Política de Privacidade da Upag
Versão 1.1 — Data de vigência: 25/03/2026
1. Introdução e Escopo
A presente Política de Privacidade ("Política") descreve como a Upag, marca comercial da Upag Soluções em Pagamentos Ltda., coleta, utiliza, armazena, compartilha e protege os dados pessoais dos titulares que interagem com sua plataforma de intermediação de pagamentos, API e demais serviços correlatos.
Esta Política aplica-se a todos os titulares de dados pessoais que se relacionem com a Upag, incluindo: (a) Estabelecimentos (pessoas jurídicas ou físicas que utilizam a Plataforma e API Upag para processar pagamentos — também denominados "Usuários" nos Termos de Uso); (b) Compradores (clientes finais dos Estabelecimentos que realizam pagamentos por meio da infraestrutura Upag); e (c) Visitantes (pessoas que acessam o site, painel administrativo ou páginas de checkout da Upag sem necessariamente realizar transações).
A Upag atua como facilitadora e subcredenciadora de pagamentos, em conformidade com a Lei nº 12.865/2013 e a Circular BCB nº 3.682/2013, intermediando transações entre Estabelecimentos e seus Compradores por meio de cartões de crédito/débito, Pix, boleto bancário e outros meios de pagamento.
Ao utilizar os serviços da Upag, criar uma conta ou realizar uma transação por meio de nossa infraestrutura, você reconhece que leu, compreendeu e concorda com as práticas descritas nesta Política. Esta Política complementa e deve ser interpretada em conjunto com os Termos de Uso da Plataforma e API Upag e os Termos de Licença de Uso de Software Upag.
2. Identificação do Controlador
Razão Social: Upag Soluções em Pagamentos Ltda. Nome Comercial: Upag CNPJ: 63.928.706/0001-38 Endereço: Avenida Presidente Castelo Branco, 950, Sala 06, Bairro Centro, Igrejinha, RS, 95650-000 E-mail de contato: suporte@upag.ioEncarregado de Proteção de Dados (DPO): Seção 16 desta Política
3. Definições
Para fins desta Política, adotam-se as definições da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD) e dos Termos de Uso da Upag, além das seguintes:
- Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável (LGPD, art. 5º, I).
- Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (LGPD, art. 5º, II).
- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
- Controlador: pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais (LGPD, art. 5º, VI).
- Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador (LGPD, art. 5º, VII).
- Tratamento: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração (LGPD, art. 5º, X).
- Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo (LGPD, art. 5º, XI).
- ANPD: Autoridade Nacional de Proteção de Dados, órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD.
- Tokenização: processo de substituição de dados sensíveis de pagamento (como números de cartão) por identificadores únicos (tokens) sem valor intrínseco, que não podem ser revertidos ao dado original sem autorização específica.
4. Tipos de Titulares
A Upag trata dados pessoais de três categorias principais de titulares, conforme o contexto da relação:
4.1. Estabelecimentos (Usuários)
Pessoas jurídicas ou físicas (empresários individuais, MEIs) cadastradas na Plataforma Upag para utilizar os serviços de intermediação de pagamentos. Inclui seus representantes legais, sócios, administradores e colaboradores autorizados.
4.2. Compradores (Clientes Finais)
Pessoas naturais que realizam pagamentos aos Estabelecimentos por meio da infraestrutura da Upag (checkout, links de pagamento, Pix, boleto, cartão de crédito/débito).
4.3. Visitantes
Pessoas que acessam o site institucional da Upag, páginas de checkout, documentação técnica ou quaisquer interfaces web operadas pela Upag, sem necessariamente manter cadastro ou realizar transações.
5. Dados Pessoais que Coletamos
5.1. Dados de Estabelecimentos
| Categoria | Dados Coletados |
|---|---|
| Dados da Entidade | CNPJ/CPF, razão social, nome fantasia, inscrição estadual/municipal, endereço comercial, CNAE, faturamento médio declarado |
| Dados dos Representantes | Nome completo, CPF, RG, data de nascimento, nome da mãe, nacionalidade, estado civil, endereço residencial, telefone, e-mail |
| Documentação KYC | Contrato social/requerimento de empresário, comprovante de endereço, documentos pessoais dos sócios (RG, CNH), comprovante de renda/faturamento, selfie para verificação de identidade (quando aplicável) |
| Dados Bancários | Banco, agência, número da conta, tipo de conta, chave Pix para liquidação |
| Dados de Acesso | Credenciais de login (e-mail e senha criptografada), chaves de API, tokens de autenticação, logs de acesso ao painel |
| Dados de Interação | Registros de atendimento (chamadas, chat, e-mail), tickets de suporte, feedbacks |
5.2. Dados de Compradores
| Categoria | Dados Coletados |
|---|---|
| Dados de Identificação | Nome completo, CPF/CNPJ, e-mail, telefone |
| Dados de Endereço | Endereço de cobrança e/ou entrega (logradouro, número, complemento, bairro, cidade, estado, CEP) |
| Dados de Pagamento | Dados do cartão (número, validade, CVV — tokenizados imediatamente após captura), chave Pix, dados do boleto (código de barras, linha digitável), nome do portador, método de pagamento escolhido, número de parcelas |
| Dados Transacionais | Valor da transação, data e hora, status do pagamento, histórico de compras no Estabelecimento, registros de chargebacks e disputas |
5.3. Dados Coletados Automaticamente (todos os titulares)
| Categoria | Dados Coletados |
|---|---|
| Dados de Conexão | Endereço IP, porta de origem, provedor de internet |
| Dados de Dispositivo | Tipo de dispositivo (desktop, mobile, tablet), sistema operacional, versão do navegador, resolução de tela, idioma configurado |
| Dados de Navegação | Páginas acessadas, URLs de referência, duração da sessão, cliques, rolagem, interações com elementos da página |
| Dados de Geolocalização | Localização aproximada derivada do endereço IP |
| Cookies e Identificadores | Identificadores de cookies, web beacons, pixels de rastreamento, identificadores de sessão |
| Logs de Acesso | Registros de acesso à aplicação com data, hora e IP (conforme art. 15, Marco Civil da Internet) |
5.4. Dados Sensíveis
A Upag pode coletar os seguintes dados pessoais sensíveis, exclusivamente quando necessário:
- Dados biométricos (facial): selfie para verificação de identidade no processo de cadastro (KYC) de Estabelecimentos, com base legal no art. 11, II, "g" da LGPD (garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos).
- Condição de Pessoa Politicamente Exposta (PEP): autodeclaração coletada para cumprimento de obrigação legal/regulatória (Circular BCB nº 3.978/2020), com base legal no art. 11, II, "a" da LGPD.
6. Finalidades e Bases Legais do Tratamento
A Upag trata dados pessoais exclusivamente para finalidades legítimas, específicas e informadas ao titular, utilizando as bases legais previstas nos artigos 7º e 11 da LGPD:
| Finalidade | Dados Utilizados | Base Legal (LGPD) |
|---|---|---|
| Cadastro e verificação de identidade do Estabelecimento (KYC) | Dados da entidade, representantes, documentação, biometria facial | Art. 7º, II (obrigação legal — Circular BCB 3.978/2020) e art. 11, II, "g" (biometria) |
| Processamento de transações de pagamento (cartão, Pix, boleto) | Dados de identificação, pagamento e transacionais do Comprador | Art. 7º, V (execução de contrato) |
| Prevenção e detecção de fraudes | Dados de conexão, dispositivo, geolocalização, comportamentais, transacionais | Art. 7º, IX (legítimo interesse) |
| Análise de risco de crédito e scoring | Dados cadastrais, transacionais, consultas a bureaus | Art. 7º, X (proteção do crédito) |
| Cumprimento de obrigações regulatórias (PLD/FT, COAF, BCB) | Dados cadastrais, transacionais, KYC, PEP | Art. 7º, II (obrigação legal — Lei 9.613/1998, Circular BCB 3.978/2020) |
| Compartilhamento de indícios de fraude com instituições autorizadas | Dados transacionais e de identificação | Art. 7º, II (obrigação legal — Resolução Conjunta nº 6/2023) |
| Liquidação e repasse de valores ao Estabelecimento | Dados bancários, transacionais | Art. 7º, V (execução de contrato) |
| Gestão de chargebacks e disputas | Dados transacionais, de identificação, documentação comprobatória | Art. 7º, V (execução de contrato) e art. 7º, VI (exercício regular de direitos) |
| Suporte técnico e atendimento ao cliente | Dados de interação, cadastrais, transacionais | Art. 7º, V (execução de contrato) |
| Melhoria da plataforma e desenvolvimento de produto | Dados de navegação, uso da plataforma (anonimizados quando possível) | Art. 7º, IX (legítimo interesse) |
| Análise de uso e métricas (analytics) | Cookies analíticos, dados de navegação | Art. 7º, I (consentimento) |
| Comunicações de marketing e ofertas | E-mail, nome, perfil de uso | Art. 7º, I (consentimento) |
| Envio de comunicações transacionais e operacionais | E-mail, telefone | Art. 7º, V (execução de contrato) |
| Defesa em processos judiciais, administrativos ou arbitrais | Quaisquer dados relevantes ao caso | Art. 7º, VI (exercício regular de direitos) |
| Cumprimento de ordens judiciais e requisições de autoridades | Dados requisitados especificamente | Art. 7º, II (obrigação legal) |
A Upag mantém documentação interna de avaliação de legítimo interesse (LIA — Legitimate Interest Assessment) para as atividades de tratamento baseadas no art. 7º, IX da LGPD, em conformidade com o Guia Orientativo sobre Legítimo Interesse publicado pela ANPD em fevereiro de 2024.
7. Upag como Controladora de Dados
Para determinadas atividades de tratamento, a Upag atua como Controladora, tomando decisões sobre finalidades e meios do tratamento de dados pessoais. Isso inclui:
- Cadastro e credenciamento de Estabelecimentos: a Upag define quais dados são necessários para o processo de KYC (Know Your Customer), realiza verificação de identidade, consulta bureaus de crédito e listas de prevenção à fraude, e decide sobre a aprovação ou recusa do cadastro.
- Análise antifraude de transações: a Upag opera modelos proprietários de detecção de fraude que analisam padrões transacionais, dados de dispositivo e comportamento para identificar atividades suspeitas, definindo os critérios e limiares de risco.
- Processamento de Pix: quando a Upag atua como participante direto ou indireto do arranjo Pix, define os parâmetros de processamento das transações instantâneas.
- Cumprimento de obrigações regulatórias: a Upag decide autonomamente sobre comunicações ao COAF, relatórios ao Banco Central, consultas a listas de sanções e demais obrigações decorrentes da legislação de PLD/FT.
- Gestão do relacionamento comercial com Estabelecimentos: dados de uso da plataforma, métricas de desempenho, comunicações de suporte e análises de risco de negócio.
8. Upag como Operadora de Dados
Para outras atividades, a Upag atua como Operadora, tratando dados pessoais em nome e conforme instruções dos Estabelecimentos:
- Processamento de pagamentos com cartão de crédito/débito: a Upag captura, tokeniza e transmite os dados de pagamento dos Compradores às credenciadoras e bandeiras de cartão para autorização e liquidação, seguindo as instruções do Estabelecimento quanto a valores, parcelas e condições da transação.
- Armazenamento de dados de Compradores: quando o Estabelecimento solicita, a Upag armazena dados de identificação e transacionais dos Compradores para fins de recorrência, gestão de pedidos ou histórico transacional.
- Geração de cobranças (boleto, Pix): a Upag gera instrumentos de cobrança com os dados fornecidos pelo Estabelecimento, atuando como operadora na execução da instrução de pagamento.
Quando atua como Operadora, a Upag trata os dados pessoais exclusivamente para as finalidades determinadas pelo Estabelecimento (Controlador), conforme as instruções recebidas e os limites destes Termos. O Estabelecimento permanece responsável por garantir a base legal para o tratamento, obter o consentimento dos Compradores quando necessário, e atender aos direitos dos titulares no que se refere aos dados por ele controlados.
9. Compartilhamento de Dados
A Upag pode compartilhar dados pessoais com terceiros nas seguintes categorias, sempre para finalidades específicas e legítimas:
9.1. Parceiros da Cadeia de Pagamentos
| Categoria de Destinatário | Finalidade | Papel LGPD |
|---|---|---|
| Credenciadoras/Adquirentes | Autorização, captura e liquidação de transações com cartão | Controlador independente |
| Bandeiras de Cartão | Autorização de transações, gestão de disputas, cumprimento de regras do arranjo | Controlador independente |
| Bancos Emissores/Liquidantes | Verificação do portador, autorização de fundos, liquidação | Controlador independente |
| Processadores de Pagamento Parceiros | Processamento de métodos de pagamento específicos (Pix, boleto) | Controlador independente ou Operador, conforme o caso |
9.2. Prestadores de Serviços (Operadores)
| Categoria | Finalidade |
|---|---|
| Provedores de infraestrutura em nuvem | Hospedagem, armazenamento e processamento de dados |
| Serviços de antifraude | Análise de risco e prevenção de fraudes em transações |
| Provedores de análise de crédito e bureaus | Consulta a bases de dados para análise de risco e proteção ao crédito (Serasa, SPC, Boa Vista, Quod) |
| Provedores de analytics | Análise de uso da plataforma e métricas de desempenho |
| Provedores de comunicação | Envio de e-mails transacionais, notificações e SMS |
| Provedores de verificação de identidade | Validação de documentos e biometria no processo de KYC |
Todos os prestadores de serviços que atuam como Operadores estão vinculados por contratos que impõem obrigações de sigilo, segurança e tratamento de dados em conformidade com a LGPD.
9.3. Autoridades e Órgãos Reguladores
A Upag pode compartilhar dados pessoais com autoridades governamentais e órgãos reguladores, sem necessidade de consentimento prévio do titular, nas seguintes hipóteses:
- Banco Central do Brasil (BCB): cumprimento de obrigações regulatórias, reportes do Cadastro de Clientes do Sistema Financeiro (CCS), supervisão prudencial.
- Conselho de Controle de Atividades Financeiras (COAF): comunicação de operações suspeitas nos termos da Lei nº 9.613/1998. O titular não será notificado sobre esta comunicação, conforme determinação legal (art. 11, II da Lei 9.613/1998).
- Receita Federal do Brasil: cumprimento de obrigações fiscais e tributárias.
- Autoridade Nacional de Proteção de Dados (ANPD): atendimento a requisições e investigações.
- Poder Judiciário e Ministério Público: cumprimento de ordens judiciais e requisições legais.
- Órgãos de Defesa do Consumidor (PROCON e similares): atendimento a procedimentos administrativos.
9.4. Compartilhamento Interinstitucional de Indícios de Fraude
Em cumprimento à Resolução Conjunta nº 6/2023 do Banco Central do Brasil e do Conselho Monetário Nacional, a Upag compartilha dados e informações sobre indícios de ocorrências ou tentativas de fraudes com outras instituições autorizadas pelo BCB, por meio de sistema eletrônico. Este compartilhamento é obrigatório por força de regulamentação e visa proteger o sistema financeiro e os próprios titulares de dados contra fraudes. O registro de indícios de fraude será comunicado ao titular afetado, e este poderá solicitar acesso e correção das informações registradas.
10. Transferência Internacional de Dados
A Upag armazena dados pessoais prioritariamente em servidores localizados no Brasil. No entanto, em razão da utilização de provedores de infraestrutura em nuvem e serviços complementares com operação global, determinados dados pessoais podem ser transferidos para servidores ou acessados por equipes de suporte técnico localizados fora do território brasileiro.
As transferências internacionais de dados ocorrem nas seguintes hipóteses:
- Utilização de serviços de infraestrutura em nuvem com replicação ou backup em regiões fora do Brasil;
- Acesso por equipes de suporte técnico de provedores localizados no exterior;
- Processamento de transações com cartões internacionais que demande comunicação com entidades estrangeiras (bandeiras, bancos emissores);
- Utilização de ferramentas de analytics operadas por empresas com sede no exterior.
Para todas as transferências internacionais, a Upag adota as seguintes salvaguardas, em conformidade com os arts. 33 a 36 da LGPD e com a Resolução CD/ANPD nº 19/2024 (que regulamenta as transferências internacionais de dados):
- Cláusulas Contratuais Padrão (SCCs): celebradas conforme modelo aprovado pela ANPD (Anexo II da Resolução CD/ANPD nº 19/2024), sem modificações, com todos os destinatários internacionais de dados pessoais.
- Medidas técnicas de segurança: criptografia em trânsito (TLS 1.2 ou superior) e em repouso, controles de acesso baseados em função (role-based access control), monitoramento contínuo e auditoria de acessos.
- Certificações dos provedores: seleção de provedores que possuam certificações reconhecidas internacionalmente (ISO/IEC 27001, SOC 1/2/3, PCI DSS Level 1 Service Provider).
O titular pode solicitar à Upag, a qualquer momento, informações sobre a existência de transferências internacionais de seus dados e acesso ao conteúdo das cláusulas contratuais que fundamentam tais transferências, observado o sigilo comercial e industrial. O prazo para fornecimento dessas informações é de 15 (quinze) dias a contar da solicitação.
11. Retenção e Armazenamento de Dados
A Upag retém os dados pessoais pelo tempo necessário para cumprir as finalidades para as quais foram coletados, observados os prazos mínimos de retenção impostos pela legislação e regulamentação aplicáveis:
| Categoria de Dados | Prazo de Retenção | Fundamento Legal |
|---|---|---|
| Registros de transações (PLD/FT) | 10 anos contados de 1º de janeiro do ano seguinte à operação | Circular BCB nº 3.978/2020, art. 67 |
| Dados de identificação e cadastro (KYC) | 10 anos após o encerramento da relação contratual | Circular BCB nº 3.978/2020, art. 67 |
| Dados do Cadastro de Clientes do SF (CCS) | 10 anos após o encerramento da relação | Resolução BCB nº 179/2022, art. 3º |
| Registros de indícios de fraude compartilhados | 10 anos | Resolução Conjunta nº 6/2023, art. 8º |
| Dados de monitoramento de fraude | 5 anos | Resolução Conjunta nº 6/2023, art. 8º |
| Documentação fiscal e tributária | 5 anos | Código Tributário Nacional, arts. 173-174 |
| Registros de acesso à aplicação (logs) | 6 meses (mínimo) | Marco Civil da Internet, art. 15 |
| Dados coletados com base em consentimento | Até a revogação do consentimento ou cumprimento da finalidade | LGPD, art. 15, III |
| Cookies analíticos e de marketing | Conforme tabela de cookies (Seção 13) | LGPD + Guia ANPD sobre Cookies |
| Dados para defesa em processos judiciais | Até o trânsito em julgado ou prescrição do direito | LGPD, art. 16, II |
Ao término do prazo de retenção aplicável, os dados pessoais serão eliminados de forma segura ou anonimizados de modo irreversível, salvo quando sua conservação for necessária para: (i) cumprimento de obrigação legal ou regulatória (LGPD, art. 16, I); (ii) transferência a terceiro, respeitados os requisitos de tratamento (LGPD, art. 16, III); ou (iii) uso exclusivo do controlador, vedado seu acesso por terceiro, desde que anonimizados (LGPD, art. 16, IV).
Nota importante para Compradores: mesmo após a revogação de consentimento ou solicitação de eliminação, a Upag poderá manter dados transacionais e de identificação pelo prazo mínimo exigido pelas normas do Banco Central do Brasil (até 10 anos), exclusivamente para cumprimento de obrigações regulatórias. Durante esse período, os dados retidos serão utilizados somente para a finalidade regulatória, e não para marketing, análise comercial ou qualquer outra finalidade.
12. Segurança dos Dados
A Upag adota medidas técnicas e organizacionais adequadas para proteger os dados pessoais sob sua guarda contra acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, em conformidade com a LGPD, a Resolução BCB nº 85/2021 (política de segurança cibernética para instituições de pagamento) e as melhores práticas de mercado.
12.1. Medidas Técnicas
- Criptografia: dados em trânsito são protegidos por criptografia TLS. Dados em repouso são criptografados nos sistemas de armazenamento.
- Tokenização de dados de pagamento: dados sensíveis de cartão de crédito/débito são substituídos por tokens irreversíveis imediatamente após a captura, utilizando módulos de segurança de hardware (HSMs) certificados. A Upag não armazena dados completos de cartão em texto claro.
- Controle de acesso: acesso aos dados pessoais é restrito a colaboradores e prestadores de serviços que necessitem conhecê-los para o desempenho de suas funções, com base no princípio do menor privilégio (least privilege). A autenticação multifator (MFA) é exigida para acesso a sistemas críticos.
- Monitoramento contínuo: sistemas de detecção de intrusão e monitoramento operam de forma contínua, 24 horas por dia, 7 dias por semana.
- Testes de segurança: auditorias de segurança independentes e testes de penetração são realizados periodicamente.
12.2. Medidas Organizacionais
- Treinamento: colaboradores com acesso a dados pessoais recebem treinamento periódico sobre proteção de dados e segurança da informação.
- Políticas internas: a Upag mantém política de segurança cibernética, plano de resposta a incidentes, política de controle de acesso e procedimentos de gestão de vulnerabilidades.
- Gestão de terceiros: prestadores de serviços com acesso a dados pessoais são avaliados quanto a suas práticas de segurança e vinculados por obrigações contratuais de proteção de dados.
- Conformidade PCI DSS: a Upag adota medidas alinhadas ao padrão PCI DSS (Payment Card Industry Data Security Standard) para proteção de dados de cartão de pagamento.
12.3. Limitação de Garantia
Nenhum sistema de segurança é completamente infalível. Embora a Upag adote medidas robustas para proteger os dados pessoais, não é possível garantir segurança absoluta contra todas as formas de ameaça. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Upag adotará os procedimentos descritos na Seção 12.4.
12.4. Notificação de Incidentes de Segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais, a Upag:
- Comunicará a ANPD no prazo de 3 (três) dias úteis a contar da ciência do incidente, conforme Resolução CD/ANPD nº 15/2024;
- Comunicará os titulares afetados, quando o incidente envolver dado financeiro ou puder gerar risco relevante, informando: (a) a natureza dos dados afetados; (b) as medidas técnicas e de segurança adotadas; (c) os riscos relacionados ao incidente; (d) as medidas que foram ou serão adotadas para reverter ou mitigar os efeitos; e (e) os dados de contato do Encarregado;
- Registrará internamente o incidente, incluindo causas, efeitos e providências adotadas, mantendo tal registro disponível para fiscalização pela ANPD.
O compromisso de comunicação de incidentes entre Upag e Estabelecimentos é de 48 (quarenta e oito) horas, conforme previsto nos Termos de Uso (cláusula 14.3), prazo mais rigoroso que o exigido pela ANPD.
13. Cookies e Tecnologias de Rastreamento
A Upag utiliza cookies e tecnologias similares (web beacons, pixels, identificadores de dispositivo) em suas páginas web e checkout para diferentes finalidades.
13.1. O que são Cookies
Cookies são pequenos arquivos de texto armazenados no dispositivo do usuário quando este acessa um site. Eles permitem que o site reconheça o dispositivo em visitas futuras e armazene preferências ou informações de sessão.
13.2. Categorias de Cookies Utilizados
| Categoria | Exemplos | Finalidade | Consentimento | Prazo |
|---|---|---|---|---|
| Estritamente Necessários | Sessão de checkout, autenticação, CSRF, antifraude, balanceamento de carga | Funcionamento essencial da plataforma e segurança das transações | Não necessário (base legal: execução de contrato/legítimo interesse) | Sessão ou até 24 horas |
| Analíticos | Google Analytics | Análise de uso da plataforma, métricas de navegação, otimização da experiência | Sim (consentimento prévio) | Até 24 meses |
| Funcionais | Preferências de idioma, região, configurações do painel | Personalização da experiência do usuário | Sim (consentimento prévio) | Até 12 meses |
| Marketing | Pixels de remarketing, cookies de publicidade | Exibição de anúncios relevantes e medição de campanhas | Sim (consentimento prévio) | Até 12 meses |
13.3. Gestão de Cookies
Ao acessar a plataforma Upag pela primeira vez, o usuário será apresentado a um banner de cookies com as seguintes opções:
- Aceitar todos os cookies
- Rejeitar cookies não necessários
- Gerenciar preferências (acesso ao painel de controle com opções granulares por categoria)
Os cookies não essenciais (analíticos, funcionais e de marketing) são desativados por padrão e só serão ativados após o consentimento explícito do usuário, em conformidade com o Guia Orientativo sobre Cookies e Proteção de Dados Pessoais publicado pela ANPD em outubro de 2022.
O consentimento pode ser revogado a qualquer momento por meio do painel de preferências de cookies, acessível pelo link "Gerenciar Cookies" disponível no rodapé de todas as páginas da Upag.
13.4. Cookies de Terceiros
A Upag utiliza o Google Analytics, serviço fornecido pela Google LLC (Estados Unidos), para analisar como os usuários interagem com a plataforma. O Google Analytics utiliza cookies para coletar informações sobre a visita do usuário, incluindo páginas acessadas, duração da sessão e tipo de dispositivo. Esses dados são transferidos e processados pela Google nos Estados Unidos, conforme sua própria política de privacidade. A ativação desses cookies ocorre somente mediante consentimento prévio do usuário.
Para informações sobre como o Google utiliza os dados coletados, consulte: https://policies.google.com/privacy. Para desativar o Google Analytics em seu navegador, acesse: https://tools.google.com/dlpage/gaoptout.
13.5. Cookies em Páginas de Checkout
Nas páginas de checkout (onde o Comprador realiza o pagamento), os cookies estritamente necessários para o processamento seguro da transação e para a detecção de fraude são sempre ativados, independentemente das preferências de cookies do usuário, pois são essenciais para a execução do contrato de pagamento e para a segurança do titular. A funcionalidade de checkout nunca será bloqueada em razão da recusa de cookies não essenciais.
14. Direitos dos Titulares
Em conformidade com o art. 18 da LGPD, os titulares de dados pessoais podem exercer, a qualquer momento e mediante requisição, os seguintes direitos:
(I) Confirmação da existência de tratamento — o titular pode obter confirmação de que a Upag trata seus dados pessoais.
(II) Acesso aos dados — o titular pode solicitar acesso aos dados pessoais que a Upag mantém sobre ele.
(III) Correção de dados incompletos, inexatos ou desatualizados — o titular pode solicitar a correção de seus dados pessoais.
(IV) Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD — o titular pode solicitar a anonimização, bloqueio ou eliminação de dados que considere desnecessários ou excessivos.
(V) Portabilidade dos dados a outro fornecedor de serviço ou produto — o titular pode solicitar a portabilidade de seus dados a outro prestador de serviço, mediante requisição expressa e observada a regulamentação da ANPD.
(VI) Eliminação de dados pessoais tratados com base no consentimento — o titular pode solicitar a eliminação de dados pessoais cujo tratamento tenha sido baseado em consentimento, exceto nas hipóteses de conservação previstas no art. 16 da LGPD.
(VII) Informação sobre compartilhamento — o titular pode obter informações sobre as entidades públicas e privadas com as quais a Upag compartilha seus dados pessoais.
(VIII) Informação sobre a possibilidade de não fornecer consentimento e consequências — o titular tem direito a ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências dessa negativa. No contexto da Upag, a negativa de consentimento para cookies analíticos e de marketing não impedirá o uso dos serviços essenciais; contudo, a recusa em fornecer dados necessários ao processamento de pagamentos poderá impossibilitar a realização de transações.
(IX) Revogação do consentimento — o titular pode revogar o consentimento previamente concedido a qualquer momento, de forma gratuita e facilitada, sem prejuízo dos tratamentos realizados anteriormente com base no consentimento.
14.1. Decisões Automatizadas (art. 20 da LGPD)
A Upag utiliza processos automatizados para análise de risco de fraude e aprovação de transações. O titular tem o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluindo decisões destinadas a definir seu perfil pessoal, profissional, de consumo ou de crédito. A Upag fornecerá informações claras e adequadas sobre os critérios e procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
14.2. Como Exercer seus Direitos
As solicitações podem ser realizadas pelos seguintes canais:
- E-mail do Encarregado (DPO): suporte@upag.io
- Formulário web: disponível em https://upag.io/suporte
Antes de atender à solicitação, a Upag poderá solicitar a verificação da identidade do titular para garantir que os dados pessoais não sejam divulgados a terceiros não autorizados.
14.3. Prazos de Atendimento
- Confirmação da existência de tratamento: resposta imediata, em formato simplificado (art. 19, I da LGPD).
- Declaração completa: no prazo de 15 (quinze) dias contados da data do requerimento do titular (art. 19, II da LGPD).
- Todas as solicitações serão atendidas gratuitamente (art. 18, §5º da LGPD).
14.4. Limitações ao Exercício de Direitos
A Upag poderá negar ou limitar o atendimento a solicitações de eliminação, anonimização ou portabilidade de dados quando:
- Houver obrigação legal ou regulatória que determine a conservação dos dados (por exemplo, retenção de 10 anos exigida pela Circular BCB nº 3.978/2020) — LGPD, art. 16, I;
- Os dados forem necessários para o exercício regular de direitos em processo judicial, administrativo ou arbitral — LGPD, art. 16, II;
- A eliminação comprometer a integridade e segurança de registros históricos de transações financeiras sujeitos a obrigações regulatórias;
- O titular não puder ser adequadamente identificado.
Nesses casos, a Upag informará ao titular o motivo da negativa e os fundamentos legais aplicáveis.
14.5. Direito de Petição à ANPD
O titular tem o direito de apresentar petição à Autoridade Nacional de Proteção de Dados (ANPD) caso considere que seus direitos não foram adequadamente atendidos pela Upag (art. 18, §1º da LGPD), bem como a órgãos de defesa do consumidor (art. 18, §8º da LGPD).
15. Dados de Menores
A Upag não oferece seus serviços diretamente a menores de 18 anos. Os serviços de intermediação de pagamentos destinam-se a Estabelecimentos legalmente constituídos e a Compradores maiores de idade. Caso a Upag identifique que coletou inadvertidamente dados pessoais de menores de 18 anos sem o consentimento dos pais ou responsáveis legais, adotará medidas para eliminar tais dados de seus sistemas.
16. Encarregado de Proteção de Dados (DPO)
A Upag designou um Encarregado de Proteção de Dados Pessoais (DPO), nos termos do art. 41 da LGPD, responsável por:
- Aceitar reclamações e comunicações dos titulares de dados, prestar esclarecimentos e adotar providências;
- Receber comunicações da ANPD e adotar providências;
- Orientar os funcionários e contratados da Upag sobre as práticas de proteção de dados pessoais;
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Dados de contato do Encarregado:
- Nome: Guilherme Henkes Both
- E-mail: suporte@upag.io
- Endereço: Avenida Presidente Castelo Branco, 950, Sala 06, Bairro Centro, Igrejinha, RS, 95650-000
17. Atualizações desta Política
A Upag poderá atualizar esta Política de Privacidade periodicamente para refletir mudanças em seus serviços, práticas de tratamento de dados ou exigências legais e regulatórias. Sempre que alterações relevantes forem realizadas:
- A Upag comunicará os Estabelecimentos por meio de aviso no painel da plataforma e/ou e-mail enviado ao endereço cadastrado;
- Os Compradores e Visitantes serão informados por meio de aviso destacado no site da Upag;
- A versão atualizada indicará a data de vigência e as principais modificações realizadas;
- As alterações entrarão em vigor 30 (trinta) dias após a comunicação, salvo se prazo diverso for informado na notificação ou exigido por lei.
O uso continuado dos serviços da Upag após a entrada em vigor de uma nova versão desta Política será considerado concordância com as alterações realizadas. A Upag manterá as versões anteriores desta Política arquivadas e disponíveis para consulta mediante solicitação.
18. Legislação Aplicável e Foro
Esta Política de Privacidade é regida pelas leis da República Federativa do Brasil, em especial:
- Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD)
- Lei nº 12.965/2014 — Marco Civil da Internet
- Lei nº 12.865/2013 — Arranjos e Instituições de Pagamento
- Lei nº 9.613/1998 — Prevenção à Lavagem de Dinheiro
- Lei Complementar nº 105/2001 — Sigilo das Operações de Instituições Financeiras
- Circular BCB nº 3.978/2020 — Procedimentos de PLD/FT
- Resolução BCB nº 85/2021 — Segurança Cibernética para Instituições de Pagamento
- Resolução BCB nº 179/2022 — Cadastro de Clientes do Sistema Financeiro
- Resolução Conjunta nº 6/2023 — Compartilhamento de Dados sobre Fraudes
- Resolução CD/ANPD nº 15/2024 — Comunicação de Incidentes de Segurança
- Resolução CD/ANPD nº 19/2024 — Transferências Internacionais de Dados
Fica eleito o foro da Comarca de Porto Alegre, Estado do Rio Grande do Sul, Brasil, para dirimir quaisquer controvérsias decorrentes desta Política, conforme cláusula 13.2 dos Termos de Uso da Plataforma e API Upag.
19. Contato
Para quaisquer dúvidas, solicitações ou reclamações relacionadas a esta Política de Privacidade ou ao tratamento de seus dados pessoais pela Upag, entre em contato:
- E-mail do Encarregado (DPO): suporte@upag.io
- E-mail geral: suporte@upag.io
- Site: https://upag.io
Última atualização: 25/03/2026Versão: 1.1