Política de Privacidade
KOPERA – Conta Digital, Cartão e Crédito
Versão 2.0.0 · Maio/2026 · Última revisão: 15/05/2026
A KOPERA TECNOLOGIA EM SERVIÇOS FINANCEIROS LTDA. ("KOPERA"), em conjunto com a FIDO SOCIEDADE DE EMPRÉSTIMO ENTRE PESSOAS S.A. ("FIDO"), a BMP SOCIEDADE DE CRÉDITO DIRETO S.A. ("BMP") e a WISEMONEY TECNOLOGIA E CORRESPONDENTE BANCÁRIO LTDA – EPP ("WISEMONEY"), denominadas coletivamente "Controladoras", apresenta esta Política de Privacidade em atendimento à Lei n.º 13.709/2018 (LGPD), à Resolução BCB n.º 97/2021 e demais normas aplicáveis.
1. Definições
- ANPD: Autoridade Nacional de Proteção de Dados.
- Controlador: Pessoa a quem competem as decisões referentes ao tratamento de dados pessoais.
- Dado Pessoal: Informação relacionada a pessoa natural identificada ou identificável.
- Dado Sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
- DPO: Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer), conforme art. 41 da LGPD.
- Operador: Pessoa que realiza o tratamento de dados pessoais em nome do controlador.
- Plataforma KOPERA: Conjunto de meios tecnológicos (site, aplicativo e canais digitais) disponibilizados pela KOPERA para acesso aos serviços financeiros.
- SCR: Sistema de Informações de Crédito do Banco Central do Brasil.
- Titular: Pessoa natural a quem se referem os dados pessoais objeto de tratamento.
- Tratamento: Toda operação realizada com dados pessoais, incluindo coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.
- Usuário: Pessoa física ou jurídica que utiliza a Plataforma KOPERA.
2. Dados Coletados
As Controladoras coletam dados pessoais necessários à prestação dos serviços, agrupados nas seguintes categorias:
2.1 Dados de Identificação e Cadastro
- Nome completo ou razão social, CPF/CNPJ, RG, data de nascimento/constituição;
- Endereço completo, telefone, e-mail;
- Documentos de identificação com foto (frente e verso);
- Contrato social, estatuto e dados dos sócios (pessoas jurídicas);
- Cadeia societária e beneficiário final.
2.2 Dados Biométricos e de Autenticação (Dados Sensíveis)
- Selfie e reconhecimento facial para verificação de identidade (prova de vida);
- Digitais ou outros dados biométricos utilizados para autenticação no Aplicativo;
- Credenciais de acesso (hash de senha, tokens de sessão).
2.3 Dados Financeiros e Creditícios
- Renda, patrimônio, capacidade financeira declarados;
- Histórico de crédito consultado junto ao SCR, Serasa/Experian, SPC, Boa Vista, Quod e similares;
- Dados bancários (agência, conta, chaves Pix) para operacionalização de transferências;
- Dados de operações de crédito junto à FIDO e/ou BMP.
2.4 Dados de Transações
- Histórico completo de transações realizadas (pagamentos, transferências, saques, recargas, empréstimos);
- Dados das transações Pix (chaves, QR Codes, dados do destinatário/remetente);
- Extratos e comprovantes.
2.5 Dados Técnicos e de Navegação
- Endereço IP, dados de dispositivo (modelo, sistema operacional, versão do App);
- Logs de acesso (data, hora, duração), cookies e identificadores de sessão;
- Geolocalização (exigida para determinadas transações pelo BCB);
- Dados de comportamento no Aplicativo para aprimoramento da experiência.
2.6 Dados de Comunicação
- Gravação de chamadas de atendimento (cumprimento de obrigação legal);
- Conteúdo de conversas com o suporte (chat, e-mail, WhatsApp);
- Preferências de comunicação (opt-in/opt-out de marketing).
3. Bases Legais para o Tratamento
As Controladoras fundamentam o tratamento nas seguintes bases legais (art. 7.º e art. 11 da LGPD):
- Execução de Contrato (art. 7.º, V): dados de cadastro, financeiros, de transações e biométricos essenciais à prestação dos Serviços contratados.
- Cumprimento de Obrigação Legal (art. 7.º, II): KYC, PLD-FT, SCR, COAF, regulação BCB, LGPD, obrigações tributárias e sigilo bancário.
- Consentimento (art. 7.º, I e art. 11, I): dados biométricos para onboarding, comunicações de marketing, compartilhamento em Open Finance e dados de geolocalização opcionais.
- Legítimo Interesse (art. 7.º, IX): prevenção a fraudes, segurança das operações, análise de risco, melhoria dos Serviços e personalização da experiência.
- Proteção ao Crédito (art. 7.º, X): consultas em bureaus de crédito e SCR para análise de capacidade creditícia.
- Exercício Regular de Direitos (art. 7.º, VI): conservação de dados para defesa em processos judiciais, administrativos e arbitrais.
- Procedimentos Preliminares Contratuais (art. 7.º, V): análise de elegibilidade pré-contratual.
- Tutela da Saúde (art. 11, II, f): verificação de vulnerabilidade em situações de emergência, quando aplicável.
- Antijuridicidade Manifesta (art. 7.º, VII): compartilhamento com autoridades policiais e judiciais mediante requisição formal.
- Pesquisa e Desenvolvimento (art. 7.º, IV): uso anonimizado de dados para desenvolvimento de modelos de crédito e antifraude, respeitada a privacidade por design.
4. Finalidades do Tratamento
- Abertura, manutenção e encerramento da Conta de Pagamento junto à BMP;
- Processamento de transações financeiras (Pix, TED, DOC, boletos, cartões);
- Análise de crédito, concessão e gestão de operações de empréstimo pela FIDO;
- Verificação de identidade (KYC), prova de vida e onboarding digital;
- Cumprimento de obrigações regulatórias: PLD-FT, SCR, COAF, LGPD;
- Prevenção, detecção e investigação de fraudes, crimes financeiros e atividades ilícitas;
- Atendimento a reclamações, ouvidoria e suporte ao Usuário;
- Gestão de riscos, compliance e segurança operacional;
- Envio de comunicações transacionais (extrato, confirmações, alertas);
- Marketing e comunicações comerciais (mediante opt-in);
- Melhoria contínua da Plataforma e dos Serviços;
- Personalização da experiência do Usuário;
- Exercício de direitos em processos judiciais e administrativos.
5. Compartilhamento de Dados
Os dados pessoais poderão ser compartilhados com as seguintes categorias de destinatários, sempre com fundamentação legal adequada:
- Grupo Econômico: Kopera, Meu Appoio, Left, Eba Benefícios e demais empresas do Conglomerado Humai, para finalidades legítimas e compatíveis.
- Parceiros Financeiros: BMP (custódia e BaaS), FIDO (crédito), WISEMONEY (correspondente bancário), para execução dos serviços contratados.
- Bureaus de Crédito e SCR: Serasa/Experian, SPC, Boa Vista, Quod, Neurotech, Novavida, SCR/BCB – para análise de crédito e prevenção a fraudes.
- Registradoras de Recebíveis: CIP, TAG, CERC, B3 – para operacionalização de operações de crédito com garantia em recebíveis.
- Bandeiras de Cartões: Visa, Mastercard, Elo, Amex, Hiper e outras – para processamento de transações com cartão.
- Prestadores de Serviços (Operadores): empresas de computação em nuvem, analytics, antifraude, biometria, comunicação e suporte — sob contratos com obrigações de confidencialidade e segurança.
- Autoridades Públicas: Banco Central do Brasil, ANPD, Receita Federal, COAF, Polícia Federal, Ministério Público e Poder Judiciário, mediante requisição formal.
- Cessionários ou Adquirentes: em caso de fusão, aquisição, reestruturação societária ou cessão de carteira de crédito, observadas as normas da LGPD.
As Controladoras NÃO venderão, alugarão nem cederão dados pessoais a terceiros para fins comerciais próprios desses terceiros.
6. Cookies e Tecnologias Semelhantes
A Plataforma KOPERA utiliza cookies e tecnologias semelhantes para garantir o funcionamento e aprimorar a experiência do Usuário:
- Cookies Estritamente Necessários: essenciais para autenticação, segurança e funcionamento básico da Plataforma. Não podem ser desativados sem comprometer o serviço.
- Cookies de Desempenho (Analytics): coletam dados agregados e anonimizados sobre uso da Plataforma para identificar problemas e melhorias.
- Cookies de Funcionalidade: memorizam preferências do Usuário (idioma, configurações, região) para personalizar a experiência.
- Cookies de Marketing (mediante opt-in): utilizados para exibição de comunicações personalizadas dentro e fora da Plataforma, com base nos interesses identificados.
- Identificadores de Dispositivo: utilizados em aplicativos móveis para fins de segurança e antifraude.
O Usuário pode gerenciar suas preferências de cookies pelo banner exibido no primeiro acesso ou pelas configurações do navegador/dispositivo, sem prejuízo dos cookies estritamente necessários.
7. Transferência Internacional de Dados
7.1 Parte dos dados pessoais poderá ser transferida para servidores localizados fora do Brasil em razão da utilização de serviços de computação em nuvem de prestadores internacionais.
7.2 As Controladoras adotam os instrumentos previstos nos arts. 33 a 36 da LGPD para garantir nível de proteção equivalente ao brasileiro, incluindo cláusulas contratuais padrão, certificações internacionais e verificação do grau adequado de proteção do país destinatário.
7.3 O Usuário poderá solicitar informações sobre as transferências internacionais realizadas pelo e-mail compliance@kopera.digital.
8. Retenção e Eliminação de Dados
Os dados pessoais serão mantidos pelos seguintes prazos mínimos:
- Dados de Identificação e Cadastro: 10 anos após o encerramento da relação contratual (Lei n.º 9.613/1998 e regulação BCB).
- Dados de Transações Financeiras: 5 anos (Resolução BCB n.º 97/2021) + prazo prescricional aplicável.
- Dados de Crédito (SCR e Bureaus): conforme regulação do BCB e contratos específicos.
- Dados Biométricos: pelo período necessário à prestação dos serviços e cumprimento de obrigações legais, podendo ser eliminados após encerramento da conta.
- Logs de Acesso: 6 meses (Marco Civil da Internet – Lei n.º 12.965/2014).
- Dados para Fins de Marketing: até a revogação do consentimento pelo Usuário.
- Dados para Defesa em Processos: até o trânsito em julgado da decisão final.
Findo o prazo legal ou contratual, os dados serão eliminados de forma segura ou anonimizados para fins estatísticos.
9. Segurança da Informação e Resposta a Incidentes
9.1 As Controladoras adotam medidas técnicas e organizacionais para proteger os dados pessoais contra acesso não autorizado, perda, destruição ou alteração indevida, incluindo: criptografia em trânsito (TLS) e em repouso (AES-256), controle de acesso baseado em papéis (RBAC), autenticação multifator (MFA), firewall e WAF, monitoramento contínuo e SIEM, testes periódicos de penetração e programa de gestão de vulnerabilidades.
9.2 Incidentes de Segurança (art. 48 da LGPD): Em caso de incidente de segurança que possa acarretar risco ou dano relevante ao Titular, as Controladoras comunicarão: (i) a ANPD, em prazo razoável e proporcional à gravidade do incidente; (ii) os Titulares afetados, pelos canais de comunicação disponíveis. A comunicação conterá: descrição dos dados afetados, possíveis riscos, medidas adotadas e contato do DPO.
9.3 As Controladoras mantêm Plano de Resposta a Incidentes (PRI) atualizado e revisado anualmente.
10. Direitos dos Titulares (art. 18 da LGPD)
O Titular dos dados pessoais tem direito a solicitar, a qualquer tempo, mediante requisição ao DPO:
- Confirmação do Tratamento: saber se seus dados são tratados pelas Controladoras.
- Acesso: obter cópia dos dados tratados, com informações sobre origem, finalidade, critérios e tempo de retenção.
- Correção: solicitar atualização ou correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, Bloqueio ou Eliminação: de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
- Portabilidade: receber dados em formato estruturado e interoperável, observada regulamentação da ANPD.
- Eliminação: solicitar a eliminação de dados tratados com base em consentimento, ressalvadas hipóteses legais de conservação.
- Informação sobre Compartilhamento: saber com quais entidades os dados são compartilhados.
- Revogação do Consentimento: retirar o consentimento anteriormente dado, sem prejuízo das operações já realizadas.
- Oposição: opor-se a tratamento realizado com base em hipótese diversa do consentimento, quando houver descumprimento da LGPD.
- Revisão de Decisões Automatizadas: solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado (art. 20 da LGPD).
As solicitações devem ser encaminhadas ao DPO pelo e-mail compliance@kopera.digital ou pelos canais de atendimento no Aplicativo. Responderemos em até 15 (quinze) dias úteis, podendo ser prorrogado por igual período mediante justificativa.
Alguns direitos poderão ser limitados quando o tratamento for necessário ao cumprimento de obrigação legal ou regulatória, exercício de direitos em processos ou proteção ao crédito.
11. Decisões Automatizadas (art. 20 da LGPD)
11.1 As Controladoras utilizam sistemas automatizados de tomada de decisão que afetam os interesses do Usuário nas seguintes hipóteses: análise de crédito e concessão de limite, aprovação ou reprovação de cadastro (KYC), definição de limites operacionais, detecção e bloqueio de transações suspeitas de fraude.
11.2 O Titular poderá solicitar revisão de decisão automatizada que lhe afete de forma significativa, mediante requisição ao DPO, que informará os critérios e procedimentos utilizados.
11.3 As Controladoras garantem que os modelos automatizados são auditados periodicamente para identificar e mitigar vieses e discriminações indevidas.
12. Open Finance (Open Banking)
12.1 O Usuário poderá, mediante consentimento expresso e específico, autorizar o compartilhamento de seus dados financeiros com outras instituições no ecossistema do Open Finance Brasil, nos termos da Resolução Conjunta CMN/BCB n.º 1/2020 e regulação subsequente.
12.2 O consentimento para fins de Open Finance é: voluntário, granular (por categoria de dado), com prazo de vigência definido (máximo de 12 meses, renovável), revogável a qualquer tempo e limitado às finalidades expressamente informadas no momento da solicitação.
12.3 A revogação do consentimento de Open Finance não afetará transações já realizadas com base no consentimento anteriormente concedido.
12.4 As Controladoras atuarão como Transmissoras e/ou Receptoras de Dados no ecossistema Open Finance, conforme habilitações obtidas junto ao BCB.
13. Tratamento de Dados de Menores de Idade
13.1 A Plataforma KOPERA não é destinada a menores de 18 (dezoito) anos. Os serviços financeiros são disponibilizados exclusivamente a pessoas maiores de 18 anos ou emancipadas.
13.2 Se identificarmos que coletamos dados de menores de idade sem o consentimento dos responsáveis legais, procederemos à eliminação imediata dos dados e ao encerramento do cadastro.
13.3 No caso de pessoas jurídicas com sócios ou representantes menores de 18 anos, aplica-se a legislação civil e comercial vigente.
14. Sigilo Bancário e Fiscal
14.1 Os dados financeiros e de transações são protegidos pelo sigilo bancário previsto na Lei Complementar n.º 105/2001, podendo ser acessados por autoridades competentes apenas mediante ordem judicial ou nas hipóteses legais expressamente previstas.
14.2 As Controladoras cumprem as obrigações de comunicação ao COAF e à Receita Federal previstas na legislação tributária e de PLD-FT.
14.3 O Usuário reconhece que o compartilhamento de dados com autoridades regulatórias e de supervisão (BCB, ANPD, COAF, Receita Federal) é obrigação legal das Controladoras, não configurando violação do sigilo bancário.
15. Encarregado pelo Tratamento de Dados (DPO)
Conforme art. 41 da LGPD, as Controladoras indicam os seguintes Encarregados:
- DPO KOPERA: compliance@kopera.digital
- DPO FIDO: Gabriela Tamaso Pavani Agostini | gabriela.tamaso@fido.com.vc
- DPO BMP: disponível em www.bmpbank.com.br
O DPO é responsável por: (i) atender a requisições dos Titulares; (ii) comunicar-se com a ANPD; (iii) orientar as Controladoras sobre práticas de proteção de dados; e (iv) receber comunicações da ANPD.
16. Contato com a ANPD
16.1 O Titular que não tiver sua solicitação atendida satisfatoriamente pelas Controladoras poderá peticionar à Autoridade Nacional de Proteção de Dados (ANPD).
16.2 Contato ANPD: www.gov.br/anpd | anpd@anpd.gov.br
16.3 O Titular poderá ainda registrar reclamações no Procon de sua localidade, no consumidor.gov.br ou no Banco Central do Brasil (www.bcb.gov.br), conforme a natureza da reclamação.
17. Lei Aplicável e Jurisdição
17.1 Esta Política é regida pela Lei n.º 13.709/2018 (LGPD) e demais normas brasileiras aplicáveis.
17.2 Fica eleito o Foro da Comarca de São Paulo/SP para dirimir quaisquer controvérsias decorrentes desta Política, com exceção de ações ajuizadas por consumidores, que poderão ser propostas no foro de seu domicílio.
17.3 Esta Política poderá ser atualizada a qualquer tempo pelas Controladoras, mediante comunicação prévia ao Titular pelos canais disponíveis na Plataforma. A continuidade no uso implica concordância com a versão vigente.
18. Glossário Técnico
- AES-256: Padrão de criptografia simétrica com chave de 256 bits, amplamente utilizado para proteção de dados em repouso.
- ANPD: Autoridade Nacional de Proteção de Dados, órgão federal responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.
- BaaS (Banking as a Service): Modelo de infraestrutura bancária digital que permite a empresas non-bank oferecerem produtos financeiros por meio de APIs licenciadas de uma instituição financeira.
- COAF: Conselho de Controle de Atividades Financeiras, unidade de inteligência financeira responsável pela prevenção à lavagem de dinheiro.
- Cookie: Pequeno arquivo de texto armazenado no navegador ou dispositivo do Usuário para registrar informações de sessão e preferências.
- DPO (Data Protection Officer): Encarregado pelo Tratamento de Dados, responsável por garantir a conformidade com a LGPD e servir de canal entre Controladores, Titulares e ANPD.
- KYC (Know Your Customer): Processo de identificação e verificação da identidade do cliente, exigido pela regulação de PLD-FT.
- LGPD: Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709/2018), lei brasileira que regula o tratamento de dados pessoais por pessoas naturais e jurídicas.
- MFA (Multi-Factor Authentication): Autenticação Multifator, mecanismo de segurança que exige mais de uma forma de verificação de identidade para acesso.
- Open Finance: Ecossistema regulado pelo Banco Central do Brasil que permite o compartilhamento padronizado de dados financeiros entre instituições autorizadas, com consentimento do cliente.
- PLD-FT: Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo, conjunto de obrigações legais impostas às instituições financeiras para detectar e comunicar operações suspeitas.
- RBAC (Role-Based Access Control): Controle de acesso baseado em papéis, garantindo que colaboradores acessem apenas os dados necessários para suas funções.
- SCR: Sistema de Informações de Crédito do Banco Central do Brasil, banco de dados que reúne informações sobre operações de crédito de pessoas físicas e jurídicas.
- SIEM (Security Information and Event Management): Sistema de monitoramento centralizado de eventos de segurança, utilizado para detecção e resposta a incidentes em tempo real.
- TLS (Transport Layer Security): Protocolo criptográfico que garante a segurança das comunicações na internet (HTTPS).
- WAF (Web Application Firewall): Firewall de aplicação web que protege contra ataques como injeção SQL, cross-site scripting e outros vetores comuns.
POLÍTICA DE PRIVACIDADE – KOPERA
Versão 2.0.0 · Maio/2026 · Última revisão: 15/05/2026
KOPERA TECNOLOGIA EM SERVIÇOS FINANCEIROS LTDA. · CNPJ 57.628.629/0001-06 · kopera.digital
Av. Paulista, 726, Conj. 1202, Bela Vista, São Paulo – SP, CEP 01.310-910