Documento de compliance

Política de Privacidade

Esta Política descreve como a PangeaPay trata dados pessoais de clientes, visitantes do site, parceiros e candidatos a emprego, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/18) e demais normas aplicáveis. Privacidade aqui não é cláusula de rodapé: é parte do produto.

Última atualização: Abril de 2026

1. Controlador dos dados

O controlador dos dados pessoais tratados nos termos desta Política é a PangeaPay, sociedade brasileira que opera a plataforma de câmbio, PIX e criptoativos disponível em pangeapay.org e em seus aplicativos oficiais.

Para qualquer comunicação relativa a dados pessoais, utilize o canal do Encarregado de Proteção de Dados (DPO) descrito ao final deste documento.

2. Glossário

LGPD
— Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18).
Titular
— pessoa natural a quem se referem os dados pessoais.
Controlador
— pessoa a quem competem as decisões sobre o tratamento dos dados pessoais.
Operador
— pessoa que realiza o tratamento de dados pessoais em nome do controlador.
DPO
— Data Protection Officer ou Encarregado pelo Tratamento de Dados Pessoais.
Dado pessoal
— informação relacionada a pessoa natural identificada ou identificável.
Dado pessoal sensível
— dado sobre origem racial ou étnica, convicção religiosa, opinião política, dado biométrico, entre outros previstos em lei.

3. Dados que coletamos

Coletamos diferentes categorias de dados pessoais conforme a relação que você mantém com a PangeaPay. Em geral, os dados coletados se enquadram nos seguintes grupos:

  • Dados de identificação: nome completo, CPF, RG ou documento equivalente, data de nascimento, nacionalidade e foto.
  • Dados de contato: e-mail, telefone, endereço residencial e, quando aplicável, endereço comercial.
  • Dados financeiros e transacionais: contas bancárias, chaves PIX, endereços de carteiras, histórico de operações, valores movimentados, contrapartes e finalidade declarada.
  • Dados de verificação: imagens de documentos, prova de vida (selfie ou vídeo), comprovante de residência e dados extraídos por OCR ou biometria facial.
  • Dados profissionais e patrimoniais: profissão, ocupação, faixa de renda e patrimônio declarado para fins de avaliação de risco.
  • Dados técnicos e de uso: endereço IP, identificadores de dispositivo, sistema operacional, navegador, páginas visitadas, eventos de uso do app, cookies e tokens de sessão.
  • Comunicações: mensagens trocadas com o suporte, gravações de chamadas (quando avisado previamente) e formulários de contato.

Não solicitamos dados pessoais sensíveis fora dos casos exigidos por lei ou regulação. Quando coletamos biometria, é apenas para confirmação de identidade nos processos de KYC, e o dado é tratado com criptografia e acesso restrito.

4. De onde os dados vêm

Os dados pessoais que tratamos podem ser coletados das seguintes fontes:

  • Diretamente do titular, no cadastro, KYC, abertura de conta, suporte e formulários do site.
  • De parceiros operacionais (provedores de KYC, biometria, antifraude e listas restritivas) que verificam ou enriquecem informações que você nos forneceu.
  • De fontes públicas e bases regulatórias, como Receita Federal, listas de PEP, OFAC, ONU e UE, sempre que necessário para cumprir obrigação legal ou regulatória.
  • Automaticamente, durante sua navegação no site ou uso do app, por meio de cookies, logs de servidor e ferramentas de analytics.

5. Para que usamos seus dados

Tratamos dados pessoais apenas para finalidades específicas, legítimas e informadas. As principais são:

  • Cadastro, abertura e manutenção da sua conta na PangeaPay.
  • Cumprimento de obrigações de KYC, prevenção à lavagem de dinheiro (PLD/AML) e ao financiamento do terrorismo, conforme Lei 14.478/22 e normas do BACEN, CVM e COAF.
  • Execução das operações que você contrata: PIX, conversão entre BRL, BRLA, USDT, USDC, BTC e demais ativos suportados, e remessas internacionais.
  • Prevenção e detecção de fraudes, golpes, uso indevido da plataforma e violação dos termos de uso.
  • Atendimento ao cliente e resolução de disputas.
  • Comunicação operacional sobre sua conta, transações, segurança e mudanças regulatórias.
  • Comunicações de marketing, quando você consentiu, com possibilidade de opt-out a qualquer momento.
  • Análise estatística agregada para melhoria de produto, segurança e desempenho da plataforma.
  • Cumprimento de ordem judicial, requisição de autoridade competente e exercício regular de direitos em processos.

6. Bases legais

Cada finalidade está apoiada em uma base legal prevista na LGPD. As bases que usamos com mais frequência são:

  • Execução de contrato — para prestar os serviços que você contratou ao abrir a conta.
  • Cumprimento de obrigação legal ou regulatória — para KYC, PLD/AML, retenção fiscal e reporte a autoridades.
  • Legítimo interesse — para prevenção a fraudes, segurança da informação e melhoria contínua dos serviços, sempre com avaliação de impacto.
  • Exercício regular de direitos em processos — quando precisamos defender ou comprovar nossas obrigações.
  • Consentimento — para comunicações de marketing e demais hipóteses que dependem de manifestação livre, informada e inequívoca.

7. Com quem compartilhamos

Não vendemos dados pessoais. Compartilhamos informações apenas com terceiros que precisam delas para que você possa usar a PangeaPay com segurança, ou quando exigido por lei. Os principais destinatários são:

  • Provedores de tecnologia, hospedagem em nuvem, e-mail transacional, antifraude, KYC, biometria e analytics, contratados como operadores e sujeitos a obrigações contratuais de proteção de dados.
  • Instituições financeiras, parceiros de PIX, parceiros de câmbio, custodiantes e provedores de liquidez de criptoativos envolvidos na execução das operações que você contrata.
  • Autoridades públicas e órgãos reguladores, quando há obrigação legal, ordem judicial ou requisição com fundamento legal.
  • Auditores, advogados e contadores, no exercício de funções de auditoria, defesa de direitos e cumprimento regulatório.
  • Em caso de reorganização societária (fusão, aquisição, cisão), o sucessor assume as mesmas obrigações desta Política.

Listas detalhadas de operadores e sub-operadores podem ser solicitadas ao DPO, observada a confidencialidade comercial.

8. Transferência internacional de dados

Alguns dos provedores que utilizamos (em especial nuvem, antifraude e analytics) processam dados fora do Brasil. Nesses casos, a transferência ocorre nas hipóteses previstas na LGPD, com cláusulas contratuais específicas, certificações reconhecidas ou para execução de contrato com o titular.

Avaliamos o nível de proteção do país de destino e adotamos salvaguardas adicionais quando necessário.

9. Por quanto tempo guardamos

Mantemos seus dados pelo tempo estritamente necessário para cumprir as finalidades descritas e as obrigações legais aplicáveis. Os principais prazos são:

  • Dados de cadastro e KYC: pelo prazo da relação contratual e por, no mínimo, 5 anos após o encerramento, conforme legislação de PLD/AML.
  • Registros de transações financeiras: pelo prazo mínimo legal aplicável, normalmente 5 a 10 anos.
  • Logs de acesso e auditoria: por até 6 meses, conforme Marco Civil da Internet, podendo ser estendido por requisição legal.
  • Comunicações e tickets de suporte: por até 5 anos, para defesa em processos administrativos e judiciais.
  • Cookies e analytics: conforme prazos descritos na nossa Política de Cookies, em geral inferiores a 24 meses.

Após o término dos prazos, os dados são eliminados ou anonimizados, ressalvadas as hipóteses de guarda obrigatória previstas em lei.

10. Seus direitos como titular

A LGPD garante uma série de direitos que você pode exercer a qualquer momento:

  • Confirmação da existência de tratamento.
  • Acesso aos dados que tratamos sobre você.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  • Portabilidade dos dados a outro fornecedor, observados os segredos comercial e industrial.
  • Eliminação dos dados tratados com consentimento, salvo nas hipóteses de guarda legal.
  • Informação sobre as entidades públicas e privadas com as quais compartilhamos dados.
  • Informação sobre a possibilidade de não fornecer consentimento e suas consequências.
  • Revogação do consentimento, quando for a base legal aplicável.

Para exercer qualquer desses direitos, escreva ao DPO no endereço indicado ao final deste documento. Podemos solicitar comprovação de identidade antes de atender ao pedido. Responderemos em até 15 dias, prorrogáveis em casos justificados.

11. Como protegemos seus dados

Adotamos controles técnicos e organizacionais para proteger seus dados contra acessos não autorizados, perda, alteração ou divulgação indevida. Entre eles:

  • Criptografia em trânsito (TLS) e em repouso para dados sensíveis e bases de produção.
  • Princípio do menor privilégio: acesso a dados de cliente é restrito ao mínimo necessário, registrado em log e revisado periodicamente.
  • Autenticação multifator obrigatória para colaboradores e administradores.
  • Segregação ambiental entre desenvolvimento, homologação e produção.
  • Monitoramento contínuo de segurança, detecção de anomalias e plano de resposta a incidentes.
  • Política formal de backup, recuperação de desastres e teste periódico de continuidade.
  • Avaliação de fornecedores e cláusulas contratuais de proteção de dados em todo contrato com operador.

Apesar de todos os controles, nenhum sistema é completamente imune. Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, comunicaremos os afetados e a ANPD nos termos da LGPD.

12. Cookies e tecnologias semelhantes

Utilizamos cookies próprios e de terceiros para autenticação, segurança, preferências, análise de uso e marketing. Você pode gerenciar a maior parte dos cookies pelas configurações do seu navegador ou pelo painel de preferências disponibilizado no site.

Detalhes sobre cookies específicos, finalidade e prazo estão disponíveis na nossa Política de Cookies.

13. Crianças e adolescentes

Os serviços da PangeaPay são destinados a maiores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes. Caso identifiquemos cadastro de menor, a conta é encerrada e os dados são eliminados, salvo obrigação legal de retenção.

14. Alterações desta Política

Podemos atualizar esta Política periodicamente. A versão vigente é sempre a publicada nesta página, com data de última atualização no topo. Mudanças relevantes são comunicadas pelos canais oficiais (e-mail, app e site) com antecedência razoável.

15. Como falar com o Encarregado (DPO)

Para qualquer questão relacionada a dados pessoais — incluindo exercício de direitos de titular, denúncias e dúvidas — entre em contato com o nosso Encarregado pelo Tratamento de Dados Pessoais pelo e-mail compliance@pangeapay.org. Identifique-se e descreva o pedido com clareza para que possamos responder no prazo.

Dúvidas sobre seus dados?

Fale com o Encarregado.

Solicitações de titulares (acesso, correção, eliminação, portabilidade) e dúvidas sobre tratamento de dados são respondidas pelo nosso DPO.

compliance@pangeapay.org