Política de Privacidade
Última atualização: 15de setembro de 2025
Capítulo 1 – Preliminares
1.1 Visão geral da RULES e da Plataforma
Rules Holdings BVI Ltd. (“RULES”) é uma empresa constituída nas Ilhas Virgens Britânicas (BVI) e licenciada e regulada pela Financial Services Commission (“FSC”) para prestar:
1. “Exchange de Ativos Virtuais”; e
2. “Serviço de Custódia de Ativos Virtuais”;
em relação a “Ativos Virtuais Aceitos” nas BVI ou a partir delas (conforme previsto na Virtual Asset Service Provider Act, 2022) por meio de sua Plataforma.
1.2 Termos definidos e interpretação
Salvo se o contexto indicar o contrário, os termos grafados em maiúsculas estão definidos no Glossário do Anexo 1 desta Política de Privacidade.
1.3 Finalidade e escopo desta Política de Privacidade
Esta Política é emitida pela RULES em conformidade com as leis e regulamentos de proteção de dados aplicáveis, incluindo:
(a) a Lei de Proteção de Dados das Ilhas Virgens Britânicas de 2021 (“Lei de BVI”);
(b) a Lei Geral de Proteção de Dados brasileira – LGPD;
(c) o Regulamento Geral de Proteção de Dados da União Europeia (“GDPR”); e
(d) o Decreto-Lei Federal nº 45 de 2021 sobre Proteção de Dados Pessoais (“PDPL”).
Esta Política rege o Tratamento de Dados Pessoais de Usuários e de quaisquer pessoas naturais relevantes (por exemplo, potenciais clientes) coletados em conexão com o uso de quaisquer Serviços. O objetivo é informar como a RULES, na qualidade de Controladora, pode Tratar Dados Pessoais em conformidade com as leis e regulamentos relevantes.
Esta Política, conforme alterada de tempos em tempos e publicada no Website, aplica-se e é vinculante para:
(i) todos os Titulares que acessam ou utilizam o Website; e
(ii) todos os Usuários da Plataforma, conforme previsto no Contrato do Usuário.
O uso contínuo do Website, da Plataforma ou da API por qualquer um dos anteriores, ou por seus Representantes Autorizados, implica que leram, compreenderam e consentiram com esta Política, conforme alterada.
1.4 Autoridades competentes e leis aplicáveis
Ao Tratar Dados Pessoais, a RULES, como Controladora estabelecida nas BVI, observará principalmente a Lei de Proteção de Dados das BVI, administrada pelo Office of the Information Commissioner. Considerando o alcance global da Plataforma, a RULES também poderá precisar cumprir outras leis, como a PDPL e o GDPR, quando os Titulares dos Dados estiverem localizados fora das BVI.
Capítulo 2 – Quando, Quais e Por Quê a RULES Trata Dados Pessoais?
2.1 Quando a RULES trata Dados Pessoais
A RULES trata Dados Pessoais fornecidos diretamente pelo Titular ou gerados/obtidos por terceiros durante a operação da Plataforma, incluindo quando o Titular:
(a) solicita a abertura de uma conta junto à RULES;
(b) utiliza qualquer um dos Serviços, como transações na Plataforma; e
(c) acessa ou utiliza o Website ou a API.
2.2 Quais categorias de informações a RULES trata?
A RULES trata as seguintes categorias de informações, que podem conter Dados Pessoais (exemplos ilustrativos):
| Categoria de Informação | Exemplos |
|---|---|
| Dados de Identificação | (a) Nome(s) e apelido(s) (b) Gênero (c) Nacionalidade (d) Data de nascimento (e) Documentos oficiais como passaporte, RG, CNH, visto (f) Comprovante de endereço (g) Foto facial (h) Assinatura ou carimbo) |
| Informações Pessoais | (a) Endereço físico/de cobrança (b) Telefone (c) E-mail (d) CPF, CNPJ, TIN (e) Nome da mãe/pai, se aplicável) |
| Dados de Conformidade | (a) Informações fornecidas para avaliação de risco, checagens de sanções ou crimes financeiros (b) Status de emprego (c) Prova de origem de fundos/patrimônio (d) Cargo ou função (e) Declarações fiscais) |
| Dados Financeiros | (a) Detalhes de contas bancárias ou corretoras (b) Dados de cartões (c) Saldos (d) Renda mensal estimada) |
| Dados de Marketing | (a) Preferências de comunicação (b) Preferências de marketing (c) Consentimento para contato (d) Respostas de pesquisas) |
| Dados Transacionais | (a) Detalhes de pagamentos (b) Detalhes de transações via Serviços/Plataforma/Website/API) |
| Dados Técnicos | (a) IP, provedor, navegador/dispositivo/SO (b) Fuso horário, idioma, localização (c) Logs de operação ou erro (d) Cookies e tecnologias similares) |
| Dados de Uso | (a) Credenciais de acesso à Plataforma (b) Preferências, interesses, feedback e respostas de pesquisa) |
A RULES não trata Dados Sensíveis, exceto quando necessário para cumprir obrigações ou exercer direitos. Também pode tratar informações sobre condenações criminais quando permitido por lei e necessário para cumprir obrigações legais.
2.3 Por que a RULES trata Dados Pessoais?
A RULES trata Dados Pessoais apenas para finalidades legítimas e legais, incluindo quando:
(a) o Titular consente com o tratamento;
(b) é necessário para executar o Contrato do Usuário ou etapas pré-contratuais;
(c) é exigido para cumprimento de obrigações legais ou regulatórias (por exemplo, prevenção à lavagem de dinheiro);
(d) é necessário para proteger interesses vitais do Titular ou de outra pessoa; ou
(e) é necessário para defesa judicial ou cumprimento de ordens de autoridades competentes.
O não fornecimento de determinadas informações pode impedir a RULES de cumprir obrigações legais ou contratuais.
Capítulo 3 – Como a RULES Coleta Dados Pessoais
3.1 Coleta direta
A RULES pode coletar Dados Pessoais diretamente quando o Titular:
(a) solicita os Serviços;
(b) preenche formulários de inscrição;
(c) fornece informações ao usar a API ou o Website;
(d) realiza transações na Plataforma; ou
(e) responde solicitações ou envia comunicações à RULES.
3.2 Coleta de terceiros
A RULES pode coletar Dados Pessoais de:
(a) órgãos governamentais ou judiciais;
(b) registros públicos (como juntas comerciais);
(c) provedores de dados ou verificações de conformidade pagos;
(d) outros Titulares (como indicações);
(e) fontes públicas acessíveis, inclusive na internet.
3.3 Coleta automática
A RULES pode coletar Dados Pessoais automaticamente quando o Titular utiliza a API ou o Website (por exemplo, via cookies e logs). Em geral, esses dados são anonimizados, mas podem conter informações pessoais.
Capítulo 4 – Como a RULES Transfere Dados Pessoais
4.1 Destinatários
A RULES pode transferir Dados Pessoais a terceiros para cumprir obrigações contratuais, incluindo:
(a) outras empresas do grupo RULES;
(b) prestadores de serviços, auditores, consultores e processadores de dados;
(c) autoridades públicas e judiciais; e
(d) terceiros em formato anonimizado.
4.2 Localidades
A RULES pode transferir Dados Pessoais para fora das BVI, desde que existam garantias adequadas ou consentimento válido. Quando aplicável, seguirá listas de jurisdições consideradas adequadas pelas autoridades competentes.
4.3 Garantias de proteção
Em transferências para jurisdições sem nível adequado de proteção, a RULES aplicará medidas como:
(a) autorização prévia da autoridade competente;
(b) cláusulas contratuais específicas com o destinatário; e/ou
(c) uso de Cláusulas Contratuais Padrão.
4.4 Segurança da transmissão
A RULES não pode garantir que a transmissão de dados pela internet seja totalmente segura, sendo o risco assumido pelo usuário. No entanto, adota medidas razoáveis para mitigar riscos e proteger comunicações eletrônicas.
Capítulo 5 – Como a RULES Armazena Dados Pessoais
5.1 Segurança do armazenamento
A RULES utiliza medidas baseadas nas melhores práticas do setor, validadas pelo Diretor de Segurança da Informação, incluindo diretórios protegidos por senha, TLS/HTTPS e infraestrutura segura em nuvem. O Usuário é responsável por proteger suas credenciais e deve notificar a RULES em caso de suspeita de violação. A autenticação multifator é usada para mitigar riscos de comprometimento.
5.2 Prazo de retenção
A RULES mantém os Dados Pessoais enquanto necessário para as finalidades legítimas e obrigações legais. Após esse período, os dados são excluídos ou anonimizados de forma irreversível.
Capítulo 6 – Quais são os Direitos do Usuário
O Titular possui, entre outros, os seguintes direitos:
Capítulo 7 – Como o Usuário Pode Exercer seus Direitos
O Titular pode exercer seus direitos ou retirar consentimento a qualquer momento:
(a) pelo link disponível na API ou no Website; ou
(b) enviando e-mail para [email protected].
A RULES responderá às solicitações em até 30 (trinta) dias. Caso seja necessário prazo adicional, o Titular será informado. O Titular também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD).
Capítulo 8 – Comunicação com os Titulares de Dados
8.1 Notificação de incidentes
Em caso de violação de dados pessoais, a RULES notificará os Titulares e as autoridades competentes, informando a natureza, o momento, os dados afetados e as medidas corretivas adotadas.
8.2 Formas de comunicação
As comunicações da RULES poderão ocorrer por:
(i) aviso publicado na API ou Website;
(ii) e-mail cadastrado; ou
(iii) outros meios eletrônicos.
As mensagens são consideradas recebidas no momento do envio.
8.3 Requisitos de idioma
Todas as comunicações entre o Titular e a RULES devem ser em inglês, salvo disposição expressa em contrário.
Capítulo 9 – Alteração desta Política de Privacidade
A RULES poderá alterar esta Política a qualquer momento, publicando a nova versão no Website (www.bumba.global) e enviando um aviso com o link atualizado.
Anexo 1 – Glossário e Interpretação
Interpretação
Salvo indicação em contrário, os termos definidos nesta Política têm o mesmo significado previsto nas leis de proteção de dados aplicáveis.
Glossário
| Termo | Significado |
|---|---|
| RULES | Rules Holdings BVI Ltd. e suas afiliadas. |
| BVI | Ilhas Virgens Britânicas. |
| LGPD | Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018). |
| GDPR | Regulamento Geral de Proteção de Dados da União Europeia. |
| PDPL | Lei Federal nº 45 de 2021 dos Emirados Árabes Unidos sobre Proteção de Dados. |
| Controlador | Pessoa natural ou jurídica responsável por |