NEOM · Documento 02

Política de Privacidade

Política de Privacidade da Neom Triple A Information Technology LLC (NEOM Funded) que rege a coleta, o uso, o armazenamento, a divulgação e a proteção de dados pessoais sob o GDPR, o UK GDPR, a UAE PDPL, a CCPA/CPRA e a PIPEDA. Abrange bases legais, destinatários, transferências internacionais, cookies, prazos de retenção, direitos do titular dos dados e contatos.

Alinhada com os T&C | Data de Publicação (Publication Date): 24 de setembro de 2026

Esta Política de Privacidade (a "Política") constitui a versão canônica oficial em língua inglesa. Em caso de qualquer discrepância entre as versões linguísticas, esta versão em inglês prevalece após sua publicação.

Esta Política rege a coleta, o uso, o armazenamento, a divulgação e a proteção de dados pessoais em conexão com as atividades da Neom Triple A Information Technology LLC, operando sob a marca NEOM Funded.

§1 Identificação do Controlador e Informações de Contato

1.1 Controlador (Data Controller). O controlador na acepção do Regulamento (UE) 2016/679 (GDPR), do GDPR do Reino Unido (UK GDPR) tal como retido e alterado sob o Data Protection Act 2018, do Decreto-Lei Federal dos EAU n.º 45 de 2021 sobre a Proteção de Dados Pessoais (a 'UAE PDPL'; comumente citado como 'UAE Federal Decree-Law No. 45 of 2021'), e de outra legislação de proteção de dados aplicável é:

Nome legal completo: Neom Triple A Information Technology LLC Marca: NEOM Funded Endereço registrado: The Binary by Omniyat, Office 2114, Business Bay, Dubai, UAE Site: neomfunded.com

1.2 Dados de Contato do Controlador. Para todas as questões relativas a esta Política e ao tratamento (Processing) de dados pessoais em conexão com os Serviços, os Participantes (Participants) poderão entrar em contato com a Empresa pelos seguintes canais dedicados:

  • Consultas de privacidade, questões de proteção de dados e exercício de direitos do titular dos dados (Contato de Privacidade (Privacy Contact) enquanto se aguarda a designação de DPO): [email protected]
  • Consultas gerais e suporte: [email protected]

A Empresa busca confirmar prontamente o recebimento de todas as comunicações relacionadas a privacidade e responderá substantivamente dentro dos prazos prescritos pela lei aplicável, conforme detalhado adicionalmente no §11 desta Política.

1.3 Relação com os T&C. Esta Política é um documento autônomo que confere efeito às obrigações de proteção de dados estabelecidas no Capítulo 29 dos Termos e Condições da Empresa (os T&C, §§29.0–29.15). Ela deve ser lida em conjunto com os T&C. Quando houver qualquer conflito entre esta Política e o Capítulo 29 dos T&C, prevalecerão as disposições do Capítulo 29 dos T&C. Os dados dos Representantes na UE e no Reino Unido (EU and UK Representatives) e do Representante para a Lei de Dados da UE (EU Data Act Representative) estão estabelecidos no §16 desta Política, em conformidade com o §29.15 dos T&C. Esta Política aplica-se a todos os Participantes que acessem ou utilizem os Serviços (Services) prestados pela NEOM Funded, independentemente da jurisdição a partir da qual acessem tais Serviços.

§2 Arcabouço Regulatório

2.1 Arcabouços Legais Aplicáveis. O tratamento de dados pessoais pela Neom Triple A Information Technology LLC é realizado em conformidade com a seguinte legislação, e a Empresa implementou medidas técnicas e organizacionais para apoiar a conformidade com cada arcabouço aplicável:

(a) Regulamento (UE) 2016/679 (Regulamento Geral sobre a Proteção de Dados, GDPR) – em relação aos titulares dos dados (data subjects) localizados na UE/EEE. O GDPR estabelece um arcabouço abrangente para o tratamento de dados pessoais, incluindo requisitos relativos a bases legais para tratamento, direitos do titular dos dados, transferências de dados, notificação de violação (breach notification) e responsabilização;

(b) UK GDPR (Regulamento (UE) 2016/679 tal como retido e alterado sob o Data Protection Act 2018) – em relação aos titulares dos dados localizados no Reino Unido. O UK GDPR espelha substancialmente o GDPR da UE em seus requisitos e é aplicado pelo Information Commissioner's Office (ICO);

(c) Decreto-Lei Federal dos EAU n.º 45 de 2021 sobre a Proteção de Dados Pessoais (a 'UAE PDPL') e seus Regulamentos Executivos. Na Data de Vigência desta Política, os Regulamentos Executivos à UAE PDPL contemplados pelo Artigo 47 da PDPL ainda não foram emitidos pelo Gabinete dos EAU. As referências nesta Política e no §6.6 dos T&C à UAE PDPL e aos "regulamentos de implementação emitidos pelo UAE Data Office" serão interpretadas em conformidade. A Empresa atualizará suas práticas de proteção de dados e esta Política em linha com tais Regulamentos Executivos dentro do período de implementação ali prescrito, mediante sua emissão, e publicará uma atualização correspondente desta Política;

(d) O California Consumer Privacy Act de 2018, conforme alterado pelo California Privacy Rights Act 2020 (CCPA/CPRA) – em relação aos residentes da Califórnia. Direitos adicionais específicos para residentes da Califórnia estão estabelecidos no §13 desta Política;

(e) O Canadian Personal Information Protection and Electronic Documents Act (PIPEDA) – em relação aos residentes canadenses. Disposições adicionais aplicáveis aos residentes canadenses estão estabelecidas no §15 desta Política.

2.2 Princípio da Não Derrogação. Nada nesta Política opera para reduzir qualquer direito de um titular dos dados sob qualquer dos arcabouços precedentes que esteja atualmente em vigor na Data de Vigência. Quando qualquer disposição desta Política for suscetível de mais de uma interpretação, ela será interpretada da forma que melhor dê efeito ao arcabouço legal aplicável.

2.3 Escopo Territorial. Esta Política aplica-se ao tratamento de dados pessoais de indivíduos localizados em qualquer jurisdição a partir da qual acessem os Serviços, independentemente do local de constituição da Empresa, na medida em que a lei aplicável daquela jurisdição exerça efeito extraterritorial.

§3 Categorias de Dados Pessoais que Coletamos

3.1 Categorias Coletadas. Coletamos as seguintes categorias de dados pessoais (personal data):

(a) Dados de identidade (Identity data): nome completo, data de nascimento, nacionalidade, país de residência, documentos de identificação emitidos por governo (passaporte, identidade nacional, carteira de motorista) – coletados para conformidade com KYC/AML sob o §6.4 dos T&C;

(b) Dados de contato (Contact data): endereço de e-mail, número de telefone, endereço postal, endereço de cobrança;

(c) Dados de conta (Account data): nome de usuário, senha (armazenada em hash e com salt), preferências de conta, preferências de comunicação, status da conta;

(d) Dados de pagamento (Payment data): detalhes de instrumento de pagamento (tratados por PSPs terceirizados – ver §6 desta Política), histórico de cobrança, registros de transação;

(e) Dados comportamentais (Behavioural data): registros de atividade de operação (trading activity logs), interações no painel, endereço IP, características de dispositivo e navegador, fuso horário, padrões de login;

(f) Dados de conformidade (Compliance data): resultados de triagem de sanções, declarações de origem de fundos quando exigidas por lei, pontuação de prevenção a fraudes, avaliação de risco AML;

(g) Dados de comunicações (Communications data): tíquetes de suporte, transcrições de chat, correspondência por e-mail com a Empresa.

3.2 Responsabilidade do Participante. Quando os dados pessoais forem fornecidos pelo Participante, o Participante é responsável por assegurar que as informações sejam verdadeiras, completas e atualizadas, e deverá notificar prontamente a Empresa de quaisquer alterações. O fornecimento de dados pessoais falsos, inexatos ou enganosos poderá resultar na suspensão ou rescisão da conta do Participante em conformidade com os T&C.

3.3 Dados de Categoria Especial (Special Category Data). A Empresa não coleta dados de categoria especial na acepção do Artigo 9 do GDPR (p. ex., origem racial ou étnica, religião, dados biométricos para fins de identificação, dados de saúde, dados relativos à orientação sexual), salvo se o Participante consentir expressamente com uma finalidade específica de tratamento. As imagens de documentos de identidade são tratadas para verificação de identidade sob o Artigo 6(1)(c) do GDPR (obrigação legal AML) e não são tratadas como dados biométricos sob o Artigo 9 do GDPR, salvo se utilizadas para identificação biométrica. Quando quaisquer dados de categoria especial forem fornecidos por um Participante sem solicitação, a Empresa adotará medidas razoáveis para excluir ou colocar em quarentena tais dados prontamente.

3.4 Minimização de Dados (Data Minimisation). A Empresa adere ao princípio de minimização de dados: somente os dados pessoais que sejam adequados, relevantes e limitados ao necessário em relação às finalidades para as quais são tratados são coletados e retidos.

§4 Informações Coletadas Automaticamente

4.1 Dados Coletados Automaticamente. Durante sua visita, uso ou navegação dos Serviços, determinadas informações são coletadas automaticamente por nós. Essas informações, embora não revelem sua identidade específica (p. ex., nome ou dados de contato), podem incluir dados de dispositivo e uso, tais como endereço IP, especificações de navegador e dispositivo, sistema operacional, preferências de idioma, URLs de origem, nome do dispositivo, país, localização aproximada, informações de uso dos nossos Serviços e outros detalhes técnicos. Essas informações são utilizadas principalmente para assegurar a segurança e o funcionamento dos nossos Serviços, bem como para fins internos de análise e relatórios. Tal como outras empresas, também coletamos informações por meio do uso de cookies e tecnologias semelhantes (ver §7 desta Política para mais detalhes).

4.2 Dados de Log e Uso (Log and Usage Data). Nossos servidores coletam automaticamente dados de log e uso quando você acessa ou utiliza nossos Serviços. Esses dados são armazenados em arquivos de log e podem incluir detalhes como seu endereço IP, informações de dispositivo, tipo e configurações do navegador, e informações sobre suas atividades dentro dos Serviços (tais como carimbos de tempo de uso, páginas/arquivos visualizados, buscas realizadas e outras ações como uso de recursos), e informações de eventos de dispositivo (tais como atividade do sistema, relatórios de erro e configurações de hardware), dependendo de sua interação conosco.

4.3 Finalidades do Tratamento de Dados Coletados Automaticamente. Os dados descritos no §4.1 e no §4.2 são tratados para fins de monitoramento de segurança, gestão de desempenho, detecção de atividade de operação anômala e potencial comportamento fraudulento, e cumprimento de obrigações legais. As bases legais aplicáveis estão estabelecidas no §5 desta Política. Em particular, os dados comportamentais e de log podem ser utilizados para identificar padrões consistentes com práticas de operação proibidas conforme definidas nos T&C, inclusive em conexão com a Revisão de Conformidade Pós-Cristalização (Post-Crystallisation Compliance Review) (§17.2 dos T&C).

4.4 Sem Venda de Dados Coletados Automaticamente. Os dados coletados automaticamente são utilizados exclusivamente para os fins operacionais, de segurança e analíticos descritos neste §4. A Empresa não vende nem transfere tais dados para fins incompatíveis com aqueles estabelecidos nesta Política.

§5 Finalidades do Tratamento e Bases Legais

5.1 A Empresa trata dados pessoais com base nas seguintes bases legais (lawful bases) sob o Artigo 6(1) do GDPR (e disposições equivalentes sob o UK GDPR e a UAE PDPL), cada uma vinculada a uma finalidade específica:

FINALIDADE 1 – Criação de conta, autenticação e execução de contrato. Base: Artigo 6(1)(b) do GDPR (execução de um contrato (performance of a contract)). O tratamento é necessário para registrar o Participante, verificar credenciais de conta, fornecer acesso aos Serviços e cumprir as obrigações da Empresa sob os Termos e Condições. Sem este tratamento, a Empresa não pode prestar os Serviços.

FINALIDADE 2 – Conformidade com KYC, AML e sanções. Base: Artigo 6(1)(c) do GDPR (obrigação legal (legal obligation) sob o Decreto-Lei Federal dos EAU n.º 20 de 2018, conforme substituído pelo Decreto-Lei Federal n.º 10 de 2025; Recomendações 10, 12 e 19 do FATF; leis equivalentes de AML da UE e nacionais). O tratamento inclui verificação de documento de identidade, triagem em listas de sanções e avaliação de risco AML, realizada em parte por meio do provedor de KYC/AML Sumsub (categoria de destinatário (ii) – ver §6 desta Política). A falha em fornecer os dados pessoais necessários para fins de KYC/AML impedirá a Empresa de integrar o Participante.

FINALIDADE 3 – Prevenção a fraudes, integridade da plataforma e detecção de operação proibida. Base: Artigo 6(1)(f) do GDPR (interesses legítimos (legitimate interests) da Empresa na proteção da integridade da plataforma e os interesses legítimos de outros Participantes e terceiros), balanceados com os direitos e liberdades do Participante. O tratamento inclui monitoramento de atividade de operação por sistemas automatizados e a condução da Revisão de Conformidade Pós-Cristalização (§17.2 dos T&C). Os direitos do Participante em relação a decisões automatizadas (automated decision-making) estão estabelecidos no §11.2(h) desta Política.

FINALIDADE 4 – Comunicações de marketing. Base: Artigo 6(1)(a) do GDPR (consentimento (consent) obtido em conformidade com o §6.3(b) dos T&C). O consentimento poderá ser retirado a qualquer momento; a retirada não afeta a licitude do tratamento realizado antes da retirada. Os Participantes que retirarem o consentimento de marketing continuarão a receber comunicações transacionais e relacionadas a serviço quando necessárias para a execução do contrato.

FINALIDADE 5 – Cookies, analítica e otimização de plataforma. Base: Artigo 6(1)(a) do GDPR (consentimento coletado por meio do banner de cookies, quando não essenciais), em conjunto com a Diretiva ePrivacy 2002/58/CE. Os cookies estritamente necessários não exigem consentimento. Ver §7 desta Política para mais detalhes sobre categorias de cookies e retirada de consentimento.

FINALIDADE 6 – Pretensões jurídicas, cooperação regulatória e cumprimento de ordens judiciais. Base: Artigo 6(1)(c) do GDPR (obrigação legal) e Artigo 6(1)(f) do GDPR (interesse legítimo no estabelecimento, exercício ou defesa de pretensões jurídicas). Isso inclui cooperação com reguladores, autoridades de controle, tribunais e órgãos de aplicação da lei quando exigido por lei, e cumprimento de ordens judiciais ou administrativas.

FINALIDADE 7 – Atendimento ao cliente e resolução de disputas. Base: Artigo 6(1)(b) do GDPR (execução de contrato) e Artigo 6(1)(f) do GDPR (interesses legítimos na resolução de disputas com eficiência). As interações de suporte e a correspondência são retidas em conformidade com os prazos de retenção estabelecidos no §8 desta Política.

5.2 Avaliação de Interesses Legítimos. Quando a Empresa se baseia no Artigo 6(1)(f) do GDPR como base legal, a Empresa realizou uma Avaliação de Interesses Legítimos (Legitimate Interests Assessment, LIA) para cada atividade de tratamento relevante. Essa avaliação inclui uma análise da necessidade e proporcionalidade do tratamento e um teste de balanceamento em face dos interesses, direitos e liberdades do titular dos dados. A documentação da LIA está disponível mediante solicitação em [email protected].

5.3 Residentes Canadenses (PIPEDA). Para residentes canadenses, este §5 é complementado pela PIPEDA. A Empresa trata dados pessoais de residentes canadenses somente com seu consentimento expresso ou implícito, salvo quando a lei permitir o tratamento sem consentimento (investigação de fraude, conformidade legal etc.). Ver §15 desta Política para mais detalhes.

§6 Destinatários e Transferências Internacionais

6.1 Categorias de Destinatários. A Empresa compartilha dados pessoais com as seguintes categorias de destinatários. Cada destinatário está vinculado a obrigações apropriadas de confidencialidade e proteção de dados por meio de contratos escritos, incluindo acordos de tratamento de dados quando exigidos pela lei aplicável:

(i) Prestadores de serviços de pagamento (PSPs) – para tratamento de transações, gestão de chargebacks e reembolsos;

(ii) Prestadores de serviços de KYC/AML e verificação de identidade, incluindo Sumsub – para conduzir o procedimento de identificação do cliente em conformidade com o §6.4 dos T&C;

(iii) Provedores de infraestrutura em nuvem e de rede de entrega de conteúdo (CDN) – para hospedar os Serviços e assegurar sua disponibilidade e desempenho;

(iv) Plataformas de atendimento ao cliente e helpdesk – para gerenciar e resolver consultas e tíquetes de suporte do Participante;

(v) Provedores de CRM, entrega de e-mail e automação de marketing – para gerenciar comunicações e entregar mensagens de marketing aos Participantes que tenham dado seu consentimento;

(vi) Provedores de analítica, observabilidade e otimização de plataforma – para monitorar o desempenho da plataforma, detectar anomalias e aprimorar os Serviços;

(vii) Fornecedores de plataforma de operação (MetaQuotes / MetaTrader 5) – para operar o ambiente de operação MT5 disponibilizado aos Participantes;

(viii) Consultores profissionais (jurídico, contábil, auditoria, fiscal) – para obter aconselhamento profissional e assegurar conformidade regulatória;

(ix) Reguladores, autoridades de controle (Supervisory Authorities), tribunais e órgãos de aplicação da lei quando exigido por lei – inclusive em conexão com divulgações exigidas por lei, ordens judiciais ou investigações regulatórias;

(x) Entidades sucessoras em conexão com fusão, aquisição ou venda de todos ou substancialmente todos os ativos da Empresa – quando os dados pessoais fizerem parte dos ativos transferidos, sujeito a salvaguardas apropriadas.

Os Participantes podem solicitar uma lista dos prestadores de serviços específicos em cada categoria no momento da solicitação escrevendo para [email protected].

6.2 Transferências Internacionais (International Transfers) de Dados Pessoais. Ocorrem transferências transfronteiriças de dados pessoais para os seguintes destinatários identificados:

(i) MetaQuotes Software Corp. (Chipre) – para operação da plataforma MT5;

(ii) TradeLocker / Quadcode Solutions OÜ – servidores relevantes na Austrália e na UE – para operação da plataforma TradeLocker;

(iii) Entidades do grupo e prestadores de serviços localizados nos Emirados Árabes Unidos.

6.3 Mecanismos de Transferência. Cada transferência é regida pelas Cláusulas Contratuais Padrão (Standard Contractual Clauses, SCCs) (Decisão de Execução (UE) 2021/914 da Comissão) ou por decisões de adequação (adequacy decisions) aplicáveis, quando exigido pelos Artigos 44–49 do GDPR. Como entidade constituída nos EAU, a Empresa trata dados pessoais da UE/EEE/Reino Unido parcialmente nos Emirados Árabes Unidos, que não foi objeto de uma decisão de adequação pela Comissão Europeia. A Empresa revisa periodicamente os arcabouços legais aplicáveis às transferências internacionais e atualiza seus mecanismos de transferência conforme exigido.

6.4 Medidas Suplementares. Na ausência de uma decisão de adequação em relação aos EAU, a Empresa aplica as seguintes medidas técnicas e organizacionais suplementares: criptografia em repouso (AES-256), criptografia em trânsito (TLS 1.2+), controles de acesso com base no princípio do privilégio mínimo, registro de auditoria e restrições contratuais à transferência ulterior. Essas medidas são concebidas para assegurar que o nível de proteção dos dados pessoais transferidos para os EAU seja essencialmente equivalente ao garantido dentro do Espaço Econômico Europeu. A Empresa compromete-se a concluir uma auditoria técnica de segurança independente de terceiros sobre essas medidas dentro de noventa (90) dias corridos da Data de Publicação desta Política e a publicar um sumário executivo das constatações da auditoria (com redações apropriadas para detalhes sensíveis à segurança) em seu Help Center após a conclusão.

Os Participantes podem solicitar uma cópia das Cláusulas Contratuais Padrão e uma descrição das medidas suplementares escrevendo para [email protected].

§7 Cookies e Tecnologias de Rastreamento

7.1 Uso de Cookies. O uso de cookies e outras tecnologias de rastreamento (cookies and tracking technologies) (p. ex., web beacons, pixels) pode permitir o acesso ou o armazenamento de informações no dispositivo do Participante. Esta Política não constitui um tratamento exaustivo do uso de cookies pela Empresa: informações detalhadas sobre as tecnologias empregadas, a duração de cada cookie e as opções para recusar determinadas categorias de cookie estão contidas no Aviso de Cookies (Cookie Notice) separado publicado em neomfunded.com.

7.2 Categorias de Cookies. A Empresa utiliza, em particular, as seguintes categorias de cookies:

(a) Cookies estritamente necessários – exigidos para o funcionamento dos Serviços, incluindo autenticação, segurança e gestão de sessão; não exigem o consentimento do Participante;

(b) Cookies analíticos e funcionais – utilizados para analisar como os Participantes interagem com e utilizam os Serviços, permitindo à Empresa aprimorar o desempenho e a experiência do usuário, inclusive via Google Analytics;

(c) Cookies de marketing e publicidade – utilizados para rastrear interações do usuário com materiais publicitários e para entregar conteúdo publicitário direcionado, inclusive via Google AdWords e Meta Advertising.

7.3 Base Legal. Para cookies não essenciais (categorias (b) e (c)), a base legal é o Artigo 6(1)(a) do GDPR (consentimento do Participante, obtido por meio de banner de cookies), em conjunto com os requisitos da Diretiva ePrivacy 2002/58/CE. O consentimento pode ser retirado a qualquer momento por meio das configurações do banner de cookies ou em conformidade com as instruções do Aviso de Cookies.

7.4 Substituição de Declarações Anteriores. Todas as declarações publicadas anteriormente indicando que a Empresa não utiliza cookies, rastreamento ou tecnologias de analítica são, por este meio, substituídas por este §7 e pelo §29.7 dos T&C. A NEOM Funded utiliza tecnologias de cookies em conformidade com este §7.

§8 Prazos de Retenção

8.1 Princípio Geral. A Empresa retém os dados pessoais apenas pelo tempo necessário para as finalidades para as quais foram coletados, exceto quando um período mais longo for exigido por lei. Após o prazo de retenção (retention period) aplicável, os dados pessoais são excluídos ou irreversivelmente anonimizados. Quando a exclusão não for tecnicamente viável (por exemplo, em snapshots de backup imutáveis), a Empresa segrega os dados de forma segura e restringe o acesso até que a exclusão se torne viável. A Empresa realiza revisões periódicas das categorias de dados pessoais que detém para assegurar que os dados não sejam retidos além dos prazos de retenção aplicáveis.

8.2 Prazos de Retenção Específicos. Os seguintes prazos de retenção aplicam-se a cada categoria de dados pessoais:

(a) Registros de KYC/AML (documentos de identidade, resultados de triagem de sanções, declarações de origem de fundos): cinco (5) anos após o término da relação comercial com o Participante, conforme exigido pelo Decreto-Lei Federal dos EAU n.º 20 de 2018 (conforme alterado) e pela Recomendação 11 do FATF.

(b) Registros de transações e dados de pagamento: sete (7) anos a partir da data da transação, para fins fiscais, de auditoria e contábeis.

(c) Dados de conta e registros de atividade de operação: pela duração da conta, mais três (3) anos após o encerramento, para fins de prevenção a fraudes, resolução de disputas e pretensões jurídicas.

(d) Registros de consentimento de marketing: até a retirada do consentimento, mais três (3) anos (para demonstrar a licitude do tratamento histórico sob o Art. 7(1) do GDPR).

(e) Cookies e dados de analítica: máximo de treze (13) meses para analítica; duração da sessão para cookies estritamente necessários.

(f) Tíquetes de atendimento ao cliente: três (3) anos a partir do encerramento.

(g) Dados de backup: ciclo de backup rotativo de trinta (30) dias; exclusão completa de qualquer registro dos backups dentro de noventa (90) dias da exclusão do registro primário.

8.3 Obrigação Legal de Retenção. Quando os dados pessoais estiverem sujeitos a um prazo de retenção obrigatório sob a lei aplicável, a Empresa reterá esses dados por um período não inferior ao exigido por lei, independentemente de qualquer solicitação anterior do Participante de eliminação (erasure) ou exclusão. Os Participantes são lembrados de que as obrigações de retenção obrigatórias de KYC/AML sob o Decreto-Lei Federal dos EAU n.º 20 de 2018 e a Recomendação 11 do FATF constituem base legal para recusar pedidos de eliminação em relação a registros incluídos na categoria (a) acima.

§9 Como Mantemos suas Informações Seguras

9.1 Medidas Técnicas e Organizacionais. A Empresa tomou as medidas técnicas e organizacionais necessárias e razoáveis para proteger os dados pessoais sob sua posse. Tais medidas incluem, sem limitação: criptografia em repouso (AES-256), criptografia em trânsito (TLS 1.2+), controles de acesso baseados no princípio do privilégio mínimo, registro de auditoria de acesso, segmentação de rede, avaliações regulares de vulnerabilidade e revisões regulares de risco de segurança da informação. A Empresa também impõe obrigações de segurança apropriadas a seus prestadores de serviços por meio de contratos escritos.

9.2 Sem Garantia de Segurança Absoluta. Contudo, a Internet e a tecnologia de armazenamento de informações não são infalíveis, e a Empresa não pode garantir que os dados pessoais não serão acessados, roubados ou alterados por terceiros não autorizados. Embora a Empresa se empenhe em proteger os dados pessoais dos Participantes, é responsabilidade do Participante assegurar a proteção das informações que transmite por meio dos Serviços. Recomenda-se aos Participantes que utilizem os Serviços apenas em ambiente seguro, que usem senhas fortes e únicas e que notifiquem a Empresa prontamente sobre qualquer suspeita de acesso não autorizado à sua conta.

9.3 Notificação de Violação (Breach Notification). No caso de uma violação de dados pessoais suscetível de resultar em alto risco para os direitos e liberdades das pessoas físicas, a Empresa notificará os Participantes afetados e, quando exigido, a autoridade de controle competente, dentro dos prazos prescritos pela lei aplicável (inclusive dentro de 72 horas sob o Artigo 33 do GDPR). As notificações incluirão, na medida do possível, uma descrição da natureza da violação, as categorias e o número aproximado de titulares dos dados afetados, as consequências prováveis da violação e as medidas adotadas ou propostas para abordá-la.

§10 Menores

10.1 Restrição de Idade. A Empresa não coleta intencionalmente dados de, nem comercializa para, indivíduos menores (minors) de 18 anos. Ao utilizar os Serviços, o Participante afirma que tem pelo menos 18 anos, ou que é pai, mãe ou responsável de um menor e consente com o uso dos Serviços pelo menor. Os Serviços não são direcionados a indivíduos menores de 18 anos, e a Empresa não estabelece intencionalmente uma relação contratual com um menor.

10.2 Ação ao Descobrir Dados de Menor. Se a Empresa souber que dados pessoais foram coletados de um usuário menor de 18 anos sem verificação do consentimento parental ou do responsável, ela excluirá essas informações e desativará a conta associada. Se você tomar conhecimento de quaisquer dados que a Empresa possa ter coletado de um menor, entre em contato conosco imediatamente em [email protected].

§11 Seus Direitos de Privacidade

11.1 Escopo. Os Participantes localizados na UE/EEE, Reino Unido, EAU ou Califórnia têm os seguintes direitos em relação a seus dados pessoais. A Empresa responderá a qualquer solicitação dentro de um mês do recebimento, prorrogável por dois meses adicionais quando a solicitação for complexa ou numerosa (aproximadamente noventa (90) dias corridos no total), com aviso ao Participante sob o Art. 12(3) do GDPR. Quando uma solicitação for recebida eletronicamente, a Empresa fornecerá a resposta por meios eletrônicos sempre que possível, salvo se o Participante solicitar de outra forma.

11.2 Lista de Direitos.

(a) Direito de acesso (Right of access) (Art. 15 do GDPR). O Participante poderá solicitar confirmação de se seus dados pessoais estão sendo tratados e obter uma cópia dos dados tratados, juntamente com informações sobre as finalidades do tratamento, as categorias de dados envolvidas, os destinatários ou categorias de destinatários, os prazos de retenção previstos, as fontes a partir das quais os dados foram coletados e as salvaguardas aplicadas a quaisquer transferências internacionais.

(b) Direito de retificação (Right to rectification) (Art. 16 do GDPR). O Participante poderá solicitar a retificação de dados pessoais inexatos que lhe digam respeito sem atraso indevido, e, tendo em conta as finalidades do tratamento, poderá solicitar a completude de dados pessoais incompletos.

(c) Direito de eliminação / 'direito ao esquecimento' (Right to erasure) (Art. 17 do GDPR). O Participante poderá solicitar a eliminação de seus dados pessoais quando um dos motivos estabelecidos no Artigo 17 se aplicar, salvo se o tratamento for necessário por uma das razões estabelecidas no mesmo Artigo, incluindo o cumprimento dos prazos de retenção obrigatórios do §8.2 desta Política (KYC/AML – 5 anos, transações – 7 anos etc.). Os pedidos de eliminação serão avaliados caso a caso e a Empresa notificará o Participante de sua decisão e das razões correspondentes.

(d) Direito à limitação do tratamento (Right to restriction of processing) (Art. 18 do GDPR). O Participante poderá solicitar a limitação do tratamento de seus dados pessoais nas circunstâncias previstas no Artigo 18, inclusive quando a exatidão dos dados for contestada, quando o tratamento for ilícito, quando o Participante tiver se oposto ao tratamento, ou quando os dados pessoais não forem mais necessários para as finalidades do tratamento, mas forem exigidos pelo Participante para o estabelecimento, exercício ou defesa de pretensões jurídicas.

(e) Direito à portabilidade dos dados (Right to data portability) (Art. 20 do GDPR). O Participante poderá receber seus dados pessoais em formato estruturado, comumente usado e legível por máquina, e poderá solicitar sua transmissão a outro controlador, quando o tratamento for baseado em consentimento ou contrato e for realizado por meios automatizados. Este direito não se aplica quando o tratamento for necessário para a execução de uma tarefa realizada no interesse público ou no exercício de autoridade oficial.

(f) Direito de oposição (Right to object) (Art. 21 do GDPR). O Participante poderá, a qualquer momento, opor-se ao tratamento de seus dados pessoais baseado nos interesses legítimos da Empresa (Art. 6(1)(f) do GDPR), incluindo a definição de perfis (profiling) com base nesse fundamento. Após o recebimento de tal oposição, a Empresa cessará o tratamento, salvo se demonstrar motivos legítimos imperiosos que prevaleçam sobre os interesses, direitos e liberdades do Participante, ou salvo se o tratamento for necessário para o estabelecimento, exercício ou defesa de pretensões jurídicas.

(g) Direito de retirar o consentimento (Art. 7(3) do GDPR). O Participante poderá retirar o consentimento ao tratamento de dados pessoais a qualquer momento. A retirada do consentimento não afeta a licitude do tratamento realizado antes da retirada. Para retirar o consentimento de marketing, utilize o link de cancelamento de inscrição na comunicação relevante ou envie uma solicitação para [email protected]. Para retirar o consentimento de cookies, consulte as configurações do banner de cookies ou o Aviso de Cookies publicado em neomfunded.com.

(h) Direito de não ser sujeito a decisões automatizadas (automated decision-making) tomadas exclusivamente por meios automatizados (Art. 22 do GDPR). O Participante tem o direito de não ser sujeito a uma decisão baseada exclusivamente em tratamento automatizado que produza efeitos jurídicos ou significativos similares. As decisões automatizadas para fins de prevenção a fraudes serão limitadas a mecanismos de detecção expressamente permitidos sob o Artigo 22(2)(a)–(c) do GDPR, com revisão humana disponível mediante solicitação sob o Artigo 22(3). Quando a Empresa utilizar sistemas automatizados para detectar práticas de operação proibidas ou para conduzir a Revisão de Conformidade Pós-Cristalização (§17.2), as decisões de suspender, rescindir, recuperar (claw back) ou compensar deverão, mediante solicitação escrita do Participante, ser revistas por um tomador de decisão humano antes de se tornarem finais, salvo quando a decisão for exigida por razões de prevenção a fraudes ou de conformidade legal sob o §1.3(a) dos T&C.

(i) Direito de apresentar reclamação a uma autoridade de controle. O Participante poderá apresentar reclamação à autoridade de controle de sua residência habitual. A lista a seguir é ilustrativa e não exaustiva:

  • Espanha: Agencia Española de Protección de Datos (AEPD) – www.aepd.es
  • França: Commission Nationale de l'Informatique et des Libertés (CNIL) – www.cnil.fr
  • Alemanha: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) – www.bfdi.bund.de
  • Reino Unido: Information Commissioner's Office (ICO) – www.ico.org.uk
  • EAU: UAE Data Office – www.tdra.gov.ae

Quando um Participante apresentar reclamação a uma autoridade de controle, recomenda-se que informe simultaneamente a Empresa, de modo que esta tenha oportunidade de tratar a questão antes da conclusão da investigação da autoridade de controle.

11.3 Pedidos manifestamente infundados ou excessivos. Quando um pedido for manifestamente infundado ou excessivo, em particular em razão de seu caráter repetitivo, a Empresa poderá, em conformidade com o Art. 12(5) do GDPR, cobrar uma taxa razoável tendo em conta os custos administrativos de fornecer as informações ou comunicações ou realizar a ação solicitada, ou recusar-se a atender o pedido, em cada caso com aviso ao Participante. A Empresa carrega o ônus de demonstrar o caráter manifestamente infundado ou excessivo do pedido.

11.4 Verificação de Identidade. Para proteger a segurança dos dados pessoais e evitar acesso não autorizado, a Empresa poderá solicitar verificação razoável da identidade de qualquer pessoa que apresente um pedido de titular dos dados antes de atender a esse pedido.

11.5 Como Exercer os Direitos. Para exercer qualquer dos direitos estabelecidos acima, os Participantes podem utilizar qualquer um dos seguintes canais:

Ambos os canais são equivalentes; os Participantes podem escolher o que preferirem. O Trust Center da Prighter oferece verificação de identidade e um registro de auditoria (audit trail) do pedido.

§12 Não-Rastrear e Controle Global de Privacidade

12.1 Não-Rastrear (Do-Not-Track, DNT). A maioria dos navegadores e alguns sistemas operacionais móveis incluem uma funcionalidade ou configuração de Não-Rastrear ("DNT") que você pode ativar para sinalizar sua preferência de privacidade de não ter dados sobre suas atividades de navegação online monitorados e coletados. Não existe um padrão uniforme para reconhecer e implementar sinais DNT e, portanto, a Empresa não responde atualmente a sinais DNT. Essa posição será revista caso surja um padrão tecnológico uniforme.

12.2 Controle Global de Privacidade (Global Privacy Control, GPC). A Empresa honra os sinais de Controle Global de Privacidade (GPC) como um pedido válido de exclusão (opt-out) sob o California Consumer Privacy Act §1798.135 e a orientação do Procurador-Geral da Califórnia. Os Participantes poderão exercer seu direito de optar por não permitir a venda ou compartilhamento de informações pessoais, inclusive para publicidade comportamental cross-context, sob o CCPA §1798.120. Quando um sinal GPC for detectado, a Empresa o tratará como uma exclusão da venda e compartilhamento de informações pessoais sob a CCPA/CPRA e processará o pedido em conformidade.

12.3 Limitar o Uso de Informações Pessoais Sensíveis. Os Participantes também têm o direito de limitar o uso e a divulgação de suas informações pessoais sensíveis (incluindo dados de geolocalização e identificadores emitidos por governo) aos usos razoavelmente necessários para realizar os Serviços solicitados, sob o CCPA §1798.121. Para exercer este direito, entre em contato em [email protected] com a linha de assunto "Limit Use of Sensitive PI".

§13 Direitos de Privacidade dos Residentes da Califórnia

13.1 Aplicabilidade. Este §13 aplica-se exclusivamente aos residentes da Califórnia (Estados Unidos) em conformidade com a CCPA/CPRA. Se você é residente da Califórnia, tem direito aos direitos estabelecidos abaixo em adição àqueles estabelecidos no §11 desta Política.

13.2 Direitos dos Residentes da Califórnia. Se você é residente da Califórnia, tem direito aos seguintes direitos:

(a) Direito de saber (Right to know). Você poderá solicitar informações sobre as categorias e peças específicas de dados pessoais que foram coletados sobre você, as fontes a partir das quais foram coletados, as finalidades para as quais foram coletados, os terceiros aos quais foram divulgados e as categorias desses terceiros. Você poderá fazer tal solicitação até duas vezes em qualquer período de doze meses.

(b) Direito de exclusão (Right to deletion). Você poderá solicitar a exclusão dos dados pessoais coletados sobre você pela Empresa, sujeito às exceções aplicáveis sob a CCPA, inclusive quando a Empresa for obrigada a reter os dados para cumprir uma obrigação legal ou para concluir uma transação para a qual as informações pessoais foram coletadas.

(c) Direito de optar por não permitir a venda ou compartilhamento. Você poderá optar por não permitir a venda ou compartilhamento de seus dados pessoais. A Empresa não vende dados pessoais de Participantes a terceiros na acepção da CCPA. Contudo, como a Empresa utiliza ferramentas de publicidade digital (Google AdWords, Meta Advertising), a transferência de dados via cookies no contexto de publicidade comportamental cross-context poderá qualificar-se como "compartilhamento" na acepção da CCPA/CPRA. Para optar por não permitir tal compartilhamento, você poderá utilizar o mecanismo GPC descrito no §12.2 ou ajustar suas preferências por meio das configurações do banner de cookies.

(d) Direito à não discriminação. A Empresa não discriminará você na prestação dos Serviços por exercer qualquer direito concedido sob a CCPA, inclusive negando bens ou serviços, cobrando preços diferentes ou fornecendo um nível de serviço diferente.

13.3 Como Apresentar um Pedido. Para exercer os direitos de privacidade da Califórnia, entre em contato em [email protected] com a linha de assunto "California Privacy Rights". A Empresa confirmará o recebimento de seu pedido dentro de dez (10) dias úteis e responderá substantivamente dentro de quarenta e cinco (45) dias corridos, prorrogáveis por mais quarenta e cinco (45) dias quando necessário.

§14 Lei de Proteção de Dados Pessoais dos EAU (PDPL)

14.1 Aplicabilidade. Este §14 aplica-se ao tratamento de dados pessoais sob o Decreto-Lei Federal dos EAU n.º 45 de 2021 sobre a Proteção de Dados Pessoais (a 'UAE PDPL') e ao §6.6 dos T&C. Como entidade constituída nos EAU, a Empresa trata dados pessoais sob a UAE PDPL em adição aos outros arcabouços aplicáveis estabelecidos no §2 desta Política.

14.2 Direitos do Titular dos Dados sob a UAE PDPL. Indivíduos cujos dados pessoais sejam tratados sob a UAE PDPL têm direitos de acesso, retificação, eliminação (sujeito a isenções legais), limitação do tratamento e oposição ao tratamento, na medida prevista pela UAE PDPL. Esses direitos são exercidos da forma estabelecida no §11 desta Política, sujeito ao seguinte:

(a) Obrigações sob a UAE PDPL. A Empresa cumpre suas obrigações sob a UAE PDPL, incluindo o registro junto ao UAE Data Office, a aplicação de cláusulas contratuais padrão para transferências transfronteiriças de dados originários dos EAU e a adoção de medidas técnicas e organizacionais que atendam aos padrões da UAE PDPL.

(b) Regulamentos Executivos Pendentes. Na Data de Vigência desta Política, os Regulamentos Executivos à UAE PDPL não foram emitidos pelo Gabinete dos EAU. Conforme afirmado no §2.1(c) desta Política, a Empresa atualizará suas práticas de tratamento de dados e esta Política em conformidade com tais Regulamentos após sua emissão, dentro do período de implementação ali prescrito.

(c) Autoridade de Controle. A conformidade com a UAE PDPL é supervisionada pelo UAE Data Office. Pedidos e reclamações podem ser direcionados ao UAE Data Office por meio de seu portal oficial em www.tdra.gov.ae.

§15 Canadá (PIPEDA)

15.1 Aplicabilidade. Este §15 aplica-se aos residentes canadenses cujos dados pessoais sejam tratados pela Empresa no curso de atividades comerciais, em conformidade com o Canadian Personal Information Protection and Electronic Documents Act (PIPEDA). Quando a legislação provincial aplicável fornecer um padrão mais elevado de proteção, a Empresa cumprirá tal padrão mais elevado.

15.2 Princípios de Tratamento sob a PIPEDA. Em adição ao §5 desta Política, a Empresa observa os seguintes princípios de responsabilização da PIPEDA em relação aos residentes canadenses:

(a) Consentimento. A Empresa trata dados pessoais de residentes canadenses somente com seu consentimento expresso ou implícito, salvo quando a lei aplicável permitir o tratamento sem consentimento (investigação de fraude, conformidade legal, situações de emergência etc.). Os Participantes poderão retirar o consentimento a qualquer momento, sujeito a restrições legais ou contratuais e aviso razoável, e a Empresa informará o Participante das implicações de tal retirada.

(b) Limitação de finalidade. Os dados pessoais são coletados apenas para finalidades especificadas e documentadas e não são tratados de formas incompatíveis com tais finalidades. As finalidades para as quais os dados pessoais são coletados são identificadas antes ou no momento da coleta.

(c) Exatidão. A Empresa adota medidas razoáveis para assegurar que os dados pessoais sejam exatos, completos e atualizados para as finalidades para as quais são tratados, e corrigirá prontamente dados inexatos mediante solicitação do Participante.

(d) Autoridade de controle. A conformidade com a PIPEDA no Canadá é supervisionada pelo Office of the Privacy Commissioner of Canada (OPC). Os residentes canadenses poderão apresentar reclamação ao OPC em www.priv.gc.ca.

§16 Representantes na UE e no Reino Unido, Representante para a Lei de Dados da UE e Encarregado de Proteção de Dados

16.1 Representante de Privacidade sob o Artigo 27 do GDPR e o Artigo 27 do UK-GDPR. Em conformidade com o Artigo 27 do GDPR e com o Artigo 27 do Regulamento Geral de Proteção de Dados do Reino Unido (UK-GDPR), a Empresa valoriza sua privacidade e seus direitos como titular dos dados e, portanto, designou o Prighter Group juntamente com seus parceiros locais como seu representante de privacidade e seu ponto de contato para as seguintes regiões:

  • Reino Unido (United Kingdom)
  • Espaço Econômico Europeu (Áustria, Bélgica, Bulgária, Croácia, Chipre, Tchéquia, Dinamarca, Estônia, Finlândia, França, Alemanha, Grécia, Hungria, Islândia, Irlanda, Itália, Letônia, Liechtenstein, Lituânia, Luxemburgo, Malta, Países Baixos, Noruega, Polônia, Portugal, Romênia, Eslováquia, Eslovênia, Espanha, Suécia)

Para entrar em contato com o Prighter Group, visite o Trust Center da Prighter em https://app.prighter.com/portal/neomfunded, onde você encontrará todas as informações sobre os dados de contato. Endereço postal: Prighter Group, Paragon 1, Schwarzenbergplatz 4, 1030 Viena, Áustria.

16.2 Representante para a Lei de Dados da UE sob o Artigo 37 da Lei de Dados ((UE) 2023/2854). A NEOM TRIPLE A INFORMATION TECHNOLOGY LLC designou o Prighter Group como seu representante legal em conformidade com o Art. 37 da Lei de Dados. O Prighter Group atua como destinatário para as autoridades competentes, os usuários e outras partes interessadas na União Europeia em todas as questões relacionadas à Lei de Dados. Para entrar em contato com o Prighter Group, visite o portal de governança digital em https://app.prighter.com/portal/12944912068, onde você encontrará todas as informações sobre os dados de contato.

16.3 Encarregado de Proteção de Dados – Designação de DPO em andamento. A designação formal de um Encarregado de Proteção de Dados (Data Protection Officer, DPO) sob o Artigo 37 do GDPR está atualmente em andamento. Enquanto se aguarda a conclusão deste processo, todas as consultas de proteção de dados, pedidos de acesso do titular dos dados sob os Artigos 15–22 do GDPR e quaisquer outras questões relativas ao tratamento de dados pessoais poderão ser endereçados a:

  • Contato de Privacidade: [email protected]
  • Endereço postal: Neom Triple A Information Technology LLC, The Binary by Omniyat, Office 2114, Business Bay, Dubai, UAE

Os dados de contato do Encarregado de Proteção de Dados designado, uma vez nomeado, serão publicados nesta página e comunicados às autoridades de controle competentes em conformidade com o Artigo 37(7) do GDPR.

16.4 Reavaliação. A Empresa reavaliará seus arranjos de designação de DPO pelo menos anualmente e atualizará esta Política se qualquer dos gatilhos obrigatórios sob o Artigo 37(1) do GDPR ou o Artigo 10 da UAE PDPL se tornar aplicável, ou após a conclusão do processo de designação em andamento.

§17 Alterações a Esta Política

17.1 Direito de Alterar. A Empresa reserva-se o direito de alterar esta Política a qualquer momento. A versão atual da Política está sempre disponível em neomfunded.com. Cada versão da Política é identificada por um número de versão e data de vigência no cabeçalho do documento. Recomenda-se aos Participantes que revisem esta Política periodicamente para manterem-se informados sobre as práticas de proteção de dados da Empresa.

17.2 Notificação de Alterações Substanciais. Quando as alterações afetarem substancialmente os direitos dos titulares dos dados ou a forma pela qual seus dados pessoais são tratados (alterações substanciais (material changes)), a Empresa notificará os Participantes com antecedência mediante:

(a) envio de uma notificação ao endereço de e-mail fornecido no momento do registro da conta; e/ou

(b) publicação de aviso destacado em neomfunded.com.

O uso continuado dos Serviços após a data de vigência de qualquer Política alterada constitui aceitação dessas alterações na medida permitida pela lei aplicável. Quando a lei aplicável exigir consentimento explícito para que a alteração entre em vigor, a Empresa obterá tal consentimento antes que a Política alterada seja aplicada à atividade de tratamento relevante.

17.3 Versões de Arquivo. Versões anteriores desta Política estão disponíveis mediante solicitação em [email protected].

§18 Informações de Contato

18.1 Dados de Contato. Para quaisquer perguntas, comentários ou pedidos relativos a esta Política ou ao tratamento de dados pessoais pela Empresa, você poderá entrar em contato conosco pelos seguintes canais:

Consultas de privacidade, questões de proteção de dados e exercício de direitos do titular dos dados (Contato de Privacidade enquanto se aguarda a designação de DPO): [email protected]

Consultas gerais e suporte: [email protected]

Site: neomfunded.com

Endereço registrado: Neom Triple A Information Technology LLC The Binary by Omniyat, Office 2114 Business Bay, Dubai, UAE

18.2 Pedidos de Direitos do Titular dos Dados. Os pedidos de exercício de direitos do titular dos dados (§11 desta Política) devem ser direcionados a [email protected]. A Empresa poderá solicitar informações adicionais para verificar a identidade da pessoa requerente antes de atender a um pedido. A Empresa não cobra taxa pela primeira cópia dos dados pessoais fornecidos em resposta a um pedido de acesso.

18.3 Pedidos de Residentes da Califórnia. Os pedidos de residentes da Califórnia devem ser direcionados a [email protected] com a linha de assunto "California Privacy Rights" (§13 desta Política).

18.4 Prazos de Resposta. A Empresa busca confirmar o recebimento de todos os pedidos dentro de cinco (5) dias úteis do recebimento e responder substantivamente dentro dos prazos prescritos pela lei aplicável, conforme estabelecido nos §11 e §13 desta Política.

Esta Política substitui todas as versões anteriores da política de privacidade publicadas pela Neom Triple A Information Technology LLC sob a marca NEOM Funded.

Política de Privacidade v4.0.1 | Neom Triple A Information Technology LLC (NEOM Funded) | Data de Publicação: 24 de setembro de 2026