Política de privacidade e proteção de dados pessoais.

TEXTO

1 – Introdução

A Cactus Gaming (“Cactus” ou “Empresa”) é uma empresa do setor de jogos e apostas que preza pela transparência, integridade e segurança no tratamento de dados pessoais. Nosso compromisso é garantir a proteção das informações de usuários, clientes, colaboradores e parceiros, respeitando a legislação aplicável, em especial a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018).

Esta Política de Privacidade e Proteção de Dados Pessoais descreve detalhadamente como coletamos, utilizamos, armazenamos, compartilhamos e protegemos os dados pessoais no contexto de nossas operações, garantindo a conformidade regulatória e a privacidade dos titulares. A Política reafirma nosso compromisso com a segurança, a privacidade e a transparência no tratamento de dados pessoais pela Cactus, considerando os princípios e os direitos em relação ao tratamento dos seus dados, seguindo as diretrizes descritas na LGPD.

2 – Objetivo

Esta Política tem como objetivo estabelecer as diretrizes, responsabilidades e informações essenciais para o Titular de Dados Pessoais sobre como a Cactus realiza o Tratamento dos seus dados, quais são os direitos do Titular e como pode exercê-los, além das medidas de segurança adotadas para garantir a proteção no Tratamento dos Dados Pessoais.

3 – Aplicação e Alcance

Esta Política de Privacidade aplica-se a todos aqueles que tenham dados pessoais tratados pela Cactus Gaming, seja por meio físico ou digital.

4 – Definições e Abreviaturas

Para melhor compreensão desta Política, seguem algumas definições essenciais:

● Dados Pessoais: Qualquer informação relacionada a uma pessoa natural identificada ou identificável.

● Dados Sensíveis: Dados relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, saúde, vida sexual, dados genéticos ou biométricos.

● Tratamento de Dados Pessoais: Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

● Titular dos Dados: Pessoa física a quem se referem os dados pessoais tratados.

● Controlador: Pessoa física ou jurídica responsável por tomar decisões sobre o tratamento de dados.

● Operador: Pessoa que realiza o tratamento de dados em nome do controlador.

● Encarregado de Dados (DPO): Profissional designado para atuar como canal de comunicação entre a empresa, os titulares dos dados e as autoridades de proteção de dados.

● Lei Geral de Proteção de Dados (LGPD): Lei Federal nº 13.709, 14 de agosto 2018, que dispõe sobre o Tratamento de Dados Pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

● Autoridade Nacional de Proteção de Dados (ANPD): Autarquia de natureza especial, vinculado à Presidência da República, que possui atribuições relacionadas a proteção de dados pessoais e de privacidade e fiscaliza o cumprimento da Lei nº 13.709/2018 (LGPD);

● Incidente de Privacidade: De acordo com o Artigo 46º da LGPD (Lei Geral de Proteção de Dados ou Lei nº 13.709/2018), pode ser entendido como quaisquer situações acidentais ou ilícitas que resultem na destruição, perda, alteração, acesso indevido, tratamento ilícito ou inadequado de dados pessoais;

● Eliminação: Corresponde à exclusão de dados pessoais ou de conjuntos de dados pessoais armazenados em bancos de dados, independentemente do método utilizado;

● PLD (Prevenção à Lavagem de Dinheiro): Conjunto de procedimentos e controles adotados para evitar a utilização da estrutura ou dos serviços da empresa para ocultar ou dissimular a origem ilícita de recursos financeiros;

● CFT (Combate ao Financiamento do Terrorismo): Medidas e práticas adotadas para prevenir e detectar o uso de recursos financeiros na realização ou apoio a atos terroristas, em conformidade com normas nacionais e internacionais;

● PEP (Pessoa Exposta Politicamente): Pessoa natural que desempenha ou tenha desempenhado, nos últimos cinco anos, funções públicas relevantes, bem como seus representantes, familiares e outras pessoas de seu relacionamento próximo, conforme definido pela Instrução Normativa da Receita Federal e diretrizes do COAF.

5 – Princípios da Proteção de Dados

A Cactus adota os seguintes princípios no tratamento de dados pessoais:

● Finalidade: Tratamos os dados apenas para propósitos legítimos, específicos e informados.

● Adequação: Garantimos que os dados são tratados de maneira compatível com a finalidade informada.

● Necessidade: Coletamos apenas os dados essenciais para cumprir as finalidades declaradas.

● Livre Acesso: O titular pode acessar e revisar seus dados a qualquer momento.

● Qualidade dos Dados: Mantemos as informações precisas, completas e atualizadas.

● Segurança: Implementamos medidas rigorosas para proteger os dados contra acessos não autorizados e vazamentos.

● Transparência: Fornecemos informações claras e acessíveis sobre o tratamento de dados.

● Prevenção: Adotamos medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

● Não discriminação: Impossibilitamos a realização do tratamento para fins discriminatórios ilícitos ou abusivos;

● Responsabilização: Demonstramos conformidade com normas aplicáveis por meio de auditorias e boas práticas.

6 – Tratamento de Dados

Para estabelecer e manter nossa relação com os titulares, a Cactus trata dados pessoais que podem ser fornecidos diretamente pelo titular, por terceiros autorizados ou coletados automaticamente por meio de birô de dados e tecnologias semelhantes.

O tratamento de dados compreende qualquer operação realizada com dados pessoais, como coleta, uso, armazenamento, compartilhamento, processamento, eliminação, entre outras ações. A Cactus realiza esse tratamento com base nas hipóteses legais previstas na Lei Geral de Proteção de Dados Pessoais (LGPD), sempre com propósitos legítimos e específicos.

A depender da sua relação com a Cactus, diferentes categorias de dados poderão ser tratadas, conforme descrito a seguir, mas não se limitando a:

Categoria dos Dados	Finalidade do Tratamento
Dados cadastrais ou de identificação	Cadastro nas plataformas de apostas dos nossos clientes; Cumprimento de obrigações legais ou regulatórias; Prevenção à fraude e proteção ao crédito; Prestação de suporte a usuários e players; Viabilização de ações de marketing; Execução de contratos e relacionamento comercial.
Dados de navegação	Customização da experiência no site; Recomendação de produtos e jogos; Promoção de ações de marketing.
Dados eletrônicos, de monitoramento e operações	Prevenção, detecção e análise de incidentes; ● Segurança de ambientes digitais; ● Proteção de ativos e instalações Cumprimento de obrigações legais ou regulatórias; Prevenção à fraude.
Dados para contratação e gestão de colaboradores	Processos de recrutamento, admissão e gestão de colaboradores; Cumprimento de obrigações legais e regulatórias.
Dados de contato	Comunicação com clientes, usuários e stakeholders; Atendimento e suporte; Esclarecimento de dúvidas e informações Execução de contratos; cumprimento de obrigações legais ou regulatórias.
Dados financeiros	Realização de operações financeiras; Prevenção à fraude; Cumprimento de obrigações legais e regulatórias.

Dados biométricos

Verificação de identidade (KYC);

Prevenção à fraude;

Proteção contra uso indevido de dados;

Cumprimento de obrigações legais.

Para mais detalhes sobre nossos parceiros, consulte suas políticas de privacidade disponíveis em seus sites:

Serasa Experian – Site

Legitimuz – Site

Pay2Free – Site

6.1 – Armazenamento e Retenção de Dados Pessoais

Para assegurar a confidencialidade, integridade e disponibilidade dos dados pessoais que tratamos, a Cactus adota medidas técnicas e organizacionais visando garantir que as informações coletadas sejam armazenadas com segurança em servidores e sistemas internos ou serviços de nuvem contratados.

Além disso, nossos sistemas internos e externos possuem recursos de segurança, mecanismos de defesa e monitoramento contínuo, a fim de prevenir acessos não autorizados e incidentes de segurança.

Ainda, os dados pessoais são armazenados pelo tempo necessário para cumprir as finalidades as quais foram coletadas. Após o encerramento do tratamento, os dados somente permanecerão retidos nas hipóteses permitidas, conforme dispõe o Art. 16 da LGPD:

● Cumprimento de obrigação legal ou regulatória pelo controlador;

● Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

● Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD;

● Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

6.2 – Compartilhamento de Dados Pessoais

A Cactus poderá compartilhar dados pessoais com terceiros, sempre de forma limitada ao necessário e em conformidade com a legislação aplicável, especialmente com a LGPD. Esse compartilhamento ocorre nas seguintes situações:

● Prestadores de serviços terceirizados, parceiros comerciais e subcontratados para execução de serviços e suportes técnicos;

● Órgãos reguladores, autoridades governamentais, entidades fiscalizadoras ou autoridades judiciais, sempre que houver obrigação legal, regulatória ou por determinação expressa dessas autoridades.

6.3 – Tratamento de Dados Pessoais de Crianças ou Adolescentes

As atividades e serviços prestados pela Cactus não são destinados, nem autorizados para crianças ou adolescentes. O acesso e a utilização dos serviços oferecidos são permitidos exclusivamente para pessoas maiores de 18 anos, conforme disposto na Lei nº 14.790/2023, que regulamenta o exercício de apostas de quota fixa no Brasil.

A Cactus adota mecanismos de verificação de identidade para impedir o acesso indevido por menores de idade. No entanto, caso você seja pai, mãe ou responsável legal e identifique que uma criança ou adolescente sob sua responsabilidade forneceu dados pessoais sem o seu consentimento e conseguiu acessar nossos serviços, solicitamos que entre em contato imediatamente por meio das informações disponibilizadas na seção “Contato do Encarregado de Dados (DPO)”, para que possamos adotar as medidas cabíveis para proteção desses dados.

De forma excepcional, a Cactus poderá tratar dados pessoais de menores de idade que sejam dependentes de colaboradores, exclusivamente para fins legais, contratuais e administrativos, sempre em conformidade com a legislação aplicável e com as devidas salvaguardas à privacidade desses titulares.

6.4 – Transferência Internacional de Dados

É possível que alguns dados pessoais tratados pela Cactus sejam transferidos para fora do território brasileiro, em especial quando utilizamos serviços de tecnologia e infraestrutura que operam em ambientes internacionais.

Essa transferência pode ocorrer, por exemplo, durante o uso de soluções de armazenamento em nuvem (cloud), backup, softwares e sistemas operacionais, que podem ser fornecidos por terceiros cuja infraestrutura tecnológica esteja estabelecida em outros países.

Além disso, a Cactus utiliza ferramentas de comunicação interna e externa que operam sob gestão de empresas internacionais.

Essas plataformas podem armazenar e processar dados pessoais fora do Brasil, conforme previsto em suas respectivas políticas de privacidade.

6.5 – Bases Legais para o Tratamento

A LGPD estabelece que todas as atividades de tratamento de dados devem estar amparadas por uma base legal válida, adequada à finalidade do tratamento realizado. A seguir, listamos as hipóteses legais fundamentadas para o tratamento de dados pessoais pela Cactus:

● Cumprimento de obrigação legal ou regulatória;

● execução de contrato ou de procedimentos preliminares relacionados a contrato;

● Exercício regular de direitos;

● Consentimento do titular;

● Prevenção à fraude e à segurança do titular;

● Proteção ao crédito;

● Legítimo interesse.

7 – Direitos dos Titulares

O titular dos dados possui os seguintes direitos em relação ao tratamento de seus dados pessoais perante ao Controlador, conforme disposto pela LGPD:

● Confirmação da existência de tratamento;

● Acesso aos dados;

● Correção de dados incompletos, inexatos ou desatualizados;

● Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

● Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa;

● Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

● Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

● Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

● Revogação do consentimento a qualquer momento.

8 – Medidas de Segurança

Para garantir a segurança dos Dados Pessoais tratados pela Cactus, são implementadas medidas rigorosas de segurança, incluindo medidas técnicas, administrativas, organizacionais e físicas, consideradas aptas a proteger os dados pessoais contra a destruição acidental ou ilegal, perda, alteração e divulgação ou acesso não autorizados aos Dados Pessoais que processamos ou utilizamos, incluindo:

● Políticas internas de segurança da informação, revisadas periodicamente e alinhadas com as melhores práticas de mercado;

● Treinamento regular de colaboradores sobre segurança da informação e proteção de dados;
Controle de acessos e autenticação de usuários;

● Criptografia e proteção de dados armazenados e transmitidos;

● Monitoramento contínuo e auditorias periódicas para detecção de vulnerabilidades.

8.1 – Incidentes de Privacidade

Na hipótese de ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados, a Cactus adotará as providências cabíveis e comunicará a ANPD e aos titulares afetados, conforme os prazos e procedimentos definidos pela Resolução CD/ANPD nº 15/2024.

9 – Contato do Encarregado de Dados (DPO)

A Cactus informa que, em conformidade com o a Resolução CD/ANPD nº 18/2024, nomeou com o seu Encarregado de Dados é a empresa CLA – Cliffton Larson Allen Brasil Consultoria Empresarial e Tecnologia da Informação (“CLA Brasil”), cujo e-mail de contato é [email protected], representada por Claudio Mello de Castro, na posição de Encarregado de Dados.

Em caso de dúvidas relacionadas a esta Política de Privacidade de Dados Pessoais, ou para exercer os seus direitos, você pode entrar em contato conosco pelo respectivo e-mail.

10 – Manutenção de Registros

Todos os documentos internos deverão ser atualizados a cada 12 meses ou em período inferior caso necessário.

11 – Avaliação das Violações de Segurança e Privacidade

A área de Segurança da Informação e Privacidade serão responsáveis por auditar os controles adotados nesta política, bem como, o acompanhamento apropriado dos controles.

Qualquer violação desta Política será avaliada pela área de Segurança da Informação e Privacidade.

CONTROLE DE APROVAÇÕES

Alçadas de Aprovação	Nome	Cargo	Data
Elaborado por:	CLA Brasil	DPO	31/03/2025
Revisado por:	CLA Brasil	DPO	11/09/2025
Aprovação prévia:	Hugo Ribeiro	Gerente Jurídico	15/09/2025
Aprovação prévia:	Douglas Branco	Head de Cyber Security and Privacy	15/09/2025
Aprovado por:	Comitê de Privacidade	Comitê de Privacidade	23/09/2025

GESTÃO DO DOCUMENTO

Nº	Data	Revisado por	Alteração
01	31/03/2025	CLA Brasil	Elaboração
02	23/09/2025	CLA Brasil e Comitê de Privacidade	Revisão