Política de Privacidade do DePix App
Última atualização: 7 de junho de 2026
1. Visão geral
Esta Política de Privacidade descreve como o DePix App ("nós", "Plataforma") coleta, utiliza, compartilha e protege dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD). Aplica-se ao uso do site depixapp.com, do aplicativo web (PWA) e da carteira integrada.
Esta Política integra os Termos de Uso. Ao utilizar a Plataforma, você declara estar ciente das práticas aqui descritas.
2. Quem controla os dados — papéis
O DePix App é um software de interface que controla apenas o conjunto mínimo de dados necessário ao seu funcionamento (descrito na Seção 5) — não controla os dados de identificação financeira do Usuário.
Os dados de identificação (KYC), incluindo CPF e dados bancários, bem como os dados das operações financeiras, são coletados e controlados pelos Parceiros, que atuam como controladores autônomos para suas próprias finalidades e obrigações regulatórias:
- a Eulen (depix.info), emissora do DePix, em relação aos dados necessários à emissão e ao resgate do ativo;
- os Parceiros Bancários — Plebit — Plebit.com.br Soluções em Tecnologia Ltda. (CNPJ nº 43.375.652/0001-13) (plebit.com.br) e Plebz — Plebz Intermediação de Pagamentos Ltda. (CNPJ nº 45.808.899/0001-01) (plebz.com.br) —, em relação ao processamento de Pix, à liquidação bancária, à identificação de clientes (KYC), à prevenção à lavagem de dinheiro (PLD-FT) e ao cumprimento das obrigações de reporte, atividades para as quais detêm as autorizações regulatórias.
Em síntese: o DePix App é o controlador dos dados descritos na Seção 5; os Parceiros são controladores independentes dos dados que coletam diretamente. Cada terceiro trata dados sob sua própria política de privacidade, à qual recomendamos a leitura.
3. Canal do titular
Para exercer seus direitos ou esclarecer dúvidas sobre o tratamento de seus dados pessoais, utilize o canal suporte@depixapp.com.
4. Princípios
Tratamos dados pessoais com observância dos princípios da LGPD, em especial finalidade, adequação, necessidade (minimização), transparência, segurança, prevenção e não discriminação.
5. Dados que coletamos
5.1. Dados fornecidos por você
- Cadastro: nome, endereço de e-mail, contato de WhatsApp, nome de usuário e senha (armazenada apenas de forma cifrada/hash).
- Conta de lojista: CNPJ e endereço eletrônico (website) do estabelecimento, quando aplicável.
- Suporte: o conteúdo das mensagens que você nos envia.
5.2. Dados operacionais
- endereços públicos da Liquid Network (endereços de depósito e de carteira);
- chaves Pix de destino informadas para saque;
- valores, datas, identificadores e status das operações;
- quando aplicável, o identificador da transação na Liquid (txid) registrado após o envio, utilizado para conciliação e suporte.
5.3. Dados técnicos
- endereço IP, identificador de dispositivo, tipo de navegador e dados de acesso e de log;
- dados coletados por mecanismo de proteção contra automação/bots (Cloudflare Turnstile) nas telas de cadastro e login.
5.4. Dados da Carteira
A Carteira é não custodial. Coletamos apenas endereços públicos necessários ao funcionamento. Veja a Seção 6 sobre o que nunca coletamos.
5.5. Telemetria da Carteira
Podemos coletar eventos agregados sobre o funcionamento da Carteira (por exemplo, criação de carteira, falhas de carregamento), sem identificação direta do titular — sem identificador de usuário, sem IP, sem saldos e sem endereços — e não os vinculamos à sua conta nem os combinamos intencionalmente com outros dados para reidentificá-lo. Esta telemetria refere-se exclusivamente à Carteira e não se confunde com os dados técnicos (Seção 5.3) — como IP e identificador de dispositivo —, que são dados pessoais tratados para segurança e prevenção a fraudes (Seção 8).
5.6. Dados de identificação (KYC) coletados pelos Parceiros
A identificação do titular (incluindo CPF ou CNPJ e dados bancários vinculados ao Pix) é coletada e tratada pelos Parceiros Bancários, no âmbito de suas obrigações de KYC e PLD-FT, e não diretamente pela Plataforma.
6. Dados que NÃO coletamos
Em razão do modelo de autocustódia, nunca coletamos, transmitimos ou armazenamos:
- a seed (frase de recuperação), o PIN ou as chaves privadas da Carteira — esses dados permanecem exclusivamente no seu dispositivo;
- senhas em texto puro;
- dados bancários ou de cartão do pagador final;
- dados pessoais sensíveis (art. 11 da LGPD).
7. Finalidades do tratamento
Utilizamos os dados para: viabilizar o cadastro e a autenticação; executar e conciliar as operações; prestar suporte; prevenir fraudes e garantir a segurança; cumprir obrigações legais e regulatórias (diretamente ou por meio dos Parceiros); aprimorar a Plataforma; e, mediante consentimento, enviar comunicações.
8. Bases legais
O tratamento fundamenta-se no art. 7º da LGPD, conforme a finalidade:
| Finalidade | Dados principais | Base legal |
|---|---|---|
| Cadastro, autenticação e execução das operações | nome, e-mail, usuário, endereços, chave Pix, dados da operação | execução de contrato (art. 7º, V) |
| Cumprimento de obrigações legais e de reporte (pelos Parceiros) | dados da operação; identificação no âmbito dos Parceiros | obrigação legal/regulatória (art. 7º, II) |
| Segurança e prevenção a fraudes | IP, identificador de dispositivo, logs, sinais de risco | legítimo interesse (art. 7º, IX) |
| Comunicações de marketing | e-mail, contato | consentimento (art. 7º, I), revogável |
Para o tratamento baseado em legítimo interesse, realizamos avaliação de proporcionalidade (LIA) e adotamos salvaguardas para preservar seus direitos. Esse legítimo interesse limita-se a proteger a Plataforma e os usuários contra fraude, abuso e automação maliciosa; você pode se opor a esse tratamento (art. 18, §2º) pelo canal da Seção 3. Os prazos de retenção de cada categoria constam da Seção 13.
9. Compartilhamento de dados
Não vendemos seus dados pessoais. Podemos compartilhá-los, na medida necessária, com:
- a Eulen, com quem compartilhamos os dados operacionais necessários à emissão e ao resgate (por exemplo, endereço de destino e valor);
- os Parceiros Bancários (Plebit, Plebz), que coletam diretamente do Usuário e tratam os dados de Pix, KYC, PLD-FT e reporte, no âmbito de suas autorizações;
- provedores de infraestrutura, exclusivamente para operar a Plataforma — por exemplo, hospedagem e funções (Vercel), banco de dados (Turso), telemetria agregada (Upstash), indexação pública da blockchain (Blockstream Esplora) e cotação de preços (provedor externo);
- autoridades competentes, quando exigido por lei ou por ordem judicial/administrativa, inclusive para fins de reporte à Receita Federal (na forma da legislação tributária vigente) e de comunicação de operações suspeitas ao COAF, realizados pelos Parceiros, hipótese em que o Usuário pode não ser notificado, por dever de sigilo.
10. Blockchain e dados públicos
As transações na Liquid Network são registradas em uma blockchain. Embora a Liquid utilize Transações Confidenciais (que ocultam valores), endereços e o fato da transação podem ser públicos e imutáveis, e não podem ser apagados. A correlação entre endereços e a identidade do titular é, em tese, possível para quem detenha dados suficientes (por exemplo, autoridades em posse de registros dos Parceiros). Recomendamos boas práticas de segurança no uso de endereços.
11. Cookies e armazenamento local
Utilizamos cookies e tecnologias de armazenamento local (como localStorage e IndexedDB) estritamente necessários ao funcionamento e à segurança — por exemplo, manutenção de sessão, preferências, endereços e o armazenamento cifrado da Carteira no dispositivo. Você pode gerenciar cookies nas configurações do navegador, ciente de que alguns são essenciais.
12. Transferência internacional
Parte dos provedores de infraestrutura pode tratar dados fora do Brasil — por exemplo, hospedagem e funções (Vercel), banco de dados (Turso) e telemetria agregada (Upstash), tipicamente em servidores nos Estados Unidos, e proteção contra automação (Cloudflare). Nesses casos, na forma da LGPD (art. 33), baseamo-nos nas garantias contratuais oferecidas por esses provedores (incluindo cláusulas de proteção de dados previstas em seus contratos/DPAs) e em medidas de segurança (criptografia, controle de acesso), buscando nível adequado de proteção.
13. Retenção e eliminação
Retemos dados pessoais apenas pelo tempo necessário às finalidades e ao cumprimento de obrigações legais. A título indicativo:
- dados de cadastro: enquanto a conta estiver ativa e por até 5 anos após o encerramento, em razão de prazos prescricionais (art. 206 do Código Civil) e de eventual defesa;
- registros de acesso (logs): no mínimo 6 meses (art. 15 do Marco Civil da Internet);
- registros de operações: pelos prazos legais aplicáveis (em regra, de natureza fiscal e de prevenção a ilícitos, cumpridos no âmbito dos Parceiros);
- dados tratados com consentimento: até a revogação.
Atendido o pedido de exclusão ("direito ao esquecimento"), eliminamos ou anonimizamos os dados sob nosso controle, ressalvadas as hipóteses de guarda obrigatória; dados anônimos e agregados de telemetria não permitem identificação e podem ser mantidos. Dados públicos já registrados em blockchain não podem ser apagados.
14. Segurança
Adotamos medidas técnicas e organizacionais para proteger os dados, incluindo criptografia em trânsito (TLS/HTTPS), criptografia em repouso no banco de dados, armazenamento cifrado da Carteira no dispositivo (AES-GCM, com derivação de chave por Argon2id a partir do PIN), controle de acesso e registro de auditoria. Nenhum sistema é totalmente seguro, e não podemos garantir proteção absoluta contra acessos não autorizados.
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos os afetados e a Autoridade Nacional de Proteção de Dados (ANPD), na forma do art. 48 da LGPD.
15. Seus direitos
Nos termos do art. 18 da LGPD, você pode requerer: confirmação da existência de tratamento; acesso; correção; anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade; portabilidade; informação sobre compartilhamentos; oposição a tratamento fundado em legítimo interesse (art. 18, §2º); informação sobre a possibilidade de não consentir; e revogação do consentimento. Os pedidos podem ser feitos pelo canal indicado na Seção 3 e serão atendidos nos prazos legais. Você também pode peticionar à Autoridade Nacional de Proteção de Dados (ANPD).
16. Decisões automatizadas
As medidas de bloqueio, devolução e MED são decididas e executadas pelos Parceiros, no âmbito do Pix e da emissão. No âmbito do DePix App, podem ser aplicadas regras automatizadas de segurança e prevenção a fraudes (por exemplo, limitação de tentativas e identificação de sinais de risco), que não constituem decisão sobre a licitude da operação. Quando uma decisão automatizada afetar seus interesses, você pode solicitar revisão pelo canal da Seção 3, na forma do art. 20 da LGPD.
17. Privacidade de menores
A Plataforma não se destina a menores de 18 anos e não coletamos intencionalmente dados de menores. A verificação de idade é declaratória, uma vez que a identificação (KYC) é realizada pelos Parceiros. Identificado tratamento de dados de menor, procederemos à sua eliminação.
18. Alterações desta Política
Esta Política pode ser atualizada a qualquer tempo, com indicação da data de atualização. Alterações relevantes poderão ser comunicadas pelos canais disponíveis. O uso continuado após a publicação representa ciência da versão vigente.
19. Contato
Para exercer direitos ou esclarecer dúvidas sobre privacidade, utilize o e-mail suporte@depixapp.com ou os canais de suporte do aplicativo.