmente mediante revisão de certificações e relatórios independentes (ISO 27001, PCI DSS, SOC 2 Tipo II), que a Yuno disponibilizará quando razoavelmente solicitado. Auditorias presenciais diretas, pela Contraparte ou por auditor independente qualificado, ficam limitadas a uma por ano, salvo indícios materiais de não conformidade ou Incidente de Segurança, e exigirão aviso prévio de 30 dias.

10.2 Cooperação em Auditorias. A Yuno cooperará de forma razoável, fornecendo acesso a documentação pertinente, logs de sistemas e pessoal relevante às atividades de Tratamento. As auditorias ocorrerão em horário comercial, minimizando impactos operacionais e preservando a confidencialidade de informações proprietárias, propriedade intelectual e dados de outros clientes.

10.3 Achados e Remediação. Quaisquer deficiências materiais identificadas serão endereçadas em tempo razoável por meio de planos de remediação mutuamente acordados. Os custos de auditoria serão suportados pela parte solicitante, salvo identificação de não conformidade material da Yuno.

‍

ARTIGO 11: RESPONSABILIDADE E INDENIZAÇÃO

‍

11.1 Responsabilidade Mútua. Cada parte será responsável por danos decorrentes de suas próprias violações das Leis Aplicáveis de Proteção de Dados ou deste DPA. Nenhuma parte será responsável por danos decorrentes de violações da outra parte ou de Tratamentos realizados em conformidade com instruções lícitas da outra parte.

11.2 Indenização. Cada parte manterá a outra parte indene de reivindicações, danos e despesas decorrentes de suas próprias violações de obrigações de proteção de dados sob este DPA e as Leis de Privacidade e Proteção de Dados, incluindo penalidades administrativas e condenações em processos judiciais ou arbitrais, indenizando-a no valor integral dos danos diretos comprovadamente decorrentes do descumprimento da Parte infratora. Sem prejuízo da solidariedade prevista nas Leis Aplicáveis de Proteção de Dados, as partes poderão exercer direito de regresso na medida da participação no evento danoso.

11.3 Limitação de Responsabilidade. As obrigações de indenização ora estipuladas são adicionais e não excluem qualquer obrigação de indenização que conste do Contrato.

‍

ARTIGO 12: VIGÊNCIA, RESCISÃO E TRANSIÇÃO

‍

12.1 Vigência. Este DPA inicia‑se com a execução do Contrato e permanece vigente por sua duração, salvo rescisão nos termos aplicáveis, hipótese em que o presente DPA sobreviverá com relação às atividades de Tratamento dos Dados Pessoais que continuarem ocorrendo mesmo após a rescisão ou término do Contrato, ainda que apenas para fins de cumprimento de obrigação legal ou regulatória.

12.2 Rescisão por Justa Causa. Qualquer parte poderá rescindir imediatamente este DPA mediante notificação escrita se a outra parte violar materialmente suas obrigações de proteção de dados sob este DPA ou as Leis Aplicáveis de Proteção de Dados e não sanar a violação em até 30 dias contados da notificação.

‍

ARTIGO 13: LEI APLICÁVEL E RESOLUÇÃO DE CONTROVÉRSIAS

‍

13.1 Lei Aplicável. Este DPA será regido pelas leis definidas no Contrato, ressalvado que as obrigações de proteção de dados serão interpretadas conforme as Leis Aplicáveis de Proteção de Dados nas jurisdições onde os Dados Pessoais são tratados.

13.2 Resolução de Disputas. As disputas serão resolvidas pelos mecanismos definidos no Contrato. Conflitos envolvendo fiscalização regulatória serão tratados em coordenação com as autoridades competentes.

13.3 Foro e Execução. As partes se submetem aos foros indicados no Contrato para execução deste DPA, reconhecendo a autoridade das autoridades de proteção de dados nas respectivas jurisdições. 

‍

ARTIGO 14: MODIFICAÇÕES, ALTERAÇÕES E DISPOSIÇÕES FINAIS

‍

14.1 Processo de Alteração. A Yuno reserva-se o direito de modificar ou atualizar o presente DPA, a seu exclusivo critério, inclusive na emergência de atualizações regulatórias, sendo certo que a Contraparte será notificada sobre referidas alterações e terá a oportunidade de se opor antes da entrada em vigor.

14.2 Conflito de Cláusulas. Em caso de conflito entre este DPA e o Contrato, prevalecerão os termos deste DPA quanto a matérias de proteção de Dados Pessoais.

‍

ARTIGO 15: PODERES EMERGENCIAIS DE TRATAMENTO

‍
15.1 Mitigação de Fraude e Ilícitos. A Yuno poderá, sem consentimento prévio da Contraparte, suspender, redirecionar ou modificar temporariamente o Tratamento quando razoavelmente necessário para mitigar: (a) suspeita de lavagem de dinheiro ou financiamento ao terrorismo; (b) fraude com cartões acima de limites de bandeiras; (c) violações de sanções; ou (d) abuso de plataforma que ameace a integridade ou segurança dos Serviços.

15.2 Resposta a Incidente Cibernético. Durante Incidentes de Segurança, reais ou suspeitos, a Yuno poderá implementar medidas técnicas ou organizacionais emergenciais, incluindo desvio de tráfego, autenticação adicional, restrições geográficas ou limitações temporárias de serviço. Tais ações serão documentadas e comunicadas à Contraparte.

‍

ANEXOS POR JURISDIÇÃO

‍

As disposições a seguir tratam de requisitos específicos de Tratamento em diversas jurisdições e integram este DPA quando aplicáveis.

‍

Anexo A: Requisitos do GDPR da União Europeia e do Reino Unido 

Anexo B: Requisitos da LGPD do Brasil 

Anexo C: Requisitos de Proteção de Dados da Colômbia 

Anexo D: Requisitos do LFPDPPP do México 

Anexo E: Requisitos da PDPA de Singapura 

Anexo F: Requisitos de Privacidade Multiestadual e CCPA/CPRA dos Estados Unidos

‍

Anexos específicos serão aplicados com base nas jurisdições onde os Dados Pessoais se originam ou são tratados, conforme determinado pela natureza de cada relacionamento com a Contraparte.

‍

Anexo A: UNIÃO EUROPEIA E REINO UNIDO (GDPR/UK GDPR)

• Entidade Yuno responsável: Smart Routing PTE. Ltd. (Singapura), atuando por meio de operações europeias, salvo disposição diversa no formulário de pedido.
• Leis Aplicáveis de Proteção de Dados: GDPR 2016/679; UK GDPR; Data Protection Act 2018.

‍

A.1 Conformidade com o Artigo 28 do GDPR. Este Anexo implementa os requisitos de Processador conforme o Art. 28 do GDPR, estabelecendo que a Yuno somente realizará o Tratamento de Dados Pessoais sob instruções documentadas da Contraparte, inclusive quanto a transferências para países terceiros ou organizações internacionais, salvo obrigação legal da União Europeia ou de Estado‑Membro ou da legislação britânica.

A.2 Atividades de Tratamento e Bases Legais. O Tratamento de Dados Pessoais será realizado exclusivamente para a execução dos serviços de orquestração de pagamentos, com base jurídica determinada pela Contraparte. Categorias especiais de dados somente serão processadas se houver autorização expressa e permissão legal específica.

A.3 Implementação dos Direitos dos Titulares. A Yuno apoiará a Contraparte no atendimento das solicitações dos titulares em conformidade com os Arts. 12 a 22 do GDPR e equivalentes do UK GDPR, garantindo o exercício de direitos de acesso, retificação, eliminação, limitação, portabilidade e oposição. O prazo de resposta será de até um mês, prorrogável por dois meses adicionais em casos de complexidade, com comunicação ao Titular de Dados.

A.4 Integração das Cláusulas Contratuais‑Padrão (SCCs). Para transferências de Dados Pessoais do Espaço Econômico Europeu ou Reino Unido a entidades da Yuno situadas em países terceiros, aplicam‑se as Cláusulas Contratuais‑Padrão aprovadas (Decisão 2021/914/UE) e os instrumentos britânicos correlatos (UK IDTA e Anexo ao SCC europeu).

A.5 Encarregado de Proteção de Dados (DPO). Sempre que nomeados, os encarregados (DPOs) de cada parte atuarão como pontos de contato primários para assuntos de proteção de dados sob este Anexo, inclusive em interações com autoridades de supervisão.

A.6 Cooperação com Autoridades de Supervisão. Ambas as partes comprometem‑se a cooperar plenamente com as autoridades supervisoras competentes da União Europeia e do Reino Unido, fornecendo informações, documentação e acesso razoável conforme solicitado em auditorias e investigações.

‍

Anexo B: BRASIL (LGPD)

• Entidade Yuno responsável: Yuno Intermediação de Serviços Ltda. (Brasil).
• Leis Aplicáveis de Proteção de Dados: Lei nº 13.709/2018 (LGPD), regulamentações e resoluções emitidas pela ANPD.

‍B.1 Estrutura de Conformidade com a LGPD. Este Anexo garante a aderência à LGPD, estabelecendo que a Yuno atuará em conformidade com os princípios de boa‑fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização. A Yuno manterá políticas de governança e designará um encarregado, garantindo transparência e prestação de contas.

B.2 Bases Legais para o Tratamento. O Tratamento de Dados Pessoais realizado pela Yuno dar‑se‑á exclusivamente com fundamento nas bases legais definidas pela Contraparte, na qualidade de Controladora. A Yuno não processará Dados Pessoais além do escopo autorizado, nem utilizará bases legais próprias sem instrução válida.

B.3 Transferências Internacionais. Dados de Titulares de Dados sujeitos à LGPD poderão ser transferidos para outros países mediante adoção dos mecanismos de transferência internacional previstos na LGPD, incluindo as Cláusulas Contratuais‑Padrão da ANPD, decisões de adequação e outros instrumentos autorizados. A Yuno manterá registros detalhados de tais transferências e adotará salvaguardas, nos termos do DPA.

B.4 Direitos dos Titulares. A Yuno apoiará a Contraparte no atendimento aos direitos dos Titulares de Dados previstos na LGPD, incluindo: confirmação da existência de Tratamento, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informação sobre compartilhamento com entidades públicas e privadas e revisão de decisões automatizadas.

B.5 Conformidade Regulatória com a ANPD. As partes reconhecem a autoridade da Agência Nacional de Proteção de Dados (ANPD) e comprometem-se a cumprir suas normas e deliberações. A Yuno manterá documentação para comprovação de conformidade e apoiará a Contraparte em investigações ou procedimentos instaurados pela Autoridade.

B.6 Relatório de Impacto à Proteção de Dados (RIPD). Quando houver alto risco para os direitos e liberdades dos Titulares de Dados, a Yuno apoiará razoavelmente a Contraparte com a realização de avaliação de impacto e compartilhará conclusões relevantes com a Contraparte, resguardando segredos empresariais e tecnológicos.

‍

‍

ANEXO C: COLÔMBIA

• Entidade Yuno responsável: Yuno Colombia S.A.S. (Colômbia).
• Leis Aplicáveis de Proteção de Dados: Lei 1581 de 2012 e Decreto 1377 de 2013, bem como demais normas que complementam, suplementam ou modificam o marco regulatório (“Regulamentações Colombianas de Proteção de Dados”).

‍

C.1 Estrutura de Tratamento sob a Regulamentação Colombiana. A Yuno realizará o Tratamento de Dados Pessoais em conformidade com os princípios estabelecidos pela legislação colombiana, incluindo legalidade, finalidade, liberdade, veracidade ou qualidade, transparência, acesso e circulação restrita, segurança e confidencialidade. Todos os Tratamentos deverão atender a propósitos legítimos diretamente relacionados aos Serviços.

C.2 Autorizações e Políticas de Privacidade. As Contrapartes deverão obter autorização prévia, expressa e informada dos Titulares de Dados antes de transferir Dados Pessoais à Yuno, devendo implementar políticas de privacidade claras que atendam às exigências legais colombianas. A Yuno apoiará as Contrapartes no desenvolvimento de mecanismos de autorização válidos e no conteúdo dos avisos de privacidade.

C.3 Direitos dos Titulares (Habeas Data). A Yuno dará suporte às Contrapartes para que atendam aos direitos dos Titulares de Dados nos termos da legislação colombiana, incluindo acesso, atualização, retificação e exclusão de Dados Pessoais. Serão implementados procedimentos para assegurar o cumprimento das normas da Superintendência de Indústria e Comércio (SIC) e serão mantidos registros de todas as solicitações de exercício de direitos.

C.4 Transferências Internacionais. As transferências internacionais a partir da Colômbia deverão observar os requisitos de proteção adequada ou salvaguardas contratuais apropriadas previstas na legislação colombiana. A Yuno manterá a documentação dos mecanismos utilizados e atualizará periodicamente as avaliações de adequação de países receptores.

C.5 Conformidade Regulatória com a SIC. Ambas as partes reconhecem a autoridade da SIC e se comprometem a manter os registros pertinentes no Registro Nacional de Bancos de Dados (RNBD). A Yuno fornecerá às Contrapartes todas as informações necessárias para os registros e para comprovar a conformidade.

C.6 Medidas de Segurança e Confidencialidade. A Yuno implementará medidas de segurança técnicas, administrativas e físicas em conformidade com as exigências da SIC, proporcionais à sensibilidade e ao volume de Dados Pessoais tratados. Serão realizadas avaliações de segurança periódicas para assegurar conformidade contínua com os padrões regulatórios em evolução.

‍

ANEXO D: MÉXICO LFPDPPP

• Entidade Yuno responsável: Yuno Tecnologías, S.A.P.I. de C.V. (México).
• Leis Aplicáveis de Proteção de Dados: Lei Federal de Proteção de Dados Pessoais em Posse de Particulares (LFPDPPP), conforme alterada em 2025, e regulamentos da Secretaria de Anticorrupção e Boa Governança.

‍

D.1 Princípios de Tratamento. A Yuno seguirá os princípios da LFPDPPP: licitude, consentimento, informação, qualidade, finalidade, lealdade, proporcionalidade e responsabilidade em todas as atividades de Tratamento. O Tratamento será limitado a finalidades diretamente relacionadas aos Serviços.

D.2 Avisos de Privacidade. As Contrapartes deverão fornecer aos Titulares de Dados avisos de privacidade abrangentes em conformidade com o Art. 15 da LFPDPPP, incluindo a identificação da Yuno como Operadora. A Yuno dará suporte para assegurar que os avisos incluam todas as divulgações obrigatórias.

D.3 Implementação dos Direitos ARCO. A Yuno apoiará as Contrapartes no atendimento às solicitações de Titulares de Dados relativas aos direitos de Acesso, Retificação, Cancelamento e Oposição (ARCO), nos termos dos Arts. 22 a 31 da LFPDPPP. Os procedimentos de resposta garantirão conformidade com os regulamentos da autoridade competente, sendo mantidos registros detalhados de todas as solicitações.

D.4 Transferências Internacionais. As transferências internacionais de Dados Pessoais de Titulares de Dados mexicanos deverão observar os requisitos do Capítulo VI da LFPDPPP, incluindo uso de regras corporativas vinculantes, cláusulas contratuais‑padrão ou certificações de adequação. A Yuno manterá documentação que evidencie níveis adequados de proteção em todos os países receptores.

D.5 Coordenação com a Autoridade. Ambas as partes reconhecem a autoridade da Secretaria de Anticorrupção e Boa Governança, comprometendo‑se a manter registros e documentação de conformidade. A Yuno fornecerá informações às Contrapartes para fins de relatórios regulatórios e responderá prontamente a solicitações de informações da autoridade.

D.6 Medidas de Segurança. A Yuno implementará medidas administrativas, físicas e técnicas exigidas pela LFPDPPP e regulamentos, incluindo controles de acesso, criptografia, procedimentos de resposta a Incidentes de Segurança e avaliações de risco periódicas compatíveis com a sensibilidade dos Dados Pessoais tratados.

‍

ANEXO E: SINGAPURA PDPA

• Entidade Yuno responsável: Smart Routing PTE. Ltd. (Singapura).
• Leis Aplicáveis de Proteção de Dados: Personal Data Protection Act (PDPA, 2012) e diretrizes/regulamentos emitidos pela Personal Data Protection Commission (PDPC).

‍

E.1 Obrigações de Conformidade sob o PDPA. A Yuno atuará como intermediária de dados (data intermediary), em conformidade com o PDPA, processando Dados Pessoais em nome das Contrapartes. O Tratamento observará os princípios do PDPA, incluindo consentimento, limitação de finalidade, notificação, acesso e correção, exatidão, proteção, limitação de retenção e transferência.

E.2 Consentimento e Notificação. As Contrapartes deverão obter consentimento válido dos Titulares de Dados ou apoiar‑se em outras bases legais previstas no Schedule 2 do PDPA antes de transferir Dados Pessoais à Yuno. A Yuno auxiliará na implementação de mecanismos de obtenção e registro de consentimento.

E.3 Notificação de Incidentes de Segurança. A Yuno implementará procedimentos de resposta a Incidentes de Segurança em conformidade com os requisitos obrigatórios de notificação do PDPA. A notificação à PDPC e aos Titulares de Dados será realizada nos prazos e formatos estabelecidos em regulamento, sendo as Contrapartes notificadas imediatamente sobre qualquer Incidente de Segurança que envolva seus dados.

E.4 Transferências Transfronteiriças. Transferências internacionais de Dados Pessoais a partir de Singapura observarão a Seção 26 do PDPA. A Yuno deverá assegurar que os países destinatários possuam nível adequado de proteção ou adotar salvaguardas apropriadas. Manterá documentação de transferências e revisará regularmente avaliações de adequação.

E.5 Direitos de Acesso e Correção. A Yuno apoiará as Contrapartes no atendimento às solicitações de Titulares de Dados relativas aos direitos de acesso e correção sob os Arts. 21 e 22 do PDPA, respeitando os prazos previstos. O procedimento incluirá verificação de identidade, análise de escopo e redação de dados de terceiros quando necessário.

E.6 Cooperação com a PDPC. Ambas as partes comprometem‑se a engajar‑se de forma transparente com a PDPC, inclusive em investigações, auditorias e implementação de orientações regulatórias. A Yuno manterá registro atualizado junto à PDPC e implementará melhores práticas recomendadas.

‍

ANEXO F: ESTADOS UNIDOS (CCPA/CPRA E LEIS ESTADUAIS)

• Entidade Yuno responsável: Yuno USA, LLC (Estados Unidos).
• Leis Aplicáveis de Proteção de Dados: California Consumer Privacy Act (CCPA), conforme alterada pela California Privacy Rights Act (CPRA), Código Civil da Califórnia §1798.100 e seguintes, Virginia Consumer Data Protection Act, Colorado Privacy Act, Connecticut Data Privacy Act e outras legislações estaduais correlatas.

‍

F.1 Obrigações como Prestadora de Serviços. A Yuno atuará como prestadora de serviços sob o CCPA/CPRA ao processar informações pessoais em nome das Contrapartes. A Yuno certifica que: não venderá ou compartilhará informações pessoais; realizará o Tratamento apenas para fins comerciais especificados; não reterá informações além da relação contratual; não combinará informações com outras fontes salvo hipóteses legalmente permitidas; e manterá medidas de segurança adequadas. A Contraparte terá direito de auditoria e de exigir remediações.

F.2 Direitos dos Consumidores. A Yuno apoiará as Contrapartes no atendimento às solicitações dos consumidores californianos e de outros estados que conferem direitos de acesso, exclusão, correção e opt‑out, nos termos do CCPA/CPRA §§1798.100‑1798.150. Serão implementados procedimentos de verificação de identidade, definição de escopo e coordenação com os sistemas da Contraparte.

F.3 Categorias de Informações Pessoais. A Yuno tratará as seguintes categorias, nos termos do CCPA: identificadores, informações comerciais, atividade de Internet, dados de geolocalização e inferências. O Tratamento servirá a finalidades como processamento de pagamentos, prevenção a fraudes e melhoria de serviços.

F.4 Proteção de Informações Pessoais Sensíveis. Para dados classificados como informações pessoais sensíveis pelo CPRA, a Yuno aplicará salvaguardas adicionais, incluindo controles de acesso restritos, períodos limitados de retenção e necessidade de autorização explícita da Contraparte.

F.5 Conformidade com Múltiplas Leis Estaduais. A Yuno monitorará as legislações estaduais (Virginia, Colorado, Connecticut, entre outras) e implementará medidas de conformidade à medida que entrarem em vigor.

F.6 Decisões Automatizadas e Inteligência Artificial. A Yuno apoiará as Contrapartes no atendimento às obrigações de divulgação e transparência sobre decisões automatizadas e uso de IA, conforme exigido pelas legislações estaduais em evolução.

‍

DISPOSIÇÕES GERAIS PARA TODOS OS ANEXOS

‍

Prevalência e Integração. Estes Anexos integram o Acordo Global de Tratamento de Dados Pessoais da Yuno e aplicam‑se de acordo com a jurisdição de origem ou Tratamento dos Dados Pessoais. Em caso de conflito entre o DPA principal e um Anexo, prevalecerão as disposições do Anexo para requisitos jurisdicionais específicos.

Atualizações Regulatórias. A Yuno monitorará o desenvolvimento regulatório em todas as jurisdições aplicáveis e poderá atualizar os Anexos sempre que necessário para manter conformidade, fornecendo aviso prévio às Contrapartes quando houver alterações materiais.

Tratamento Multijurisdicional. Quando o Tratamento envolver Dados Pessoais de múltiplas jurisdições, aplicar‑se‑ão os padrões mais protetivos, salvo quando requisitos específicos exigirem Tratamento diverso. A Yuno manterá documentação detalhada dos requisitos legais aplicáveis a cada atividade de Tratamento.

Data de Vigência. Estes Anexos entram em vigor simultaneamente à execução do DPA principal e permanecem vigentes pelo mesmo período, salvo rescisão conforme disposições aplicáveis.

‍

Contato de Privacidade Global:

• E-mail: privacidade@y.uno
• Resposta a Incidentes de Segurança 24 horas por dia, 7 dias por semana: security@y.uno