Política de Privacidade — Aplicativo C+

Copastur Viagens e Turismo LTDA. — CNPJ 43.637.214/0001-86
Última atualização: 22 de abril de 2026 | Versão 1.0

Esta Política descreve como a Copastur coleta, usa, armazena, compartilha e protege os dados pessoais tratados no aplicativo móvel C+, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD) e com as diretrizes de privacidade da Google Play e da Apple App Store.

1. Quem somos

O aplicativo C+ é desenvolvido e operado pela Copastur Viagens e Turismo LTDA., pessoa jurídica de direito privado inscrita no CNPJ sob o nº 43.637.214/0001-86, com sede na Rua da Consolação, 1601, Consolação, São Paulo/SP.

Para fins desta Política, a Copastur atua como controladora dos dados pessoais tratados no aplicativo, nos termos do art. 5º, VI, da LGPD.

2. Escopo desta Política

Esta Política se aplica exclusivamente ao tratamento de dados realizado por meio do aplicativo móvel C+ (iOS e Android) e seus serviços integrados, incluindo gestão de viagens corporativas e pessoais, mobilidade, despesas, pagamentos digitais e suporte ao viajante.

Para o tratamento de dados realizado em outros canais da Copastur (site institucional, formulários, redes sociais, etc.), consulte a Política de Privacidade institucional disponível em copastur.com.br/politica-de-privacidade.

3. Princípios de tratamento

O tratamento de dados pessoais no C+ observa os princípios da LGPD:

Finalidade: tratamento com objetivos legítimos, específicos e informados.
Adequação: compatibilidade com o contexto da relação com o titular.
Necessidade: coleta limitada ao mínimo necessário.
Livre acesso e transparência: informações claras e acessíveis.
Segurança e prevenção: medidas técnicas e administrativas de proteção.
Não discriminação: vedação ao uso abusivo ou ilegal.
Responsabilização e prestação de contas.

4. Dados que coletamos

Coletamos as seguintes categorias de dados, sempre que necessárias à prestação dos serviços:

Categoria	Exemplos	Origem
Dados de cadastro	Nome completo, CPF, e-mail corporativo, telefone, empresa, centro de custo	Fornecidos pelo usuário ou pela empresa contratante
Dados de viagem	Itinerários, reservas, preferências de viagem, próxima viagem	Fornecidos pelo usuário ou gerados pelo serviço
Dados financeiros	Transações no CopasturCard, despesas, comprovantes, dados da carteira digital (Wallet)	Gerados pelo uso da plataforma; dados de cartão protegidos por padrões PCI-DSS
Dados de localização	Coordenadas GPS quando o usuário ativa funcionalidades dependentes de localização	Coletados do dispositivo, mediante permissão expressa
Dados técnicos	Identificador do dispositivo, sistema operacional, versão do app, idioma, fuso horário, endereço IP, logs de acesso	Coletados automaticamente
Dados de uso e navegação	Telas acessadas, eventos de interação, erros, desempenho	Coletados de forma agregada e anonimizada via Google Analytics
Dados de comunicação	Mensagens trocadas com o suporte e atendimento	Fornecidos pelo usuário

O C+ não coleta dados pessoais sensíveis (origem racial, convicção religiosa, saúde, vida sexual, biometria, etc.) por meio do aplicativo, salvo se expressamente solicitado e autorizado pelo titular para finalidade específica (ex.: requisitos especiais de viagem).

5. Permissões do dispositivo

O aplicativo solicita as seguintes permissões. Todas podem ser revogadas a qualquer momento nas configurações do sistema operacional do dispositivo:

Permissão	Finalidade	Obrigatória?
Localização (precisa e aproximada)	Funcionalidade "meu carro", solicitação de transporte, sugestões contextuais durante viagens	Não — funcionalidade opcional
Notificações push	Alertas de viagem, lembretes de check-in, atualizações de reservas	Não — funcionalidade opcional
Câmera	Captura de comprovantes de despesa e documentos para upload	Não — apenas quando o usuário acionar
Galeria/Fotos	Anexar comprovantes ou foto de perfil	Não — apenas quando o usuário acionar
Biometria (Face ID / Touch ID / Impressão digital)	Autenticação segura de acesso ao app e a transações	Não — alternativa à senha

6. Uso de dados de localização

Tratamos dados de localização somente mediante permissão expressa do usuário, concedida diretamente no sistema operacional do dispositivo, e exclusivamente para os seguintes casos de uso, claramente sinalizados na interface do aplicativo:

Acompanhamento de deslocamento: registrar a rota e duração de trajetos corporativos vinculados à funcionalidade "meu carro" e à integração com serviços de mobilidade (Uber, 99, frotas, locadoras).
Sugestão de experiências durante viagens: oferecer recomendações contextuais de restaurantes, pontos de interesse, transporte e serviços relevantes ao destino em que o usuário se encontra.
Solicitação pontual de transporte: identificar o ponto de partida ao chamar um serviço de mobilidade integrado.

O C+ não realiza rastreamento contínuo em segundo plano sem que o usuário tenha ativado, no app, uma funcionalidade que dependa explicitamente disso. Sempre que a localização estiver sendo utilizada, o sistema operacional exibirá o indicador padrão (ícone de localização ativa).

O usuário pode revogar a permissão de localização a qualquer momento nas configurações do dispositivo, sem prejuízo do uso das demais funcionalidades do app que não dependam dessa informação.

Os dados de localização não são vendidos, alugados ou compartilhados com terceiros para fins publicitários.

7. Finalidades e bases legais

Finalidade	Base legal (LGPD)
Criação e manutenção da conta de usuário	Execução de contrato (art. 7º, V)
Gestão de viagens, reservas, mobilidade e pagamentos	Execução de contrato (art. 7º, V)
Funcionalidades de localização (meu carro, transporte, sugestões de viagem)	Consentimento (art. 7º, I) e/ou execução de contrato
Análise de uso, estatísticas e melhoria contínua	Legítimo interesse (art. 7º, IX), com dados agregados/anonimizados
Comunicações de marketing e ofertas	Consentimento (art. 7º, I), com opção de opt-out
Prevenção a fraudes e segurança da plataforma	Legítimo interesse (art. 7º, IX) e cumprimento legal (art. 7º, II)
Atendimento a solicitações de titulares e suporte	Execução de contrato e cumprimento de obrigação legal
Cumprimento de obrigações fiscais, contábeis e regulatórias	Cumprimento de obrigação legal (art. 7º, II)

8. Tecnologias de armazenamento no app

Diferente de sites tradicionais que usam cookies de navegador, o aplicativo C+ utiliza tecnologias nativas de armazenamento local para garantir o funcionamento adequado:

SharedPreferences (Android) / UserDefaults (iOS): armazenamento local de preferências e estado da sessão.
Token de acesso: manutenção da autenticação segura do usuário.
Cache de viagem: dados da próxima viagem disponíveis offline.
Centro de custo ativo: vinculação ao ambiente corporativo.
Identificadores de dispositivo: para segurança, prevenção a fraude e análise técnica.
Bibliotecas analíticas (Google Analytics): coleta de eventos de uso de forma agregada e anonimizada para fins estatísticos e de melhoria.

Essas tecnologias exercem função semelhante à dos cookies e estão sujeitas às obrigações da LGPD.

9. Compartilhamento de dados

A Copastur poderá compartilhar dados pessoais com:

Empresa contratante do usuário (no caso de uso corporativo): para gestão de despesas, conformidade e relatórios analíticos.
Parceiros de mobilidade: Uber, 99, locadoras, frotas e operadores de transporte, para execução das solicitações do usuário.
Parceiros de hospedagem e meios aéreos: companhias, hotéis e consolidadores, para emissão de reservas.
Instituições financeiras e processadores de pagamento: para operação do CopasturCard e da Wallet, em conformidade com PCI-DSS e ISO 27001.
Provedores de tecnologia: hospedagem em nuvem, analytics, suporte e segurança, atuando como operadores nos termos da LGPD.
Empresas do grupo econômico Copastur.
Autoridades públicas: mediante obrigação legal, regulatória ou judicial.

Todos os terceiros estão contratualmente obrigados a tratar os dados conforme as finalidades autorizadas, a LGPD e padrões de segurança equivalentes aos da Copastur.

10. Transferência internacional

Alguns parceiros e provedores de tecnologia podem estar localizados fora do Brasil. Nessas hipóteses, garantimos o cumprimento dos arts. 33 a 36 da LGPD, por meio de cláusulas contratuais específicas, salvaguardas técnicas adequadas e avaliação prévia de riscos.

11. Segurança da informação

Adotamos medidas técnicas e administrativas compatíveis com o grau de sensibilidade dos dados, incluindo:

Criptografia em trânsito (TLS) e em repouso para dados sensíveis;
Autenticação multifator e suporte a biometria;
Conformidade com padrões PCI-DSS para dados de pagamento e ISO 27001 para segurança da informação;
Políticas internas de segurança, controle de acesso e treinamento contínuo;
Auditorias periódicas e testes de vulnerabilidade.

Apesar das medidas adotadas, nenhum sistema é absolutamente seguro. Em caso de incidente envolvendo dados pessoais, a Copastur comunicará a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados, conforme art. 48 da LGPD.

12. Retenção e eliminação

Os dados são mantidos pelo tempo necessário ao cumprimento das finalidades informadas ou conforme exigido por leis fiscais, trabalhistas, regulatórias e prescricionais.

O usuário pode solicitar a exclusão de sua conta a qualquer momento, diretamente pelo app ou pelos canais de atendimento. A exclusão do cadastro não implica eliminação imediata de todos os dados, podendo a Copastur reter informações estritamente necessárias para:

Cumprimento de obrigações legais e regulatórias;
Exercício regular de direitos em processos judiciais, administrativos ou arbitrais;
Demais hipóteses autorizadas pelo art. 16 da LGPD.

Encerrado o prazo de retenção, os dados são eliminados ou anonimizados de forma segura.

13. Direitos do titular

Nos termos dos arts. 18 a 20 da LGPD, o titular tem direito a:

Confirmação da existência de tratamento;
Acesso aos dados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
Portabilidade dos dados a outro fornecedor;
Eliminação dos dados tratados com base no consentimento;
Informação sobre o uso compartilhado de dados;
Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
Revogação do consentimento;
Oposição ao tratamento realizado com fundamento em outras hipóteses legais, em caso de descumprimento da LGPD;
Revisão de decisões automatizadas que afetem seus interesses.

Para exercer qualquer desses direitos, basta contatar o Encarregado de Dados (DPO) pelos canais indicados na seção 16.

14. Crianças e adolescentes

O aplicativo C+ é destinado a usuários maiores de 18 anos, no contexto de viagens corporativas e pessoais. A Copastur não coleta intencionalmente dados de crianças e adolescentes. Caso seja identificado tratamento de dados de menores, a conta será bloqueada e os dados eliminados, salvo obrigação legal em contrário.

15. Atualizações desta Política

Esta Política poderá ser atualizada periodicamente para refletir mudanças regulatórias, tecnológicas ou nos serviços oferecidos. A versão vigente estará sempre disponível no aplicativo, com indicação da data da última atualização. Alterações materiais serão comunicadas previamente por meio do app e/ou e-mail cadastrado.

16. Contato — Encarregado de Dados (DPO)

Para dúvidas, solicitações ou reclamações relativas ao tratamento de dados pessoais:

E-mail do Encarregado (DPO): dpo@copastur.com.br
Encarregado titular: João Carlos Franco de Barros Fornari
Substituta: Paula Marques Rodrigues
Endereço: Rua da Consolação, 1601, Consolação, São Paulo/SP — Brasil

O titular também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) por meio do site gov.br/anpd.

Política de Privacidad — Aplicación C+

Copastur Viagens e Turismo LTDA. — CNPJ 43.637.214/0001-86
Última actualización: 22 de abril de 2026 | Versión 1.0

Esta Política describe cómo Copastur recopila, usa, almacena, comparte y protege los datos personales tratados en la aplicación móvil C+, en cumplimiento de la Ley General de Protección de Datos Personales de Brasil (Ley nº 13.709/2018 — LGPD) y de las directrices de privacidad de Google Play y Apple App Store.

1. Quiénes somos

La aplicación C+ es desarrollada y operada por Copastur Viagens e Turismo LTDA., persona jurídica de derecho privado inscrita en el CNPJ bajo el nº 43.637.214/0001-86, con sede en Rua da Consolação, 1601, Consolação, São Paulo/SP, Brasil.

Para los fines de esta Política, Copastur actúa como controlador de los datos personales tratados en la aplicación, conforme al art. 5º, VI, de la LGPD.

2. Alcance de esta Política

Esta Política se aplica exclusivamente al tratamiento de datos realizado a través de la aplicación móvil C+ (iOS y Android) y sus servicios integrados, incluyendo gestión de viajes corporativos y personales, movilidad, gastos, pagos digitales y soporte al viajero.

Para el tratamiento de datos en otros canales de Copastur (sitio web institucional, formularios, redes sociales, etc.), consulte la Política de Privacidad institucional disponible en copastur.com.br/politica-de-privacidade.

3. Principios de tratamiento

El tratamiento de datos personales en C+ observa los principios de la LGPD:

Finalidad: tratamiento con objetivos legítimos, específicos e informados.
Adecuación: compatibilidad con el contexto de la relación con el titular.
Necesidad: recopilación limitada al mínimo necesario.
Libre acceso y transparencia: información clara y accesible.
Seguridad y prevención: medidas técnicas y administrativas de protección.
No discriminación: prohibición del uso abusivo o ilegal.
Responsabilidad y rendición de cuentas.

4. Datos que recopilamos

Recopilamos las siguientes categorías de datos, siempre que sean necesarias para la prestación de los servicios:

Categoría	Ejemplos	Origen
Datos de registro	Nombre completo, documento de identidad, correo corporativo, teléfono, empresa, centro de costo	Proporcionados por el usuario o por la empresa contratante
Datos de viaje	Itinerarios, reservas, preferencias de viaje, próximo viaje	Proporcionados por el usuario o generados por el servicio
Datos financieros	Transacciones en CopasturCard, gastos, comprobantes, datos de la billetera digital (Wallet)	Generados por el uso de la plataforma; datos de tarjeta protegidos por PCI-DSS
Datos de ubicación	Coordenadas GPS cuando el usuario activa funcionalidades dependientes de ubicación	Recopilados del dispositivo, mediante permiso expreso
Datos técnicos	Identificador del dispositivo, sistema operativo, versión de la app, idioma, zona horaria, dirección IP, registros de acceso	Recopilados automáticamente
Datos de uso y navegación	Pantallas accedidas, eventos de interacción, errores, rendimiento	Recopilados de forma agregada y anonimizada vía Google Analytics
Datos de comunicación	Mensajes intercambiados con el soporte y atención	Proporcionados por el usuario

C+ no recopila datos personales sensibles (origen racial, convicción religiosa, salud, vida sexual, biometría, etc.) a través de la aplicación, salvo que sean expresamente solicitados y autorizados por el titular para una finalidad específica (ej.: requisitos especiales de viaje).

5. Permisos del dispositivo

La aplicación solicita los siguientes permisos. Todos pueden ser revocados en cualquier momento en la configuración del sistema operativo del dispositivo:

Permiso	Finalidad	¿Obligatorio?
Ubicación (precisa y aproximada)	Funcionalidad "mi auto", solicitud de transporte, sugerencias contextuales durante viajes	No — funcionalidad opcional
Notificaciones push	Alertas de viaje, recordatorios de check-in, actualizaciones de reservas	No — funcionalidad opcional
Cámara	Captura de comprobantes de gastos y documentos para carga	No — solo cuando el usuario lo active
Galería/Fotos	Adjuntar comprobantes o foto de perfil	No — solo cuando el usuario lo active
Biometría (Face ID / Touch ID / Huella digital)	Autenticación segura de acceso a la app y a transacciones	No — alternativa a la contraseña

6. Uso de datos de ubicación

Tratamos datos de ubicación solo mediante permiso expreso del usuario, otorgado directamente en el sistema operativo del dispositivo, y exclusivamente para los siguientes casos de uso, claramente señalizados en la interfaz de la aplicación:

Seguimiento de desplazamiento: registrar la ruta y duración de trayectos corporativos vinculados a la funcionalidad "mi auto" y a la integración con servicios de movilidad (Uber, 99, flotas, alquileres).
Sugerencias de experiencias durante viajes: ofrecer recomendaciones contextuales de restaurantes, puntos de interés, transporte y servicios relevantes al destino donde se encuentra el usuario.
Solicitud puntual de transporte: identificar el punto de partida al solicitar un servicio de movilidad integrado.

C+ no realiza rastreo continuo en segundo plano sin que el usuario haya activado, en la app, una funcionalidad que dependa explícitamente de ello. Cuando la ubicación esté siendo utilizada, el sistema operativo mostrará el indicador estándar (icono de ubicación activa).

El usuario puede revocar el permiso de ubicación en cualquier momento en la configuración del dispositivo, sin perjuicio del uso de las demás funcionalidades de la app que no dependan de esa información.

Los datos de ubicación no se venden, alquilan ni comparten con terceros con fines publicitarios.

7. Finalidades y bases legales

Finalidad	Base legal (LGPD)
Creación y mantenimiento de la cuenta de usuario	Ejecución de contrato (art. 7º, V)
Gestión de viajes, reservas, movilidad y pagos	Ejecución de contrato (art. 7º, V)
Funcionalidades de ubicación (mi auto, transporte, sugerencias)	Consentimiento (art. 7º, I) y/o ejecución de contrato
Análisis de uso, estadísticas y mejora continua	Interés legítimo (art. 7º, IX), con datos agregados/anonimizados
Comunicaciones de marketing y ofertas	Consentimiento (art. 7º, I), con opción de opt-out
Prevención de fraudes y seguridad de la plataforma	Interés legítimo (art. 7º, IX) y cumplimiento legal (art. 7º, II)
Atención a solicitudes de titulares y soporte	Ejecución de contrato y cumplimiento de obligación legal
Cumplimiento de obligaciones fiscales, contables y regulatorias	Cumplimiento de obligación legal (art. 7º, II)

8. Tecnologías de almacenamiento en la app

A diferencia de los sitios web tradicionales que usan cookies de navegador, la aplicación C+ utiliza tecnologías nativas de almacenamiento local para garantizar el funcionamiento adecuado:

SharedPreferences (Android) / UserDefaults (iOS): almacenamiento local de preferencias y estado de la sesión.
Token de acceso: mantenimiento de la autenticación segura del usuario.
Caché de viaje: datos del próximo viaje disponibles sin conexión.
Centro de costo activo: vinculación al ambiente corporativo.
Identificadores de dispositivo: para seguridad, prevención de fraude y análisis técnico.
Bibliotecas analíticas (Google Analytics): recopilación de eventos de uso de forma agregada y anonimizada con fines estadísticos y de mejora.

Estas tecnologías cumplen una función similar a la de las cookies y están sujetas a las obligaciones de la LGPD.

9. Compartición de datos

Copastur podrá compartir datos personales con:

Empresa contratante del usuario (en uso corporativo): para gestión de gastos, conformidad e informes analíticos.
Socios de movilidad: Uber, 99, alquileres, flotas y operadores de transporte, para ejecución de las solicitudes del usuario.
Socios de hospedaje y aerolíneas: compañías, hoteles y consolidadores, para emisión de reservas.
Instituciones financieras y procesadores de pago: para operación del CopasturCard y de la Wallet, en cumplimiento de PCI-DSS e ISO 27001.
Proveedores de tecnología: hospedaje en la nube, analítica, soporte y seguridad, actuando como operadores conforme a la LGPD.
Empresas del grupo económico Copastur.
Autoridades públicas: mediante obligación legal, regulatoria o judicial.

Todos los terceros están obligados contractualmente a tratar los datos conforme a las finalidades autorizadas, la LGPD y estándares de seguridad equivalentes a los de Copastur.

10. Transferencia internacional

Algunos socios y proveedores de tecnología pueden estar localizados fuera de Brasil. En estos casos, garantizamos el cumplimiento de los arts. 33 a 36 de la LGPD, mediante cláusulas contractuales específicas, salvaguardas técnicas adecuadas y evaluación previa de riesgos.

11. Seguridad de la información

Adoptamos medidas técnicas y administrativas compatibles con el grado de sensibilidad de los datos, incluyendo:

Cifrado en tránsito (TLS) y en reposo para datos sensibles;
Autenticación multifactor y soporte para biometría;
Cumplimiento con estándares PCI-DSS para datos de pago e ISO 27001 para seguridad de la información;
Políticas internas de seguridad, control de acceso y capacitación continua;
Auditorías periódicas y pruebas de vulnerabilidad.

A pesar de las medidas adoptadas, ningún sistema es absolutamente seguro. En caso de incidente que involucre datos personales, Copastur comunicará a la Autoridad Nacional de Protección de Datos (ANPD) y a los titulares afectados, conforme al art. 48 de la LGPD.

12. Retención y eliminación

Los datos se mantienen por el tiempo necesario para el cumplimiento de las finalidades informadas o conforme lo exijan las leyes fiscales, laborales, regulatorias y prescriptivas.

El usuario puede solicitar la exclusión de su cuenta en cualquier momento, directamente por la app o por los canales de atención. La exclusión del registro no implica la eliminación inmediata de todos los datos; Copastur podrá retener información estrictamente necesaria para:

Cumplimiento de obligaciones legales y regulatorias;
Ejercicio regular de derechos en procesos judiciales, administrativos o arbitrales;
Demás hipótesis autorizadas por el art. 16 de la LGPD.

Cumplido el plazo de retención, los datos se eliminan o anonimizan de forma segura.

13. Derechos del titular

Conforme a los arts. 18 a 20 de la LGPD, el titular tiene derecho a:

Confirmación de la existencia de tratamiento;
Acceso a los datos;
Corrección de datos incompletos, inexactos o desactualizados;
Anonimización, bloqueo o eliminación de datos innecesarios, excesivos o tratados en desacuerdo con la LGPD;
Portabilidad de los datos a otro proveedor;
Eliminación de los datos tratados con base en el consentimiento;
Información sobre el uso compartido de datos;
Información sobre la posibilidad de no proporcionar consentimiento y sus consecuencias;
Revocación del consentimiento;
Oposición al tratamiento realizado con fundamento en otras hipótesis legales, en caso de incumplimiento de la LGPD;
Revisión de decisiones automatizadas que afecten sus intereses.

Para ejercer cualquiera de estos derechos, contacte al Encargado de Datos (DPO) por los canales indicados en la sección 16.

14. Niños, niñas y adolescentes

La aplicación C+ está destinada a usuarios mayores de 18 años, en el contexto de viajes corporativos y personales. Copastur no recopila intencionalmente datos de niños, niñas y adolescentes. Si se identifica el tratamiento de datos de menores, la cuenta será bloqueada y los datos eliminados, salvo obligación legal en contrario.

15. Actualizaciones de esta Política

Esta Política podrá ser actualizada periódicamente para reflejar cambios regulatorios, tecnológicos o en los servicios ofrecidos. La versión vigente estará siempre disponible en la aplicación, con indicación de la fecha de la última actualización. Los cambios materiales serán comunicados previamente a través de la app y/o correo registrado.

16. Contacto — Encargado de Datos (DPO)

Para dudas, solicitudes o reclamaciones relativas al tratamiento de datos personales:

Correo del Encargado (DPO): dpo@copastur.com.br
Encargado titular: João Carlos Franco de Barros Fornari
Sustituta: Paula Marques Rodrigues
Dirección: Rua da Consolação, 1601, Consolação, São Paulo/SP — Brasil

El titular también puede presentar reclamación ante la Autoridad Nacional de Protección de Datos (ANPD) a través del sitio gov.br/anpd.

Privacy Policy — C+ Mobile App

Copastur Viagens e Turismo LTDA. — CNPJ 43.637.214/0001-86
Last updated: April 22, 2026 | Version 1.0

This Policy describes how Copastur collects, uses, stores, shares, and protects personal data processed in the C+ mobile application, in compliance with Brazil's General Data Protection Law (Law nº 13.709/2018 — LGPD) and with the privacy guidelines of Google Play and the Apple App Store.

1. Who we are

The C+ mobile application is developed and operated by Copastur Viagens e Turismo LTDA., a private legal entity registered under CNPJ nº 43.637.214/0001-86, with headquarters at Rua da Consolação, 1601, Consolação, São Paulo/SP, Brazil.

For the purposes of this Policy, Copastur acts as the controller of personal data processed in the application, pursuant to art. 5, VI, of the LGPD.

2. Scope of this Policy

This Policy applies exclusively to data processing carried out through the C+ mobile application (iOS and Android) and its integrated services, including corporate and personal travel management, mobility, expense management, digital payments, and traveler support.

For data processing in other Copastur channels (institutional website, forms, social media, etc.), please refer to the institutional Privacy Policy available at copastur.com.br/politica-de-privacidade.

3. Processing principles

Personal data processing in C+ observes the principles of the LGPD:

Purpose: processing for legitimate, specific, and informed objectives.
Adequacy: compatibility with the context of the relationship with the data subject.
Necessity: collection limited to the minimum required.
Free access and transparency: clear and accessible information.
Security and prevention: technical and administrative protective measures.
Non-discrimination: abusive or illegal use is prohibited.
Accountability.

4. Data we collect

We collect the following data categories whenever necessary to provide the services:

Category	Examples	Source
Registration data	Full name, ID document, corporate email, phone number, company, cost center	Provided by the user or by the contracting company
Travel data	Itineraries, reservations, travel preferences, upcoming trip	Provided by the user or generated by the service
Financial data	CopasturCard transactions, expenses, receipts, digital wallet (Wallet) data	Generated by platform use; card data protected by PCI-DSS standards
Location data	GPS coordinates when the user enables location-dependent features	Collected from the device, upon explicit permission
Technical data	Device identifier, operating system, app version, language, time zone, IP address, access logs	Automatically collected
Usage and navigation data	Screens accessed, interaction events, errors, performance	Collected in aggregated and anonymized form via Google Analytics
Communication data	Messages exchanged with support and customer service	Provided by the user

C+ does not collect sensitive personal data (racial origin, religious beliefs, health, sexual life, biometrics, etc.) through the application, unless expressly requested and authorized by the data subject for a specific purpose (e.g., special travel requirements).

5. Device permissions

The application requests the following permissions. All can be revoked at any time in the device's operating system settings:

Permission	Purpose	Required?
Location (precise and approximate)	"My car" feature, transport requests, contextual suggestions during trips	No — optional feature
Push notifications	Travel alerts, check-in reminders, reservation updates	No — optional feature
Camera	Capture expense receipts and documents for upload	No — only when activated by the user
Gallery/Photos	Attach receipts or profile picture	No — only when activated by the user
Biometrics (Face ID / Touch ID / Fingerprint)	Secure authentication for app access and transactions	No — alternative to password

6. Use of location data

We process location data only with the user's explicit permission, granted directly in the device's operating system, and exclusively for the following use cases, clearly indicated in the application interface:

Movement tracking: recording the route and duration of corporate trips linked to the "my car" feature and integration with mobility services (Uber, 99, fleets, car rentals).
Experience suggestions during trips: offering contextual recommendations for restaurants, points of interest, transport, and services relevant to the destination where the user is located.
One-time transport requests: identifying the pickup point when requesting an integrated mobility service.

C+ does not perform continuous background tracking unless the user has enabled, in the app, a feature that explicitly depends on it. Whenever location is being used, the operating system will display the standard indicator (active location icon).

The user may revoke location permission at any time in the device settings, without affecting the use of other app features that do not depend on this information.

Location data is never sold, rented, or shared with third parties for advertising purposes.

7. Purposes and legal bases

Purpose	Legal basis (LGPD)
User account creation and maintenance	Contract performance (art. 7, V)
Travel, reservation, mobility, and payment management	Contract performance (art. 7, V)
Location features (my car, transport, suggestions)	Consent (art. 7, I) and/or contract performance
Usage analysis, statistics, and continuous improvement	Legitimate interest (art. 7, IX), with aggregated/anonymized data
Marketing communications and offers	Consent (art. 7, I), with opt-out option
Fraud prevention and platform security	Legitimate interest (art. 7, IX) and legal compliance (art. 7, II)
Handling data subject requests and support	Contract performance and legal obligation compliance
Compliance with tax, accounting, and regulatory obligations	Legal obligation compliance (art. 7, II)

8. In-app storage technologies

Unlike traditional websites that use browser cookies, the C+ application uses native local storage technologies to ensure proper functioning:

SharedPreferences (Android) / UserDefaults (iOS): local storage of preferences and session state.
Access token: maintaining secure user authentication.
Trip cache: upcoming trip data available offline.
Active cost center: link to the corporate environment.
Device identifiers: for security, fraud prevention, and technical analysis.
Analytics libraries (Google Analytics): collection of usage events in aggregated and anonymized form for statistical and improvement purposes.

These technologies serve a function similar to cookies and are subject to the obligations of the LGPD.

9. Data sharing

Copastur may share personal data with:

The user's contracting company (for corporate use): for expense management, compliance, and analytical reports.
Mobility partners: Uber, 99, car rentals, fleets, and transport operators, to fulfill user requests.
Lodging and air travel partners: airlines, hotels, and consolidators, for booking issuance.
Financial institutions and payment processors: for the operation of CopasturCard and the Wallet, in compliance with PCI-DSS and ISO 27001.
Technology providers: cloud hosting, analytics, support, and security, acting as processors under the LGPD.
Companies within the Copastur economic group.
Public authorities: upon legal, regulatory, or judicial obligation.

All third parties are contractually required to process data in accordance with the authorized purposes, the LGPD, and security standards equivalent to those of Copastur.

10. International transfers

Some partners and technology providers may be located outside Brazil. In such cases, we ensure compliance with arts. 33 to 36 of the LGPD through specific contractual clauses, appropriate technical safeguards, and prior risk assessment.

11. Information security

We adopt technical and administrative measures compatible with the sensitivity of the data, including:

Encryption in transit (TLS) and at rest for sensitive data;
Multi-factor authentication and biometric support;
Compliance with PCI-DSS standards for payment data and ISO 27001 for information security;
Internal security policies, access control, and continuous training;
Periodic audits and vulnerability tests.

Despite the measures adopted, no system is absolutely secure. In the event of an incident involving personal data, Copastur will notify the National Data Protection Authority (ANPD) and affected data subjects, pursuant to art. 48 of the LGPD.

12. Retention and deletion

Data is retained for the time necessary to fulfill the informed purposes or as required by tax, labor, regulatory, and statute-of-limitations laws.

The user may request account deletion at any time, directly through the app or via customer service channels. Account deletion does not imply immediate removal of all data; Copastur may retain information strictly necessary to:

Comply with legal and regulatory obligations;
Exercise rights in judicial, administrative, or arbitration proceedings;
Other situations authorized by art. 16 of the LGPD.

Once the retention period expires, data is securely deleted or anonymized.

13. Data subject rights

Pursuant to arts. 18 to 20 of the LGPD, the data subject has the right to:

Confirmation of the existence of processing;
Access to the data;
Correction of incomplete, inaccurate, or outdated data;
Anonymization, blocking, or deletion of unnecessary, excessive data, or data processed in non-compliance with the LGPD;
Data portability to another provider;
Deletion of data processed based on consent;
Information about shared data use;
Information about the option not to provide consent and its consequences;
Withdrawal of consent;
Objection to processing based on other legal grounds, in case of LGPD non-compliance;
Review of automated decisions affecting their interests.

To exercise any of these rights, contact the Data Protection Officer (DPO) through the channels indicated in section 16.

14. Children and adolescents

The C+ application is intended for users over 18 years old, in the context of corporate and personal travel. Copastur does not intentionally collect data from children and adolescents. If the processing of minors' data is identified, the account will be blocked and the data deleted, unless a legal obligation requires otherwise.

15. Updates to this Policy

This Policy may be updated periodically to reflect regulatory, technological, or service changes. The current version will always be available in the application, with the date of the last update indicated. Material changes will be communicated in advance through the app and/or registered email.

16. Contact — Data Protection Officer (DPO)

For questions, requests, or complaints regarding the processing of personal data:

DPO email: dpo@copastur.com.br
Lead DPO: João Carlos Franco de Barros Fornari
Substitute: Paula Marques Rodrigues
Address: Rua da Consolação, 1601, Consolação, São Paulo/SP — Brazil

The data subject may also file a complaint with the National Data Protection Authority (ANPD) through gov.br/anpd.