Política de Privacidade
Descreve como a Carrot Fndn coleta, trata, armazena, compartilha e protege dados pessoais em conformidade com a LGPD, GDPR e revDSG.
Versão 1.0 — Março de 2026
Encarregado de Dados (DPO): legal@carrot.eco
1. Introdução e Âmbito de Aplicação
A Carrot Fndn é uma fundação suíça constituída nos termos dos artigos 80 e seguintes do Código Civil Suíço, com sede em Zug, Suíça (Tax ID: UID# CHE-152.448.302), que desenvolve e opera a Rede Carrot — plataforma tecnológica que combina infraestrutura de nuvem (cloud) e blockchain para rastreamento de ações de economia circular e emissão de Créditos Ambientais Tokenizados (TRC/TCC).
Esta Política de Privacidade e Proteção de Dados ("Política") descreve como a Carrot Fndn coleta, trata, armazena, compartilha e protege dados pessoais, em conformidade com:
- Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD);
- Resolução CD/ANPD nº 15/2024 — procedimento de comunicação de incidentes de segurança à ANPD;
- Lei nº 14.478/2022 — Marco Legal dos Criptoativos e regulamentação do Banco Central do Brasil aplicável a Prestadores de Serviços de Ativos Virtuais (PSAVs), no que couber;
- Regulamento Geral sobre Proteção de Dados (GDPR — Regulamento UE 2016/679), no que aplicável a titulares residentes no Espaço Econômico Europeu;
- Lei Federal Suíça de Proteção de Dados (revDSG — em vigor desde 1º de setembro de 2023), aplicável às operações da Fundação em razão de sua sede em Zug, Suíça.
Esta Política aplica-se a todos os Usuários que acessam os sites e subdomínios operados pela Carrot Fndn sob o domínio carrot.eco, incluindo, sem limitação: www.carrot.eco, explore.carrot.eco, store.carrot.eco, docs.carrot.eco, my.carrot.eco e whitepaper.carrot.eco, bem como quaisquer outros subdomínios que venham a ser criados, a Rede Carrot e seus contratos inteligentes, ou que interagem com a Fundação em qualquer capacidade.
Nota sobre jurisdição
Para os fins da LGPD, a Carrot Fndn pode atuar como Controladora ou Operadora de dados pessoais, conforme o contexto da operação (detalhado na Seção 2). A lei aplicável ao relacionamento de uso da Plataforma no Brasil é a legislação brasileira; a lei suíça (revDSG) rege as operações da Fundação e a emissão e venda dos Créditos Ambientais Tokenizados.
2. Papéis e Responsabilidades no Tratamento de Dados
A definição dos papéis de cada parte no tratamento de dados é fundamental para a correta atribuição de responsabilidades nos termos do art. 5º, incs. VI e VII, da LGPD e do art. 4º do GDPR.
2.1 Quando o Usuário é o Controlador
Para os dados que o Usuário insere na Plataforma sobre suas próprias operações — incluindo dados de colaboradores, clientes, Geradores, Transportadores e Processadores —, o Usuário atua como Controlador, cabendo-lhe garantir a licitude do tratamento antes de compartilhá-los com a Plataforma. Cabe destacar que, na maioria dos casos, esses dados são enviados à Rede Carrot diretamente pelos Network Integrators, em nome do Usuário Controlador.
2.2 Quando a Carrot é Operadora
A Carrot Fndn atua como Operadora quando processa dados pessoais por conta e em nome do Usuário Controlador — por exemplo, ao validar dados inseridos pelos Network Integrators para fins de emissão de créditos.
2.3 Quando a Carrot é Controladora Independente
A Carrot Fndn atua como Controladora independente nos tratamentos que realiza por conta própria, tais como:
- KYC/KYB — identificação e verificação de Usuários, realizada diretamente ou por meio de provedores terceiros especializados;
- Distribuição de Recompensas (Rewards) via contratos inteligentes;
- Cumprimento de obrigações legais e regulatórias, incluindo as decorrentes da Lei nº 14.478/2022;
- Prevenção a fraudes, lavagem de dinheiro (AML) e financiamento ao terrorismo (CFT);
- Processo de homologação (accreditation) de participantes realizado diretamente pela Carrot Fndn.
2.4 Network Integrators e Validadores como Suboperadores
Os Network Integrators são aplicativos e plataformas de terceiros que se integram à Rede Carrot por meio de APIs para registrar eventos da cadeia de custódia de resíduos. Ao inserir dados pessoais de participantes da cadeia (Geradores, Transportadores, Processadores) na Plataforma, os Network Integrators atuam como Suboperadores da Carrot Fndn, nos termos do art. 39 da LGPD.
A admissão de Network Integrators à Rede Carrot está condicionada à celebração de Acordo de Processamento de Dados (Data Processing Agreement — DPA) com a Carrot Fndn, que estabelecerá as obrigações de conformidade, os limites do tratamento e as medidas de segurança exigíveis. A Carrot Fndn manterá registro atualizado dos Network Integrators homologados em www.carrot.eco.
Os Validadores e Auditores são agentes autorizados que confirmam transações e certificam operações ao longo da cadeia de custódia. Quando o exercício de suas funções implica acesso a dados pessoais contidos em MassIDs ou registros de auditoria, esses agentes operam como Suboperadores limitados, com acesso restrito ao mínimo necessário para a validação ou certificação da operação correspondente, igualmente sujeitos a DPA.
Independentemente do papel exercido, uma parte não será responsabilizada por atos, omissões ou infrações à legislação de proteção de dados praticados pela outra parte, seus prepostos e/ou contratados (cf. art. 42, §3º, LGPD).
3. Tecnologia: Infraestrutura Cloud e Blockchain
A Carrot Fndn adota arquitetura de dados que combina armazenamento em nuvem (off-chain) e em blockchain (on-chain), com o objetivo de garantir simultaneamente rastreabilidade, auditabilidade e privacidade dos titulares.
3.1 Dados Off-chain (Servidores em Nuvem)
Informações pessoais sensíveis — nome, e-mail, documentos de identificação, dados KYC/KYB — são armazenadas em infraestrutura de nuvem segura, atualmente hospedada em servidores localizados nos Estados Unidos da América (provedores como AWS e Google Cloud), com criptografia em repouso (AES-256) e em trânsito (TLS 1.2+). Esses dados são passíveis de acesso, correção e exclusão pelo titular, conforme a Seção 7. Para o componente de login tradicional da Plataforma, existe mecanismo de recuperação de senha, diferentemente do acesso a carteiras digitais (tratado na Seção 8.3).
3.2 Dados On-chain (Blockchain)
Registros de transações de economia circular, emissão de créditos (TRC/TCC) e hashes de validação são gravados de forma imutável na blockchain. Em atenção ao princípio da privacidade desde a concepção (privacy by design), a Carrot Fndn não grava dados pessoais identificáveis diretamente on-chain de forma pública: utiliza-se técnica de hashing criptográfico para preservar a integridade das informações sem expor a identidade do titular.
Procedimento de anonimização on-chain
Quando o titular exercer o direito de eliminação previsto no art. 18, IV, da LGPD em relação a dados gravados on-chain, a Carrot Fndn adotará o seguinte procedimento: (i) exclusão definitiva do dado pessoal identificador nos registros off-chain; (ii) invalidação do mapeamento entre o endereço de carteira pública (wallet address) e a identidade do titular no banco de dados da Fundação; (iii) emissão de certidão de anonimização ao titular no prazo de 30 (trinta) dias. O hash remanescente on-chain manterá a integridade das transações ambientais sem permitir a reidentificação do titular.
4. Coleta, Finalidade e Base Legal do Tratamento
A Carrot Fndn coleta exclusivamente os dados necessários ao cumprimento das finalidades descritas nesta Política, em observância ao princípio da necessidade (art. 6º, inc. III, LGPD).
4.1 Categorias de Dados Coletados
| Categoria | Exemplos | Finalidade |
|---|---|---|
| Dados de Cadastro (KYC/KYB) | Nome, CPF/CNPJ, e-mail, documento de identidade, endereço, representação legal | Verificação de identidade, conformidade regulatória e cumprimento da Lei 14.478/2022 |
| Dados Web3 | Endereço de carteira pública (wallet address) | Processamento de Recompensas e registro de ativos ambientais |
| Dados de Operação | Origem, massa e tipo de resíduo; MassID; ProductID; MTR | Emissão e validação de Créditos Ambientais Tokenizados |
| Dados de Navegação e Rastreamento | Endereço IP, data/hora de acesso, logs de sessão, cookies funcionais e analíticos | Segurança da Rede, prevenção a fraudes e funcionamento da Plataforma (ver Seção 5) |
| Dados Financeiros | Conta para recebimento, histórico de Recompensas, operações com criptoativos | Distribuição de Recompensas, cumprimento de obrigações fiscais e AML/CFT |
4.1.1 Uso de dados de cadastro para reconhecimento público (Seção 7A do T&C)
O nome, logotipo e website da organização Participante, que fazem parte dos dados coletados no processo de cadastro (KYC/KYB), poderão também ser utilizados para fins de reconhecimento público de impacto ambiental, nos termos da Seção 7A dos Termos e Condições Globais (Impact Recognition Program).
Essa utilização é condicionada à autorização concedida pelo Usuário ao aceitar os Termos e Condições, podendo ser revogada a qualquer momento mediante notificação escrita a legal@carrot.eco, sem prejuízo das divulgações realizadas anteriormente.
4.2 Base Legal do Tratamento
O tratamento de dados pessoais pela Carrot Fndn está fundamentado nas seguintes hipóteses legais do art. 7º da LGPD:
- Execução de contrato (art. 7º, inc. V): tratamento necessário à prestação dos serviços contratados pelo Usuário;
- Cumprimento de obrigação legal ou regulatória (art. 7º, inc. II): KYC/KYB, obrigações fiscais, reportes regulatórios e cumprimento da Lei nº 14.478/2022, Resolução BCB nº 1/2020 e obrigações AML/CFT;
- Legítimo interesse (art. 7º, inc. IX): utilizado especificamente para (i) prevenção a fraudes e segurança da Rede; (ii) detecção de anomalias e ataques; (iii) melhoria técnica dos serviços; e (iv) reconhecimento público de impacto ambiental dos Participantes, incluindo a divulgação de nome, logotipo e website da organização em canais institucionais da Carrot Fndn, nos termos da Seção 7A dos Termos e Condições (Impact Recognition Program). O uso desta base está condicionado ao teste de proporcionalidade e documentado em Relatório de Impacto à Proteção de Dados (RIPD) mantido internamente;
- Consentimento (art. 7º, inc. I): para cookies não essenciais e finalidades de marketing, coletado de forma específica, destacada e inequívoca no momento do primeiro acesso.
4.3 Dados que Não Coletamos
A Carrot Fndn não coleta, em nenhuma circunstância: chaves privadas de carteira (private keys), frases de recuperação (seed phrases) ou quaisquer credenciais que permitam acesso direto aos ativos digitais do Usuário.
4.4 Uso da Plataforma por Menores
Os serviços da Carrot Fndn são destinados exclusivamente a pessoas físicas maiores de 18 (dezoito) anos e a pessoas jurídicas representadas por seus representantes legais, nos termos do art. 14 da LGPD e do art. 8º do GDPR. Ao utilizar a Rede Carrot, o Usuário declara ter capacidade civil plena. Caso o Usuário seja pessoa jurídica, o representante legal declara ter poderes para aceitar esta Política em nome da entidade.
Caso a Carrot Fndn identifique que dados de menor de idade foram inadvertidamente coletados sem o consentimento verificável dos pais ou responsáveis legais, tais dados serão imediatamente eliminados. Usuários que tomarem conhecimento de tal situação devem comunicar o DPO pelo endereço legal@carrot.eco.
4.5 Decisões Automatizadas
A Rede Carrot utiliza contratos inteligentes (smart contracts) para processar automaticamente decisões com efeitos sobre o Usuário, incluindo:
- (i) cálculo e distribuição de Recompensas com base na cadeia de custódia de resíduos registrada nos MassIDs;
- (ii) validação ou rejeição de MassIDs para fins de emissão de Créditos Ambientais Tokenizados;
- (iii) suspensão temporária de participantes identificados como potencialmente irregulares pelos Auditores da Rede.
Nos termos do art. 20 da LGPD, o Usuário tem direito de solicitar revisão humana de qualquer decisão automatizada que lhe afete significativamente, incluindo suspensões e bloqueios de Recompensas. A solicitação deve ser encaminhada ao DPO (legal@carrot.eco), com descrição da decisão contestada, e será respondida em até 15 dias úteis, podendo ser prorrogado por mais 15 dias corridos.
5. Cookies e Tecnologias de Rastreamento
A Carrot Fndn utiliza cookies e tecnologias similares em seus sites para garantir o funcionamento adequado da Plataforma, analisar o desempenho e aprimorar a experiência do Usuário.
5.1 Categorias de Cookies
| Categoria | Finalidade | Ferramentas / Destino | Base Legal |
|---|---|---|---|
| Estritamente necessários | Autenticação de sessão, segurança e preferências essenciais | Infraestrutura própria Carrot (sem transferência) | Execução de contrato (art. 7º, V, LGPD) |
| Analíticos/Desempenho | Análise de tráfego e comportamento de navegação | Google Analytics 4 (GA4) — EUA via SCCs; Vercel Analytics — infraestrutura Vercel | Legítimo interesse (art. 7º, IX, LGPD) / Consentimento (GDPR) |
| Funcionais | Personalização de idioma, região e preferências do Usuário | Infraestrutura própria Carrot | Legítimo interesse (art. 7º, IX, LGPD) |
5.2 Gestão de Consentimento e Opt-out
No primeiro acesso a qualquer site operado pela Carrot Fndn, o Usuário será apresentado a um banner de consentimento de cookies, permitindo aceitar, recusar ou personalizar cada categoria não essencial. O consentimento é registrado com timestamp e pode ser revogado a qualquer tempo na página de Política de Privacidade. A recusa de cookies não essenciais não impede o uso da Plataforma.
Para opt-out específico das ferramentas de análise:
- Google Analytics 4: instalar o complemento de desativação disponível em tools.google.com/dlpage/gaoptout;
- Vercel Analytics: desabilitar nas configurações de privacidade do navegador ou utilizar extensões de bloqueio compatíveis.
Transferência GA4 → EUA
O Google Analytics 4 transfere dados para servidores nos EUA. A Carrot Fndn adota as Cláusulas Contratuais Padrão (SCCs) da Comissão Europeia como salvaguarda. Para titulares brasileiros, a transferência é realizada com base no art. 33, VIII, da LGPD (consentimento específico) e no contrato de processamento de dados com o Google.
6. Compartilhamento, Sub-processadores e Transferência Internacional
Os dados pessoais poderão ser compartilhados com terceiros nas seguintes hipóteses e condições:
- Parceiros tecnológicos e sub-processadores: exclusivamente para viabilizar a operação da Plataforma, sob DPA com obrigações de confidencialidade e conformidade;
- Auditores independentes homologados: para fins de certificação e verificação ambiental, nos limites estritamente necessários;
- Autoridades regulatórias, judiciais e supervisoras de ativos virtuais: quando exigido por lei, ordem judicial ou regulação aplicável, incluindo o Banco Central do Brasil e o COAF, nos termos da Lei nº 14.478/2022, para cumprimento de obrigações de prevenção à lavagem de dinheiro (AML) e ao financiamento do terrorismo (CFT).
6.1 Principais Sub-processadores
| Sub-processador | Serviço | Localização dos dados | Salvaguarda |
|---|---|---|---|
| Amazon Web Services (AWS) | Infraestrutura de nuvem e armazenamento | EUA | SCCs |
| Google LLC (GCP / GA4) | Infraestrutura de nuvem e análise de dados | EUA | SCCs |
| Vercel Inc. | Hospedagem de sites e análise de desempenho | EUA | SCCs |
Alterações relevantes serão comunicadas com antecedência mínima de 30 (trinta) dias.
6.2 Transferência Internacional de Dados
A Carrot Fndn opera com infraestrutura de nuvem hospedada nos Estados Unidos da América e com sede institucional na Suíça, o que implica transferências internacionais de dados pessoais. A Suíça possui reconhecimento de adequação pela Comissão Europeia para fins do GDPR. Para fins da LGPD brasileira, a ANPD ainda não publicou lista oficial de países com nível adequado de proteção; enquanto tal decisão não é formalizada, as transferências internacionais são realizadas com fundamento em:
- Cláusulas Contratuais Padrão (SCCs): adotadas com todos os sub-processadores internacionais, nos termos do art. 33, II, da LGPD, como salvaguarda principal para transferências Brasil → EUA e Brasil → Suíça;
- Consentimento específico do titular: (art. 33, VIII, LGPD), quando aplicável e coletado de forma destacada.
Nota sobre adequação ANPD
A afirmação de adequação da Suíça é válida apenas no contexto do GDPR (Comissão Europeia). Para a LGPD, enquanto a ANPD não publicar lista oficial, a salvaguarda vigente são as SCCs. Esta Política será atualizada quando houver decisão formal da ANPD.
7. Direitos dos Titulares
Nos termos do art. 18 da LGPD, o titular de dados pessoais tem os seguintes direitos, exercíveis mediante solicitação ao DPO no endereço legal@carrot.eco:
7.1 Direitos sob a LGPD
| Direito | Como exercê-lo na Plataforma Carrot |
|---|---|
| Confirmação e Acesso (art. 18, I-II) | Solicitação via legal@carrot.eco; resposta em até 15 dias. |
| Correção (art. 18, III) | Atualização cadastral diretamente na interface da Plataforma ou via DPO. |
| Anonimização, Bloqueio ou Eliminação (art. 18, IV) | Dados off-chain: exclusão definitiva. Dados on-chain: anonimização técnica com emissão de certidão em 30 dias (ver Seção 3.2). |
| Portabilidade (art. 18, V) | Fornecimento em formato estruturado e interoperável, mediante solicitação. |
| Informação sobre compartilhamento (art. 18, VII) | Esta Política descreve as categorias de destinatários; detalhamentos adicionais disponíveis via DPO. |
| Revogação do consentimento (art. 18, IX) | A qualquer tempo, para finalidades baseadas em consentimento, sem prejuízo dos tratamentos realizados anteriormente. |
| Revisão de decisão automatizada (art. 20) | Solicitação de revisão humana de decisões do smart contract com impacto financeiro (cálculo de Recompensa, suspensão de MassID). Envio a legal@carrot.eco com descrição da decisão contestada. |
Direitos de terceiros cujos dados chegam via Integrador
Participantes da cadeia (ex.: transportadoras cujos dados são inseridos pelos Network Integrators) são titulares de dados pessoais e conservam todos os direitos do art. 18 da LGPD, mesmo sem relação contratual direta com a Carrot Fndn. Ao receber solicitação de eliminação de tais dados, a Carrot Fndn avaliará se há conflito com obrigações de auditoria ambiental ou prazo de retenção legal. Em caso de conflito, poderá invocar as exceções do art. 18, §3º, da LGPD (cumprimento de obrigação legal ou exercício regular de direitos), comunicando o resultado ao titular no prazo de 15 dias.
7.2 Direitos Adicionais sob o GDPR (titulares no EEE)
Para titulares residentes no Espaço Econômico Europeu, aplicam-se adicionalmente:
- Direito de oposição (art. 21 GDPR): o titular pode se opor ao tratamento baseado em legítimo interesse, a qualquer momento;
- Restrição do tratamento (art. 18 GDPR): em determinadas circunstâncias, o titular pode solicitar que o tratamento de seus dados seja restrito;
- Reclamação à autoridade supervisora: o titular pode apresentar reclamação à autoridade de proteção de dados do Estado-Membro da UE de sua residência habitual ou onde ocorreu a suposta infração.
Caso a Carrot Fndn venha a operar de forma sistemática com dados de titulares europeus em escala relevante, avaliará a necessidade de nomear representante na UE nos termos do art. 27 do GDPR. Para exercer estes direitos: legal@carrot.eco.
7.3 Direitos sob o revDSG (titulares na Suíça)
Para titulares residentes na Suíça, aplicam-se os direitos previstos no revDSG, incluindo: acesso, correção, eliminação, portabilidade e oposição. Reclamações podem ser apresentadas ao FDPIC (Federal Data Protection and Information Commissioner — www.edoeb.admin.ch). Canal de exercício: legal@carrot.eco.
A Carrot Fndn responderá às solicitações no prazo de 15 (quinze) dias, prorrogável por igual período quando justificado, nos termos do art. 18, §5º, da LGPD, e em prazo razoável conforme o GDPR e o revDSG.
8. Segurança da Informação
A Carrot Fndn adota medidas técnicas e administrativas adequadas para proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado, em cumprimento ao art. 46 da LGPD e ao art. 32 do GDPR.
8.1 Medidas Técnicas
- Criptografia em trânsito: protocolo TLS 1.2 ou superior para toda comunicação entre cliente e servidor;
- Criptografia em repouso: padrão AES-256 para dados armazenados em infraestrutura de nuvem;
- Hashing criptográfico on-chain: garante integridade matemática dos registros sem expor dados pessoais identificáveis;
- Controle de acesso por identidade (IAM): apenas usuários e sistemas autorizados podem acessar dados pessoais;
- Monitoramento contínuo: detecção de anomalias e tentativas de acesso não autorizado.
8.2 Medidas Administrativas
- Programa de governança de privacidade e proteção de dados, com revisões periódicas;
- Treinamento e conscientização de colaboradores e prestadores de serviço;
- Plano de resposta a incidentes de segurança, com procedimento de notificação documentado;
- Data Processing Agreements (DPAs) com todos os sub-processadores e Suboperadores.
8.3 Custódia de Ativos Digitais
A Carrot Fndn não armazena, não gerencia e não possui acesso às chaves privadas (private keys) ou frases de recuperação (seed phrases) das carteiras digitais dos Usuários. A custódia dos ativos digitais é de exclusividade do Usuário, e a perda ou extravio de tais credenciais é de sua responsabilidade exclusiva, sem possibilidade de recuperação por parte da Plataforma.
Nota: o mecanismo descrito acima aplica-se exclusivamente ao componente de carteiras digitais Web3 da Plataforma. Para o acesso por login tradicional (e-mail e senha), a Carrot Fndn disponibiliza mecanismo padrão de recuperação de senha.
8.4 Comunicação de Incidentes de Segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Carrot Fndn adotará os seguintes procedimentos:
| Lei aplicável | Autoridade | Prazo de notificação | Base normativa |
|---|---|---|---|
| LGPD (Brasil) | ANPD | 72 horas após ciência | Art. 48 LGPD + Res. CD/ANPD nº 15/2024 |
| GDPR (UE/EEE) | Autoridade supervisora do Estado-Membro | 72 horas após ciência | Art. 33 GDPR |
| revDSG (Suíça) | FDPIC | O mais rápido possível (sem prazo fixo em horas) | Art. 24 revDSG |
A notificação aos titulares afetados será realizada por e-mail cadastrado na Plataforma. Quando o volume de afetados impossibilitar a notificação individual, será publicado aviso em destaque em www.carrot.eco e no painel de acesso autenticado da Plataforma pelo prazo mínimo de 30 (trinta) dias.
A notificação conterá: (i) natureza dos dados afetados; (ii) informações sobre os titulares envolvidos; (iii) medidas técnicas adotadas; e (iv) riscos relacionados e ações para mitigar seus efeitos.
8.5 Limites de Responsabilidade por Incidentes de Segurança
Não obstante as medidas de segurança descritas nas Seções 8.1 e 8.2, os Usuários reconhecem que nenhum sistema tecnológico oferece segurança absoluta.
A Carrot Fndn não será responsável por incidentes de segurança decorrentes exclusivamente de: (i) vulnerabilidades zero-day ainda não identificadas pela comunidade de segurança no momento do incidente; (ii) ataques de nível estatal ou a infraestruturas críticas que estejam além do controle razoável da Fundação; ou (iii) falhas em sistemas, redes ou infraestruturas de terceiros sobre os quais a Fundação não possui controle operacional direto.
A Carrot Fndn permanece responsável por incidentes decorrentes de falhas em suas próprias medidas de segurança implementadas, sujeita às disposições de responsabilidade previstas nos Termos e Condições Globais (Seção 15).
9. Retenção e Eliminação de Dados
Os dados pessoais são conservados pelo período necessário ao cumprimento das finalidades que fundamentaram sua coleta, observados os prazos legais de guarda obrigatória. Após o encerramento da relação contratual e o término dos prazos aplicáveis, os dados off-chain serão eliminados ou anonimizados de forma segura.
| Categoria de dado | Prazo de retenção | Fundamento |
|---|---|---|
| Dados contratuais e fiscais | Mínimo 5 anos | Art. 206, §5º, CC; legislação tributária federal |
| Dados de KYC/KYB | 5 anos após encerramento do relacionamento; até 10 anos se houver investigação regulatória ou judicial | Res. BCB nº 1/2020; Lei nº 14.478/2022 (AML/CFT) |
| MTR e dados de operação | Mínimo 5 anos | Res. CONAMA nº 313/2002; Lei nº 12.305/2010 (PNRS) |
| Logs de acesso e navegação | 6 meses | Art. 15, Marco Civil da Internet (Lei nº 12.965/2014) |
| Registros de auditoria ambiental (off-chain) | Conforme metodologias aplicáveis | Verra, Gold Standard e demais certificadoras internacionais |
| Registros on-chain (hashes) | Indefinido (imutabilidade técnica) | Anonimização técnica aplicada — desvinculação de identidade |
| Dados de cookies analíticos | Até 13 meses (padrão GA4) | Consentimento / legítimo interesse |
| Dados de reconhecimento público — Impact Recognition Program (Seção 7A do T&C) | Até 15 dias úteis após solicitação de opt-out | Seção 7A dos Termos e Condições — prazo de processamento de opt-out |
10. Armazenamento e Processamento Global
Em razão da natureza descentralizada da Rede Carrot e dos requisitos de resiliência da infraestrutura, dados são processados e armazenados primariamente em servidores localizados nos Estados Unidos da América, além da sede institucional na Suíça. A Carrot Fndn assegura que todas as transferências internacionais observam os mecanismos previstos nos arts. 33 a 36 da LGPD, com adoção de Cláusulas Contratuais Padrão (SCCs) como salvaguarda principal, garantindo nível de proteção equivalente ao exigido pela legislação brasileira.
11. Encarregado de Dados (DPO)
Em cumprimento ao art. 41 da LGPD e à Resolução CD/ANPD nº 2/2022, a Carrot Fndn designou Encarregado de Proteção de Dados (Data Protection Officer — DPO), responsável por:
- Receber comunicações dos titulares, da ANPD, do FDPIC e das autoridades supervisoras GDPR competentes;
- Orientar colaboradores e contratados sobre práticas de proteção de dados;
- Atuar como canal de comunicação entre a Fundação, os titulares e as autoridades supervisoras.
Contato do DPO: legal@carrot.eco
A identidade nominativa do DPO será divulgada em conformidade com a Resolução CD/ANPD nº 2/2022. Para fins de contato, o canal legal@carrot.eco é o endereço oficial designado para todas as comunicações relacionadas à proteção de dados.
12. Alterações desta Política
Esta Política poderá ser atualizada periodicamente para refletir mudanças legais, tecnológicas ou operacionais. As alterações são classificadas em dois tipos:
12.1 Alterações Materiais
Consideram-se materiais as alterações que impliquem: (i) nova finalidade de tratamento; (ii) nova categoria de dados coletados; (iii) novo compartilhamento com terceiros; ou (iv) mudança da base legal aplicável. Tais alterações serão comunicadas com antecedência mínima de 30 (trinta) dias por e-mail, exigindo manifestação expressa do Usuário (opt-in) para continuar utilizando a Plataforma.
12.2 Alterações Não Materiais
Alterações de redação, clarificações ou correções que não alterem o escopo do tratamento serão comunicadas com antecedência mínima de 15 (quinze) dias por e-mail. A continuidade do uso da Plataforma após a entrada em vigor das alterações implica aceitação tácita.
A versão vigente desta Política estará sempre disponível em docs.carrot.eco/legal/privacy-policy.
13. Histórico de Versões
| Versão | Data | Responsável | Principais alterações |
|---|---|---|---|
| 1.0 | Março/2026 | Jurídico e Tec Carrot Fndn | Versão Inicial |
14. Glossário
| Termo | Definição |
|---|---|
| TRC | Tokenized Recycling Credit — crédito de reciclagem tokenizado representando 1 tonelada de material reciclado verificado. |
| TCC | Tokenized Carbon Credit — crédito de carbono tokenizado representando emissões evitadas. |
| MassID | Ativo digital único que representa um lote de resíduos físicos, rastreando sua proveniência e cadeia de custódia na blockchain. |
| ProductID | Identificador digital de produto usado para rastrear composição de materiais pós-consumo e reciclabilidade. |
| dMRV | Digital Measurement, Reporting & Verification — processo digital de mensuração, relato e verificação de ganho ambiental. |
| MTR | Manifesto de Transporte de Resíduos — documento regulatório brasileiro (Res. CONAMA nº 313/2002). |
| Network Integrator | Plataforma de terceiro integrada à API Carrot para registrar eventos da cadeia de custódia; atua como Suboperador nos termos do art. 39 da LGPD. |
| KYC/KYB | Know Your Customer / Know Your Business — processo de verificação de identidade de pessoas físicas e jurídicas. |
| DPO | Data Protection Officer (Encarregado de Dados) — responsável pela proteção de dados na Carrot Fndn. Contato: legal@carrot.eco. |
| SCCs | Standard Contractual Clauses — Cláusulas Contratuais Padrão aprovadas para transferências internacionais de dados pessoais. |
| FDPIC | Federal Data Protection and Information Commissioner — autoridade supervisora de proteção de dados da Suíça (www.edoeb.admin.ch). |
| revDSG | Lei Federal Suíça de Proteção de Dados revisada, em vigor desde 1º de setembro de 2023. |
| RIPD | Relatório de Impacto à Proteção de Dados — documento interno que documenta tratamentos baseados em legítimo interesse. |
| DPA | Data Processing Agreement — Acordo de Processamento de Dados celebrado entre a Carrot Fndn e sub-processadores e Suboperadores. |
| PSAV | Prestador de Serviços de Ativos Virtuais — categoria regulatória criada pela Lei nº 14.478/2022, sujeita à supervisão do Banco Central do Brasil. |
| AML/CFT | Anti-Money Laundering / Counter-Financing of Terrorism — prevenção à lavagem de dinheiro e ao financiamento do terrorismo. |
Dúvidas jurídicas: legal@carrot.eco · Suporte operacional: operations@carrot.eco
Este documento substitui todas as versões anteriores do Contrato de Uso da Plataforma Carrot.