Esta Política de Privacidade e Proteção de Dados (“Política”) aplica-se a todas as atividades de tratamento de dados pessoais conduzidas pela Lumen Trust em quaisquer meios (físicos ou digitais) e locais, abrangendo: (i) colaboradores (sócios, empregados, estagiários e terceiros contratados) (“Colaboradores”); (ii) clientes e respectivos representantes (“Clientes”); (iii) fornecedores e parceiros, (“Parceiros”); (iv) usuários de eventuais plataformas, sistemas e sites da Lumen (“Usuários”), e (v) demais titulares com quem a Lumen interaja no exercício de seus serviços, sendo Colaboradores, Clientes, Parceiros e Usuários, quando referidos em conjunto, simplesmente, “você”.

Ao acessar o site, plataforma e aplicativos da Lumen, enviar comunicações ou fornecer qualquer tipo de dado pessoal, você declara estar ciente com relação aos termos previstos nesta Política, a qual descreve as finalidades e formas de tratamento de seus dados pessoais.

Caso você nos envie Dados Pessoais referentes a outras pessoas físicas, você DECLARA ter competência para fazê-lo e ter obtido o consentimento necessário para autorizar o uso de tais informações nos termos desta Política.

Esta Política fornece uma visão geral de nossas práticas de privacidade e proteção dos dados pessoais e das escolhas que você pode fazer, bem como direitos que você pode exercer em relação aos Dados Pessoais tratados por nós. Se você tiver alguma dúvida sobre o uso de Dados Pessoais, entre em contato com contact@lumen-trust.com ou dpo@lumen-trust.com

A Lumen observa os princípios da LGPD, os quais indicamos abaixo:

I - Finalidade: a Lumen trata os Dados Pessoais para propósitos legítimos, em relação aos seus colaboradores, usuários e visitantes, para cumprir suas obrigações ligadas aos recursos humanos e para prestar seus serviços;

II - Adequação: o Tratamento é realizado apenas para os fins indicados e de acordo com os termos da LGPD;

III - Necessidade: a Lumen não solicita mais informações além do estritamente necessário para cumprir suas obrigações, sendo na sua maioria, dados não sensíveis;

IV - Livre acesso: a Lumen garante aos titulares dos dados consulta facilitada e gratuita sobre a forma e a duração do Tratamento, bem como sobre a integralidade de seus Dados Pessoais;

V - Qualidade dos dados: a Lumen não altera nenhum dado que coleta ou recebe, mantendo-os até seu expurgo, com as mesmas características, a não ser que seu titular peça, de forma expressa, alguma alteração;

VI - Transparência: a Lumen garante aos titulares dos dados informações claras, precisas e facilmente acessíveis sobre a realização do Tratamento e os respectivos agentes de Tratamento, ressalvados os nossos segredos comerciais;

VII - Segurança: a Lumen garante a utilização de medidas de segurança sistêmicas e físicas para proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - Prevenção: a Lumen garante a adoção de medidas sistêmicas e físicas para prevenir a ocorrência de danos em virtude do Tratamento;

IX - Não discriminação: a Lumen assegura aos titulares de dados que em hipótese alguma realizará ou permitirá que algum colaborador faça uso dos dados para fins discriminatórios ilícitos ou abusivos;

X - Responsabilização e prestação de contas: a Lumen é responsável pelo tratamento e uso dos dados, e observa e cumpre as normas de proteção de Dados Pessoais.

Autoridade Nacional: ANPD – Autoridade Nacional de Proteção de Dados.

Controlador: pessoa natural ou jurídica a quem competem as decisões referentes ao Tratamento.

Dados Pessoais Sensíveis: dado sobre origem racial/étnica, convicção religiosa, opinião política, filiação sindical, dado referente à saúde/vida sexual, dado genético ou biométrico.

Dados Pessoais: informação relacionada a pessoa natural identificada ou identificável.

Encarregado (DPO): pessoa indicada para atuar como canal de comunicação entre a Lumen, os titulares e a ANPD.

Operador: quem realiza o tratamento em nome do Controlador.

Tratamento: toda operação realizada com dado pessoal (coleta, uso, acesso, armazenamento, eliminação, etc.).

A Lumen trata dados pessoais mediante uma ou mais bases legais, incluindo:

• Execução de contrato ou serviços ou de procedimentos preliminares com clientes, fornecedores e colaboradores;
• Cumprimento de obrigação legal/regulatória (e.g., normas do mercado financeiro e de capitais, prevenção à lavagem de dinheiro, obrigações trabalhistas, fiscais e contábeis);
• Interesse legítimo, resguardados os direitos e liberdades dos titulares (e.g. segurança de ambientes e ativos, melhoria de serviços, governança e controles internos);
• Exercício regular de direitos (judicial, administrativo ou arbitral);
• Proteção da vida/da incolumidade física do titular ou de terceiro;

• Consentimento, quando exigido por lei ou apropriado ao contexto (e.g. campanhas publicitárias ou marketing).

5.1. Exemplos por Público

• Clientes/Representantes: identificação e contato; KYC/PLD; cadastro e qualificação; execução de contratos; gestão de contas vinculadas/escrow; administração de pagamentos; monitoramentos de covenants financeiros e não financeiros; cumprimento de ofícios/ordens de autoridades judiciais, arbitrais ou administrativas; faturamento e cobrança; comunicação operacional.
• Colaboradores/Candidatos: recrutamento e seleção; gestão de folha e benefícios; saúde e segurança; gestão de desempenho; treinamento e compliance; segurança lógica e física; atendimento a obrigações legais.
• Fornecedores/Parceiros: homologação; gestão e execução contratual; auditoria e conformidade; prevenção a fraudes.

• Usuários de plataformas e visitantes do site: provisionamento de acesso; segurança; analytics (com minimização e, quando aplicável, consentimento); atendimento a solicitações.

5.2. Consentimento e Revogação (Art. 8º e Art. 9º, §1º e §2º – LGPD)

Quando o tratamento se basear em consentimento, este será livre, informado e inequívoco, destacado e referido a finalidades determinadas. O titular poderá revogar o consentimento a qualquer tempo, por procedimento gratuito e facilitado, sem prejuízo da licitude do tratamento anterior. Em caso de mudança de finalidade não compatível com a originalmente informada, a Lumen comunicará previamente o titular, assegurando-lhe a possibilidade de revogar o consentimento.

A Lumen coleta, trata e mantém, conforme a finalidade, as seguintes categorias (não exaustivas):

• Identificação e contato: nome, CPF, RG, data de nascimento, nacionalidade, e-mail, telefone, endereço e dados do representante legal.
• Dados financeiros/contratuais: dados bancários (limitados ao necessário), informações de pagamentos/recebimentos, garantias, procurações, poderes e permissões.
• Dados profissionais: cargo, vínculo, registros de acesso/autenticação, logs de sistemas, trilhas de auditoria.
• Dados de navegação e uso de sistemas: IP, agente de usuário, data/hora de acesso, páginas visitadas, cookies e tecnologias semelhantes.

• Dados sensíveis: apenas quando estritamente necessários e com base legal adequada (e.g. saúde ocupacional do Colaborador; dados biométricos para controle de acesso, se houver).

A depender da finalidade, alguns dados são obrigatórios para contratar/viabilizar serviços, cumprir leis ou proteger interesses. A ausência de fornecimento poderá impedir o acesso a funcionalidades, a execução contratual dos serviços ou o atendimento à solicitação.

A Lumen poderá compartilhar dados pessoais, na medida necessária, com:

• Prestadores de serviços/suboperadores de TI, hospedagem, segurança da informação, meios de pagamento, KYC/PLD, mensageria, auditoria, jurídico, consultorias, sob contratos com cláusulas de confidencialidade, proteção de dados e segurança;
• Parceiros e contrapartes envolvidos na operação (e.g. instituições financeiras, escritórios de advocacia, registradoras, trustees estrangeiros), conforme base legal aplicável e princípio da minimização;
• Autoridades e entes públicos (e.g. ANPD, Comissão de Valores Mobiliários - CVM, Banco Central do Brasil - BACEN, Conselho de Controle de Atividades Financeiras - COAF, Judiciário), quando requerido por lei ou ordem; e

• Eventos societários (e.g. fusão, aquisição, reorganização), com garantias de proteção e confidencialidade.

A Lumen poderá realizar transferências internacionais (e.g. provedores de nuvem, contrapartes, trustees) adotando salvaguardas adequadas, observando os arts. 33 e 34 da LGPD e orientações da ANPD.

Os Dados são mantidos pelo tempo necessário ao cumprimento da finalidade, de obrigações legais/regulatórias (e.g, contábil, fiscal, PLD) e ao exercício regular de direitos. Decorrido o prazo, serão eliminados ou anonimizados, observando políticas internas de retenção. Em situações em que o tratamento for condição para fornecer produto ou serviço ou exercer direito, tal condição será informada, bem como os meios pelos quais o titular pode exercer seus direitos.

O titular pode requerer a confirmação de tratamento; acesso; correção; anonimização/bloqueio/eliminação de dados desnecessários/excessivos; portabilidade; informação sobre compartilhamentos; informação sobre consentimento e suas consequências; revogação do consentimento; revisão de decisões automatizadas.

As solicitações serão atendidas no menor prazo possível, observadas limitações legais e a comprovação de identidade. A Lumen disponibilizará canais claros e acessíveis para exercício dos direitos.

Canal de solicitações: contact@lumen-trust.com ou dpo@lumen-trust.com

A Lumen mantém procedimento interno para identificação, contenção, análise de causa-raiz, mitigação e notificação de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.

• Comunicação à ANPD e ao titular ocorrerá em prazo razoável, com as informações exigidas pela LGPD e diretrizes da ANPD.
• Clientes e contrapartes serão informados conforme contratos e a natureza do incidente.

• Todo o Colaborador deve reportar imediatamente suspeitas de incidente via canal interno.

Antes da contratação de terceiros que tratem dados pessoais em nome da Lumen, será conduzido processo de diligência de segurança/privacidade e firmado contrato com cláusulas mínimas exigidas pela LGPD (objeto, duração, natureza, finalidade, categorias, obrigações, dever de confidencialidade, medidas de segurança, subcontratação condicionada, atendimento a direitos dos titulares, devolução/eliminação, auditoria e inspeção, notificação de incidentes).

Para serviços sujeitos à regulação do Sistema Financeiro e de Mercado de Capitais, a Lumen observará as normas aplicáveis (e.g, CVM e Banco Central) quanto a cadastro, registros, guarda, reporte e segurança da informação – ajustando processos, bases legais e prazos de retenção.

Tratamento de dados de menores de 18 anos ocorrerá apenas quando necessário e adequado, com consentimento dos responsáveis legais quando exigido e em observância aos princípios de proteção integral.

Encarregado (DPO): Diogo Rocha Malheiros

E-mail: dpo@lumen-trust.com

• Diretoria: aprova esta Política e supervisiona sua implementação;
• DPO: coordena conformidade, comunica-se com titulares e ANPD, orienta áreas;
• Segurança da Informação/Compliance: define e executa controles técnicos e organizacionais, resposta a incidentes, treinamentos;
• Gestores de processo: asseguram a aplicação da Política em suas áreas;

Esta Política poderá ser alterada a qualquer tempo para refletir mudanças legais, regulatórias, tecnológicas ou de negócio.

Esta Política entra em vigor em 05/12/2025, será divulgada internamente e ficará disponível no site da Lumen (www.lumen-trust.com).

Observação: os prazos são indicativos e deverão ser ajustados ao resultado do inventário de tratamentos, às normas setoriais aplicáveis e à política de retenção corporativa.

• Lei nº 9.613/1998 e alterações posteriores (Lavagem de Dinheiro);
• Lei nº 13.260/2016 e alterações posteriores (Terrorismo)
• Lei nº 13.810/2019 e alterações posteriores (sanções do Conselho de Segurança das Nações Unidas);
• Políticas internas correlatas: Código de Ética e Conduta, Política Anticorrupção e Política de Privacidade e Proteção de Dados/LGPD.

A Lumen deverá, no limite de suas atribuições, identificar, analisar, compreender e mitigar os riscos de LDFT inerentes às suas atividades, adotando uma abordagem baseada em risco para garantir que as medidas de prevenção e mitigação sejam proporcionais aos riscos identificados e assegurar o cumprimento da legislação aplicável (“Avaliação de Risco”).

A Lumen adota Avaliação de Risco para identificar, avaliar, mitigar e monitorar riscos de LDFT, compatível com a natureza, porte, complexidade e perfil de risco de seus produtos/serviços, canais e clientes/contrapartes.

Diretrizes: proporcionalidade, segregação de funções, registro e auditabilidade, treinamento contínuo, melhoria contínua.

• Cliente/Participante: parte com relacionamento direto com a Lumen (contratantes, emissores, devedores, investidores/beneficiários, participantes de ofertas, contrapartes operacionais);
• Beneficiário Final: pessoa natural que, em última instância, possui, controla ou influencia significativamente a pessoa jurídica (≥ 25% e/ou influência nas decisões);
• PEP: Pessoa Exposta Politicamente, no Brasil e/ou no exterior, incluindo familiares e estreitos colaboradores;
• Operação/Situação/Proposta Suspeita: evento detectado em monitoramento que possa indicar indícios de LDFT.

• Diretoria: aprova esta Política, supervisiona sua implementação e avalia relatórios anuais de risco/efetividade.
• Diretor de Compliance (Responsável LDFT): implementa e mantém esta Política atualizada; aprova classificações de alto risco;
• Área de KYC/KYS/KYE: executa diligências de aceitação, classificação e atualização de risco; monitora alertas; elabora relatórios de suspeição e casos de alto risco; mantém cadastros e trilhas.
• Controles Internos/Compliance: define e testa controles; mantém inventário de riscos; organiza treinamentos;
• Demais Áreas (Operações, Comercial, Financeiro, Jurídico, RH): cumprem e suportam controles conforme atribuições; reportam atipicidades imediatamente;
• Todos os Colaboradores: conhecem e cumprem esta Política; realizam treinamentos; reportam indícios sem demora.

6.1. Escopo: produtos/serviços (e.g. escrow, pagamentos, agente de garantias), canais (onboarding), ambientes e contrapartes.

6.2. Classificação: baixo/médio/alto por fatores como tipo/complexidade do produto, perfil e jurisdição do cliente/beneficiário final, mídia negativa, PEP, presença em listas de sanções (CSNU/OFAC/UE), origem dos recursos, natureza dos direitos creditórios, etc.

6.3. Periodicidade: anual, com relatório à Diretoria e disponibilização a reguladores; reavaliações extraordinárias em mudanças relevantes.

7.1. KYC (Conheça Seu Cliente):

• Cadastro mínimo e documentação conforme categoria (PF/PJ/Fundos/Não residentes), inclusive identificação do beneficiário final e poderes de representantes;
• Validação independente (fontes públicas/privadas confiáveis), screening em listas de sanções e PEP, avaliação de origem de recursos quando aplicável;
• Classificação de risco inicial/pré-início de relacionamento e atualização periódica proporcional ao risco (≤ 36 meses para clientes ativos; prazos menores para alto risco).

7.2. KYS (Conheça Seu Prestador/Supplier): due diligence de parceiros, distribuidores, correspondentes e contrapartes críticas; confirmação de existência de programa de PLD/FT e controles mínimos; cláusulas contratuais de conformidade e auditoria.

7.3. KYE (Conheça Seu Empregado): verificação prévia e periódica de colaboradores em funções sensíveis; entrevistas e checagens reputacionais; treinamentos obrigatórios.

7.4. EDD – Diligência Reforçada: exigida para identificação de alto risco, PEP (inclusive familiares/colaboradores próximos), ONGs sensíveis, estruturas fiduciárias/veículos (trusts), não residentes de jurisdições com deficiências GAFI; exigência de aprovação da Diretoria, evidência de origem de recursos e monitoramento reforçado.

A Lumen monitorará operações e situações atípicas (e.g. fluxos financeiros, pagamentos, instruções fora do padrão, transferências, mudanças abruptas de perfil, incompatibilidades com renda/patrimônio, uso de numerário, ligações a PEP/sanções, etc).

Operações ligadas a terrorismo terão tratamento prioritário e bloqueios quando aplicável.

Relatórios de suspeição serão preparados pela área responsável e submetidos ao Diretor de Compliance para decisão.

• Monitoramento reforçado e diligências adicionais, inclusive evidência de origem de recursos;
• Reavaliação de manutenção/início de relacionamento pelo Diretor de Compliance;
• Possibilidade de recusa ou encerramento do relacionamento quando não sanadas as deficiências (e.g. impossibilidade de identificar beneficiário final).

• Manutenção de cadastros, validações, classificações, relatórios e comunicações por no mínimo 5 anos (ou prazos superiores conforme regulação/contratos);
• Sistemas com trilha de auditoria, identificação de usuários, datas e eventos (inclusão/alteração/exclusão), garantindo integridade e disponibilidade.

• Treinamento inicial a todos os colaboradores da Lumen com recorrência anual (ou sob demanda por mudança relevante), adequado ao papel/risco; e
• Registro de frequência e avaliação, com medidas disciplinares em caso de não cumprimento.

• Screening, Mídia Negativa, listas de sanções (CSNU/OFAC/UE), PEP;
• Integração com controles de segurança da informação e com a Política de Privacidade/LGPD;
• Proteção de dados em conformidade com LGPD e bases legais aplicáveis ao PLD/FT.

• Avaliações periódicas de efetividade de controles por Auditoria Interna/Externa, conforme aplicável;
• Testes de amostra de cadastros, alertas e comunicações;
• Plano anual de melhorias baseado em apontamentos de auditoria e mudanças regulatórias.

Quando necessário e permitido, intercâmbio estritamente controlado com entidades reguladas/contrapartes para fins de PLD/FT, mediante justificativa, registro e aprovação do Responsável PLD/FT, observando sigilo, necessidade de conhecimento e LGPD.

Descumprimentos a esta Política sujeitam os Colaboradores e terceiros às medidas disciplinares internas e às sanções legais/regulatórias cabíveis.

Esta Política entra em vigor em 05/12/2025, será divulgada internamente e ficará disponível no site da Lumen (www.lumen-trust.com).

• Operações incompatíveis com renda/patrimônio;
• Transferências privadas/sem motivação;
• Mudança abrupta de perfil ou padrão operacional;
• Operações fora de mercado ou sem fundamentação econômica;
• Envolvidos vinculados a sanções (CSNU/OFAC/UE) ou PEP;
• Uso de dinheiro em espécie (quando aplicável), estruturações incomuns, transações em cadeia para camuflar origem;
• Impossibilidade de identificação beneficiário final, sem justificativa razoável.