1. Objetivo
A presente Política de Proteção de Dados Pessoais estabelece os princípios, responsabilidades e procedimentos adotados pela Nora Finance para o tratamento de dados pessoais coletados, armazenados e processados no exercício de suas atividades como emissora de stablecoin, em conformidade com a Lei no 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD) e demais normas aplicáveis.
A política tem por finalidade garantir que todo tratamento de dados pessoais realizado pela Nora Finance observe os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização, conforme art. 6o da LGPD.
2. Posicionamento da Nora Finance no Tratamento de Dados
A Nora Finance opera exclusivamente como emissora de stablecoin (modelo pure issuer), tendo como únicos clientes diretos os Nora Authorized Minters (NAMs) - pessoas jurídicas credenciadas para emitir e resgatar BRS. A Nora Finance não mantém relacionamento direto com usuários finais.
Em razão desse modelo, o tratamento de dados pessoais pela Nora Finance é estruturalmente limitado e ocorre principalmente nas seguintes situações:
-
Coleta de dados pessoais de representantes legais e beneficiários finais (UBOs) de NAMs durante o processo de KYB
-
Tratamento de dados de colaboradores, prestadores de serviços e parceiros comerciais
-
Tratamento de dados de visitantes do site institucional e canais digitais
-
Tratamento de dados pessoais que eventualmente apareçam em transações on-chain monitoradas
| Nota Importante A Nora Finance não trata dados pessoais de usuários finais dos NAMs. A responsabilidade pelo tratamento de dados desses usuários recai integralmente sobre cada NAM, na qualidade de controlador independente perante seus próprios clientes. |
|---|
3. Base Legal e Normativa
| Instrumento | Relevância |
|---|---|
| Lei no 13.709/2018 (LGPD) | Lei Geral de Proteção de Dados Pessoais; define bases legais, direitos do titular, obrigações do controlador/operador e regime sancionatório |
| Resolução CD/ANPD no 2/2022 | Regulamentação aplicável a agentes de tratamento de pequeno porte (quando aplicável) |
| Resolução CD/ANPD no 4/2023 | Regulamento de Dosimetria e Aplicação de Sanções Administrativas |
| Resolução CD/ANPD no 15/2024 | Regulamento sobre Comunicação de Incidente de Segurança |
| Lei no 9.613/1998 (PLD/FT) | Hipótese legal de tratamento (cumprimento de obrigação legal e regulatória) |
| Lei no 14.478/2022 | Marco legal dos criptoativos no Brasil; conjuga-se com obrigações de PLD/FT que justificam tratamento de dados |
| GDPR (Regulamento UE 2016/679) | Adotado como referência adicional para tratamentos com elemento transfronteiriço, em especial transferências internacionais |
4. Definições
| Termo | Definição |
|---|---|
| Dado Pessoal | Informação relacionada a pessoa natural identificada ou identificável (art. 5o, I, LGPD) |
| Dado Pessoal Sensível | Dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados referentes à saúde, à vida sexual, dado genético ou biométrico (art. 5o, II, LGPD) |
| Tratamento | Toda operação realizada com dados pessoais, incluindo coleta, armazenamento, classificação, utilização, processamento, transferência e eliminação (art. 5o, X, LGPD) |
| Titular | Pessoa natural a quem se referem os dados pessoais objeto de tratamento (art. 5o, V, LGPD) |
| Controlador | Pessoa a quem competem as decisões referentes ao tratamento de dados pessoais (art. 5o, VI, LGPD) |
| Operador | Pessoa que realiza o tratamento de dados pessoais em nome do controlador (art. 5o, VII, LGPD) |
| Encarregado (DPO) | Pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares e a ANPD (art. 5o, VIII, LGPD) |
| ANPD | Autoridade Nacional de Proteção de Dados (art. 5o, XIX, LGPD) |
| Incidente de Segurança | Evento adverso confirmado, relacionado à violação de segurança, que pode acarretar risco ou dano relevante aos titulares (art. 48, LGPD) |
| RIPD | Relatório de Impacto à Proteção de Dados Pessoais (art. 5o, XVII, LGPD) |
5. Princípios da Política
A Nora Finance adota os princípios estabelecidos no art. 6o da LGPD em todas as suas atividades de tratamento:
-
Finalidade: o tratamento ocorre apenas para propósitos legítimos, específicos, explícitos e informados ao titular
-
Adequação: o tratamento é compatível com as finalidades informadas
-
Necessidade: o tratamento é limitado ao mínimo necessário para a realização das finalidades
-
Livre acesso: garantia de consulta facilitada e gratuita pelos titulares sobre o tratamento dos seus dados
-
Qualidade dos dados: garantia de exatidão, clareza, relevância e atualização
-
Transparência: informações claras, precisas e facilmente acessíveis sobre o tratamento
-
Segurança: medidas técnicas e administrativas para proteção dos dados
-
Prevenção: adoção de medidas para prevenir a ocorrência de danos
-
Não discriminação: impossibilidade de tratamento para fins discriminatórios ilícitos ou abusivos
-
Responsabilização e prestação de contas: demonstração da adoção de medidas eficazes capazes de comprovar a observância da LGPD
6. Categorias de Dados Tratados e Bases Legais
6.1 Mapeamento de Tratamentos
A Nora Finance realiza os seguintes tratamentos de dados pessoais, cada um com sua respectiva base legal:
| Atividade de Tratamento | Categorias de Dados | Titulares | Base Legal (LGPD) |
|---|---|---|---|
| KYB de NAMs (representantes legais e UBOs) | Identificação completa, documentos de identidade, biometria facial, qualificação PEP, comprovante de endereço | Pessoas físicas vinculadas aos NAMs | Art. 7o, II (cumprimento de obrigação legal) e art. 7o, V (execução de contrato) |
| Screening de sanções e PEP | Nome completo, data de nascimento, nacionalidade, documento de identificação | Representantes e UBOs de NAMs | Art. 7o, II (cumprimento de obrigação legal) e art. 11, II, "a" (cumprimento de obrigação legal pelo controlador) para dados sensíveis quando aplicável |
| Monitoramento de transações on-chain | Endereços de wallet, valores, timestamps, contrapartes | Indireto: pessoas associadas a wallets | Art. 7o, II (cumprimento de obrigação legal de PLD/FT) e art. 7o, IX (legítimo interesse) |
| Comunicações ao COAF | Conjunto completo de dados da operação suspeita e do NAM envolvido | Representantes, UBOs, contrapartes | Art. 7o, II (cumprimento de obrigação legal - Lei no 9.613/1998) |
| Gestão de colaboradores | Identificação, dados contratuais, dados financeiros, dados de saúde quando aplicável | Colaboradores e contratados | Art. 7o, V (execução de contrato), art. 7o, II (obrigação legal trabalhista e previdenciária), art. 11, II, "a" e "b" (obrigações legais em saúde ocupacional) |
| Relacionamento comercial e fornecedores | Identificação de representantes, contatos profissionais | Pessoas físicas vinculadas a parceiros | Art. 7o, V (execução de contrato) e art. 7o, IX (legítimo interesse) |
| Site institucional e formulários | Dados de contato, dados de navegação (cookies estritamente necessários) | Visitantes do site | Art. 7o, IX (legítimo interesse) e art. 7o, I (consentimento, quando aplicável a cookies não essenciais) |
| Comunicações de marketing e relacionamento | Nome, e-mail profissional, empresa | Contatos comerciais | Art. 7o, I (consentimento) ou art. 7o, IX (legítimo interesse), conforme a hipótese |
6.2 Dados Pessoais Sensíveis
A Nora Finance trata dados pessoais sensíveis de forma restrita, limitada essencialmente a:
-
Dados biométricos faciais coletados para verificação de identidade (liveness check) de UBOs e representantes de NAMs, nos termos do art. 11, II, "a" da LGPD (cumprimento de obrigação legal de PLD/FT)
-
Eventuais dados de saúde de colaboradores, tratados para cumprimento de obrigações trabalhistas e de saúde ocupacional, nos termos do art. 11, II, "a" e "b" da LGPD
A Nora Finance não trata dados sensíveis para finalidades comerciais, de marketing ou de profilling.
6.3 Tratamento de Dados de Crianças e Adolescentes
A Nora Finance não direciona seus produtos ou serviços a crianças ou adolescentes e não realiza tratamento de dados pessoais de menores de 18 anos. Caso seja identificado tratamento involuntário desses dados, será imediatamente cessado e os dados eliminados, salvo obrigação legal em contrário.
7. Direitos dos Titulares
Os titulares de dados pessoais tratados pela Nora Finance possuem os direitos garantidos pelo art. 18 da LGPD:
| Direito | Descrição |
|---|---|
| Confirmação | Confirmação da existência de tratamento |
| Acesso | Acesso aos dados pessoais tratados |
| Correção | Correção de dados incompletos, inexatos ou desatualizados |
| Anonimização, bloqueio ou eliminação | De dados desnecessários, excessivos ou tratados em desconformidade com a LGPD |
| Portabilidade | Portabilidade dos dados a outro fornecedor de serviço, observados segredos comercial e industrial |
| Eliminação | Eliminação dos dados tratados com consentimento, exceto nas hipóteses do art. 16 da LGPD |
| Informação sobre compartilhamento | Identificação das entidades públicas e privadas com as quais os dados foram compartilhados |
| Informação sobre não consentir | Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa |
| Revogação do consentimento | Revogação do consentimento, nos termos do art. 8o, parágrafo 5o da LGPD |
| Oposição | Oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento da LGPD |
| Revisão de decisões automatizadas | Revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses |
7.1 Canal de Atendimento aos Titulares
Solicitações relativas ao exercício de direitos podem ser encaminhadas para:
-
E-mail: dpo@norafinance.xyz
-
Prazo de resposta: até 15 (quinze) dias contados do recebimento da solicitação, conforme art. 19, parágrafo 1o, II da LGPD
-
Identificação obrigatória do titular para confirmação da legitimidade da solicitação
7.2 Limitações ao Exercício de Direitos
Determinados direitos podem ser limitados quando o tratamento for necessário ao cumprimento de obrigação legal ou regulatória pelo controlador, em especial obrigações de PLD/FT (Lei no 9.613/1998) que impõem retenção mínima de 5 anos. Nesses casos, a Nora Finance informará ao titular a base legal aplicável e o prazo de retenção mínimo.
8. Compartilhamento de Dados e Operadores
8.1 Princípios do Compartilhamento
A Nora Finance compartilha dados pessoais com terceiros apenas quando estritamente necessário para o cumprimento das finalidades informadas ao titular ou para o cumprimento de obrigação legal ou regulatória. Todo compartilhamento observa:
-
Avaliação prévia da finalidade e necessidade
-
Formalização contratual com cláusulas específicas de proteção de dados
-
Limitação do acesso ao mínimo necessário
-
Garantia de adoção, pelo terceiro, de padrões de segurança equivalentes
8.2 Categorias de Operadores e Terceiros
A Nora Finance utiliza os seguintes operadores e terceiros para tratamento de dados pessoais:
| Categoria | Finalidade | Localização Predominante |
|---|---|---|
| Fornecedor de KYB/KYC e screening de PEP/sanções | Verificação documental, biometria, screening contínuo | Internacional (EU/Reino Unido) |
| Fornecedor de blockchain analytics | Monitoramento on-chain, screening de wallets | Internacional (EUA) |
| Fornecedor de transaction monitoring | Detecção de padrões atípicos | Internacional (EUA) |
| Fornecedor de prova de reservas | Publicação verificável do lastro do BRS | Internacional |
| Provedores de infraestrutura cloud | Hospedagem de aplicações e bases de dados | Brasil ou regiões com nível adequado de proteção |
| Provedores de e-mail e produtividade | Comunicação corporativa | Internacional (EUA) |
| Assessoria jurídica externa | Consultoria regulatória, contratual e contenciosa | Brasil |
| Auditoria externa | Auditoria contábil e de compliance | Brasil |
| Autoridades públicas e reguladores | Cumprimento de obrigações legais (COAF, BCB, ANPD, Receita Federal, Poder Judiciário) | Brasil |
8.3 Compartilhamento por Determinação Legal
A Nora Finance pode compartilhar dados pessoais com autoridades públicas e órgãos reguladores quando exigido por lei, ordem judicial ou determinação administrativa válida, em especial:
-
Comunicações ao COAF nos termos da Lei no 9.613/1998
-
Atendimento a determinações do Banco Central do Brasil
-
Atendimento a ordens judiciais
-
Cumprimento de exigências da Receita Federal do Brasil
9. Transferência Internacional de Dados
9.1 Transferências Realizadas
Em razão da utilização de operadores internacionais especializados em compliance e infraestrutura, a Nora Finance realiza transferências internacionais de dados pessoais. Essas transferências observam o art. 33 da LGPD e ocorrem nas seguintes hipóteses:
-
Para países que proporcionem grau de proteção adequado, conforme reconhecido pela ANPD
-
Quando o controlador oferecer e comprovar garantias de cumprimento dos princípios e direitos do titular, mediante cláusulas contratuais específicas, normas corporativas globais, selos, certificados e códigos de conduta
-
Quando necessária para cumprimento de obrigação legal ou regulatória pelo controlador
-
Quando necessária para a execução de contrato do qual o titular seja parte
9.2 Salvaguardas Adotadas
-
Cláusulas contratuais de proteção de dados em todos os contratos com operadores internacionais
-
Avaliação prévia do nível de proteção do país de destino
-
Verificação de certificações de segurança da informação (e.g., ISO 27001, SOC 2)
-
Quando aplicável, adoção de cláusulas-padrão equivalentes às SCCs do GDPR
-
Documentação interna do fundamento legal de cada transferência
10. Segurança da Informação e Proteção dos Dados
A Nora Finance adota medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (art. 46 da LGPD).
10.1 Medidas Técnicas
-
Criptografia em trânsito (TLS 1.2 ou superior) e em repouso para bases de dados sensíveis
-
Controle de acesso baseado em perfis (least privilege) e segregação de funções
-
Autenticação multifator (MFA) obrigatória para acesso a sistemas que tratam dados pessoais
-
Logs de acesso e alterações com retenção mínima compatível com a obrigação legal aplicável
-
Backups regulares com criptografia e teste periódico de restauração
-
Segregação de ambientes (produção, homologação, desenvolvimento)
-
Avaliações periódicas de vulnerabilidade e revisão de configurações de segurança
-
Hardening de servidores e revisão de dependências de software
10.2 Medidas Administrativas
-
Política de Segurança da Informação interna
-
Termos de confidencialidade firmados por todos os colaboradores e prestadores
-
Treinamento periódico de colaboradores sobre proteção de dados e segurança da informação
-
Avaliação de segurança de operadores antes da contratação (vendor risk assessment)
-
Procedimentos formais de revogação de acesso na desativação de colaboradores
-
Inventário de tratamento de dados (registro de operações, art. 37 da LGPD)
-
Revisão periódica de permissões de acesso
11. Retenção e Eliminação de Dados
11.1 Prazos de Retenção
A Nora Finance retém dados pessoais pelo tempo estritamente necessário ao cumprimento das finalidades para as quais foram coletados, observando os seguintes prazos mínimos:
| Categoria | Prazo Mínimo de Retenção | Fundamento |
|---|---|---|
| Dados de KYB de NAMs (incluindo UBOs e representantes) | 5 anos após o encerramento do relacionamento | Art. 10, parágrafo 2o da Lei no 9.613/1998 |
| Registros de transações de mint/burn e alertas de monitoramento | 5 anos após a operação | Art. 10, parágrafo 2o da Lei no 9.613/1998 |
| Comunicações ao COAF | 5 anos após o envio | Art. 11, II, da Lei no 9.613/1998 |
| Dados contratuais com fornecedores e parceiros | 5 anos após o término do contrato | Art. 206, parágrafo 5o, I do Código Civil |
| Dados de colaboradores | Conforme legislação trabalhista e previdenciária aplicável | CLT, INSS e demais normas |
| Dados de visitantes do site | Pelo período da finalidade ou até revogação do consentimento | LGPD |
11.2 Eliminação
Concluído o prazo de retenção e cumpridas as finalidades, os dados pessoais são eliminados de forma segura, salvo nas hipóteses autorizadas pelo art. 16 da LGPD (cumprimento de obrigação legal, estudo por órgão de pesquisa, transferência a terceiro, uso exclusivo do controlador desde que anonimizados).
A eliminação inclui dados em ambiente de produção e em backups, observando os ciclos técnicos de rotação de mídia.
12. Incidentes de Segurança
12.1 Procedimento Interno
Identificado um incidente de segurança envolvendo dados pessoais, a Nora Finance:
-
Aciona imediatamente o time de Compliance e o Encarregado (DPO)
-
Realiza contenção, investigação e avaliação de impacto
-
Documenta o incidente, suas causas, dados afetados, medidas adotadas e impactos
-
Avalia a obrigatoriedade de comunicação à ANPD e aos titulares afetados
12.2 Comunicação à ANPD e aos Titulares
A comunicação à ANPD será realizada quando o incidente puder acarretar risco ou dano relevante aos titulares, observando os critérios e prazos estabelecidos pela Resolução CD/ANPD no 15/2024. A comunicação contém, no mínimo:
-
Descrição da natureza dos dados afetados
-
Informações sobre os titulares envolvidos
-
Indicação das medidas técnicas e de segurança utilizadas
-
Riscos relacionados ao incidente
-
Motivos da demora, no caso de a comunicação não ter sido imediata
-
Medidas adotadas ou que serão adotadas para reverter ou mitigar os efeitos
A comunicação aos titulares será realizada quando aplicável, em linguagem clara e acessível.
13. Encarregado (DPO)
A Nora Finance designa formalmente o seu Encarregado pelo Tratamento de Dados Pessoais, responsável pelas atribuições previstas no art. 41, parágrafo 2o da LGPD:
-
Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
-
Receber comunicações da ANPD e adotar providências
-
Orientar funcionários e contratados sobre práticas de proteção de dados
-
Executar as demais atribuições determinadas pelo controlador ou em normas complementares
| Identificação do Encarregado Encarregado: Bruno Moniz Cargo: CFO & Compliance Officer E-mail: dpo@norafinance.xyz |
|---|
14. Responsabilidades
| Responsável | Atribuições em LGPD |
|---|---|
| Bruno Moniz (CFO, Compliance Officer e DPO) | Encarregado pelo Tratamento de Dados Pessoais; canal com titulares e ANPD; aprovação da política e revisões |
| Jean Martina (CTO & Co-Compliance Officer) | Implementação das medidas técnicas de segurança; manutenção dos controles de acesso; resposta técnica a incidentes |
| Luigi Remor (CEO) | Patrocínio executivo da cultura de proteção de dados; aprovação de decisões estratégicas que envolvam tratamento de dados |
| Victor Cioffi (CRO) | Aderência aos princípios de minimização e finalidade nas iniciativas comerciais; encaminhamento ao DPO de demandas que envolvam dados pessoais |
| Assessoria Jurídica Externa | Orientação legal em casos complexos; revisão da política; suporte em incidentes e em demandas regulatórias |
| Todos os Colaboradores | Tratamento dos dados conforme esta política; comunicação imediata ao DPO de qualquer suspeita de incidente ou irregularidade |
15. Treinamento e Cultura de Proteção de Dados
-
Todos os colaboradores recebem treinamento inicial sobre LGPD no onboarding
-
Treinamento de atualização anual obrigatório
-
Comunicações periódicas sobre boas práticas de segurança da informação e privacidade
-
O DPO mantém atualização profissional contínua sobre legislação e regulamentação aplicáveis
-
A cultura de privacidade é responsabilidade da liderança e permeia decisões de produto, tecnologia e operações
16. Revisão e Vigência
Esta política entra em vigor na data de sua aprovação pela diretoria da Nora Finance e será revisada:
-
Anualmente, como parte do ciclo regular de revisão de políticas internas
-
Sempre que houver alteração relevante na legislação ou regulamentação aplicável
-
Mediante recomendação da assessoria jurídica ou de auditoria externa
-
Em caso de incidente de segurança que demande ajuste procedimental
-
Quando da implementação de novos produtos, serviços ou tratamentos relevantes
| Versão | Data | Alterações |
|---|---|---|
| 1.0 | Março de 2026 | Versão inicial |
| Bruno Moniz CFO, Compliance Officer & DPO - Nora Finance | Jean Martina CTO & Co-Compliance Officer - Nora Finance |
|---|
17. Documentos Relacionados
-
Política de KYC/KYB - Nora Authorized Minters (NAM)
-
Política de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (PLD/FT)
-
NAM Program v1 - Nora Authorized Minters
-
NAM Agreement (Contrato de Parceria de Minter Autorizado)
-
Política de Segurança da Informação - a ser elaborada
-
Registro de Operações de Tratamento (ROPA) - a ser elaborado