Política de Privacidade
ECX PAY LTDA. | ECX CORP LTDA.
Antes de utilizar a plataforma ou o aplicativo, leia atentamente este Aviso de Privacidade. Ao continuar, você declara ter compreendido e aceito, de forma livre, inequívoca e informada, as práticas de tratamento de dados aqui descritas.
O QUE FAZEMOS COM AS SUAS INFORMAÇÕES
Este resumo apresenta os pontos essenciais. O detalhamento está nas seções seguintes; os canais de contato estão ao final.
1) Quem é o responsável? O Grupo ECX — ECX PAY LTDA. (CNPJ 48.407.842/0001-99) e ECX CORP LTDA. (CNPJ 63.237.714/0001-38) — atua como Controlador dos dados das Empresas Contratantes e, em regra, como Operador dos dados dos Usuários inseridos pelas Empresas Contratantes. O Grupo ECX também poderá atuar como Controlador independente quando o tratamento decorrer de obrigações legais ou regulatórias próprias, prevenção a fraudes, segurança da informação ou PLD/FT. Cada empresa do Grupo responde individualmente pelo tratamento realizado no âmbito de seus respectivos serviços. Além disso, existem alguns Operadores e/ou Suboperadores contratados pelo Grupo ECX que podem tratar dados pessoais. Os Suboperadores poderão ter acesso aos dados pessoais dos Usuários ou Empresas Contratantes apenas para viabilizar a parte da solução por eles fornecida, seguindo as mesmas regras aqui dispostas.
2) Como protegemos seus dados? Adotamos medidas técnicas e organizacionais compatíveis com as diretrizes da ANPD: controle de acesso, criptografia, backups e treinamento de equipes.
3) Quais dados coletamos? Para Usuários: nome, CPF, data de nascimento, endereço, e-mail, telefone, dados da CNH (ECX CORP), cargo e/ou matrícula; dados adicionais para menores. Para Empresas Contratantes: CNPJ, razão social, nome fantasia, dados dos gestores, contrato social e documentos dos sócios. Dados financeiros: número do cartão, valores, datas e locais de uso. Registros de acesso: IP, data e hora (mín. 6 meses).
4) Para quais finalidades? Prestação dos serviços, verificação cadastral (KYC), cumprimento de obrigações legais, prevenção a fraudes, atendimento, comunicações, aprimoramento das plataformas e, quando aplicável, gestão de pagamentos salariais e antecipação salarial.
5) Com quem compartilhamos? Suboperadores essenciais para a prestação dos serviços (ex.: SWAP); Empresa Contratante (extratos para gestão/auditoria); parceiros comerciais; entre ECX PAY e ECX CORP, para facilitar a experiência integrada do Grupo ECX, conforme descrito na Seção 2.2. deste Aviso; Banco Central e instituições de pagamento (transações Pix e cumprimento regulatório); e bureaus de crédito e bases públicas (SPC, SERASA, CCS, SCR), quando necessário.
6) Registros de acesso são coletados? Sim. Quando você utiliza a plataforma ou o aplicativo, registramos data, hora e endereço IP de acesso, mantidos por no mínimo 06 (seis) meses, nos termos da Lei n. 12.965/2014 e artigo 7º, II, da Lei n. 13.709/18.
7) Dados pessoais serão coletados de forma indireta? Além dos registros de acesso, podemos também coletar algumas informações de forma indireta, conforme a nossa Política de Cookies.
8) Registros de comunicações serão armazenados? Nós também iremos armazenar as conversas que você tiver conosco em nossos canais de comunicação, pois isso irá melhorar o seu atendimento, torná-lo mais eficiente e servir como evidência/comprovação do atendimento.
9) Quais são seus direitos? Você pode, a qualquer momento, solicitar ao Controlador: confirmação da existência de tratamento dos seus dados; acesso aos seus dados; correção dos seus dados; anonimização dos dados; bloqueio ou eliminação os dados desnecessários, excessivos ou tratados em desconformidade com a Lei; portabilidade dos dados à outro fornecedor; eliminação dos dados, exceto aqueles exigidos por lei; informações sobre com quem o Controlador realizou uso compartilhado de dados; informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e voltar atrás e revogar o seu consentimento.
Atendimento geral: ajuda@ecx.com.br | WhatsApp (31) 3279-0062
Canal de Privacidade: privacidade@ecx.com.br
AVISO DE PRIVACIDADE
O presente Aviso aplica-se às plataformas e aplicativos das empresas do Grupo ECX: ECX PAY LTDA. (CNPJ 48.407.842/0001-99), com sede na Av. Brigadeiro Faria Lima, 1811, sala 1119, São Paulo/SP — responsável pela plataforma ECX PAY (gestão de benefícios corporativos e outras facilidades financeiras) e pela ECX CORP LTDA. (CNPJ 63.237.714/0001-38), com sede na Av. Paulista, 1636, conj. 4, pav. 15, São Paulo/SP — responsável pela plataforma ECX CORP (gestão de frota e de despesas corporativas).
Embora este documento seja unificado, cada empresa do Grupo ECX mantém identidade jurídica própria e responde individualmente pelo tratamento de dados no âmbito de seus serviços, conforme detalhado neste Aviso. O titular terá sempre clareza sobre qual empresa trata seus dados, em que contexto e com que responsabilidade. Este documento está em conformidade com a Lei nº 12.965/2014 (Marco Civil da Internet) e a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).
1. Definições
1.1. Os termos técnicos utilizados neste Aviso seguem as definições do art. 5º da LGPD. Para fins deste documento, destacam-se:
Controlador: pessoa natural ou jurídica que toma decisões relativas ao tratamento de dados pessoais.
Cookies: pequenos arquivos de texto armazenados no dispositivo do usuário, utilizados para identificar o usuário e registrar informações de navegação.
Criptografia: técnicas para cifrar dados, tornando-os inacessíveis a terceiros não autorizados.
Dado pessoal: informação relacionada à pessoa natural identificada ou identificável.
Encarregado (DPO): pessoa indicada para atuar como canal de comunicação entre o Controlador, os titulares e a ANPD.
Operador: pessoa natural ou jurídica que realiza o tratamento de dados em nome do Controlador.
Tratamento de dados: toda operação realizada com dados pessoais, incluindo coleta, uso, acesso, armazenamento, compartilhamento e eliminação.
1.2. Perfis de usuários na plataforma:
Usuário(s): pessoa física cadastrada pela empresa que utiliza a plataforma ECX PAY (colaboradores, prestadores de serviços, terceiros, etc.) e/ou ECX CORP (gestores de frota ou gastos corporativos), inclusive menores devidamente representados.
Empresa Contratante: pessoa jurídica que adere a pelo menos um dos serviços do Grupo ECX, atuando como Controladora dos dados dos Usuários que insere na plataforma.
2. Agentes de tratamento e compartilhamento
2.1. Papéis de Controlador e Operador
O Grupo ECX atua como Controlador dos dados cadastrais da Empresa Contratante e, em regra, como Operador dos dados dos Usuários inseridos pela Empresa Contratante, tratando-os conforme suas instruções. Sem prejuízo do papel de Operador, o Grupo ECX poderá atuar como Controlador independente quando o tratamento decorrer de:
Cumprimento de obrigações legais ou regulatórias (incluindo normas do Banco Central);
Prevenção a fraudes, segurança da informação e gestão de riscos;
Cumprimento de regras de arranjos de pagamento;
Prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD/FT);
Defesa em processos administrativos ou judiciais.
Cada agente responde individualmente, sendo cabível direito de regresso em caso de descumprimento.
O quadro abaixo delimita, por cenário, quando o Grupo ECX atua como Operador e quando atua como Controlador independente:
Cenário/Dados
Dados cadastrais do Usuário inseridos pela Empresa Contratante para emissão de cartão, gestão de benefícios ou frota
Verificação cadastral (KYC), PLD/FT e prevenção a fraudes exigidos por regulação do BACEN
Registros de acesso (IP, data, hora) — Marco Civil da Internet
Dados financeiros utilizados para cumprimento de regras de arranjos de pagamento (bandeiras, SWAP)
Dados cadastrais da Empresa Contratante (CNPJ, razão social, gestores)
Defesa em processos judiciais, administrativos ou arbitrais
Papel do Grupo ECX
Operador — trata conforme instruções da Empresa Contratante
Controlador independente — obrigação legal própria
Controlador independente — obrigação legal própria
Controlador independente — exigência regulatória do arranjo
Controlador — decide sobre o tratamento desses dados
Controlador independente — exercício regular de direitos
Quem responde ao titular
Empresa Contratante (Controladora)
Grupo ECX (pode reter dados mesmo após solicitação de exclusão pela Empresa Contratante)
Grupo ECX
Grupo ECX
Grupo ECX
Grupo ECX
A Empresa Contratante, como Controladora dos dados dos Usuários, é responsável por:
Definir as finalidades e bases legais do tratamento dos dados dos Usuários;
Informar previamente os Usuários sobre o compartilhamento de dados com o Grupo ECX;
Não inserir dados sem ciência e/ou consentimento do Usuário ou representante legal;
Atender diretamente às requisições dos titulares de dados;
Manter processos de compliance em proteção de dados, nos termos da LGPD.
2.2. Com quem compartilhamos dados
O quadro abaixo resume os destinatários, finalidades e bases legais dos compartilhamentos:
Destinatário
SWAP Meios de Pagamento S.A. (Suboperador)
Empresa Contratante
Parceiros comerciais
Entre ECX PAY e ECX CORP
Banco Central, instituições de pagamento e participantes do arranjo Pix
Bureaus de crédito e bases públicas (SPC, SERASA, CCS, SCR, Receita Federal)
Autoridades competentes
Finalidade
Abertura de contas, emissão de cartões, processamento de transações, moeda eletrônica.
Extratos de transações para gestão, controle e auditoria do benefício ou da frota.
Oferta de produtos e serviços complementares (seguros, soluções financeiras etc.). Consentimento coletado por checkbox desmarcado por padrão; revogável a qualquer momento pelo e-mail privacidade@ecx.com.br.
Quando a Empresa Contratante cadastra outras PJs do seu grupo econômico (ECX CORP, cláusula 3.4 dos Termos de Uso), os dados dessas empresas ficam sujeitos ao mesmo termo. Por se tratarem de empresas do mesmo grupo, ECX PAY e ECX CORP compartilham uma base de dados unificada, podendo realizar cruzamento analítico e enriquecimento de perfis de Usuários e Empresas Contratantes para aprimorar a prestação dos serviços, prevenir fraudes, gerar insights operacionais e oferecer uma experiência integrada.
Processamento de transações Pix, Mecanismo de Devolução (MED), cumprimento regulatório. Dados compartilhados: nome, CPF, chave Pix, dados bancários.
Verificação cadastral (KYC), análise de crédito, prevenção a fraudes e, quando aplicável, negativação em órgãos de proteção ao crédito.
Atendimento a ordem judicial, obrigação legal ou regulatória.
Base legal (LGPD)
Execução de contrato (art. 7º, V)
Execução de contrato (art. 7º, V)
Consentimento (art. 7º, I)
Execução de contrato (art. 7º, V); Legítimo interesse (art. 7º, IX)
Cumprimento de obrigação legal (art. 7º, II); Execução de contrato (art. 7º, V)
Cumprimento de obrigação legal (art. 7º, II); Proteção do crédito (art. 7º, X)
Cumprimento de obrigação legal (art. 7º, II)
Para viabilizar determinadas funcionalidades, o Grupo ECX conta com Suboperadores que poderão ter acesso a dados dos Usuários e/ou Empresas Contratantes, exclusivamente para as finalidades a eles atribuídas acima. Todos os Suboperadores são contratualmente obrigados a tratar os dados com os mesmos padrões de segurança exigidos por este Aviso, não podendo utilizá-los para finalidades diversas das instruídas pelo Grupo ECX, sob pena de responderem pelas penalidades previstas na legislação vigente.
Os parceiros comerciais atuam como Controladores Independentes após o compartilhamento, sendo responsáveis por suas próprias políticas, finalidades e bases legais. Recomendamos a consulta ao Aviso de Privacidade e Termos de Uso de cada parceiro. O Grupo ECX mantém a lista de parceiros atualizada. Novos compartilhamentos somente ocorrerão mediante consentimento válido, observando-se as finalidades informadas no momento da coleta.
2.3. Transferência internacional de dados
Dados pessoais podem ser transferidos para servidores localizados nos Estados Unidos (EUA), com o objetivo de assegurar a adequada prestação dos serviços. Essas transferências são realizadas em conformidade com a LGPD e a Resolução CD/ANPD nº 19/2024, com base nas Cláusulas Contratuais Padrão aprovadas pela ANPD.
3. Segurança da informação
O Grupo ECX adota controles técnicos e organizacionais compatíveis com as diretrizes da ANPD e padrões internacionais, incluindo: controle de acesso restrito, criptografia e autenticação, backups periódicos, políticas internas de Segurança da Informação e treinamento das equipes.
Registros de acesso (data, hora e IP) são mantidos em ambiente controlado pelo prazo mínimo de 6 meses (Lei nº 12.965/2014, art. 15).
Nenhum serviço na internet oferece garantia absoluta contra incidentes. Em caso de acesso não autorizado, o Grupo ECX adotará todas as medidas cabíveis para identificar os responsáveis, mas não se responsabiliza pelos danos por eles causados.
4. Coleta e tratamento de dados
4.1. Ao aceitar este Aviso de Privacidade, o Usuário e a Empresa Contratante compreendem que o tratamento dos dados pessoais abaixo descrito é necessário para a execução do contrato com o Grupo ECX, para o cumprimento de obrigações legais ou para o atendimento de interesses legítimos, conforme especificado na tabela a seguir:
Tipo de dado
Dados cadastrais da Empresa Contratante (CNPJ, razão social, nome fantasia, dados do gestor, etc.)
Contrato social e documentos dos sócios
Dados cadastrais do Usuário (nome, CPF, endereço, telefone, e-mail, cargo, matrícula, CNH quando aplicável, etc.)
Dados adicionais de menores (nome da mãe, RG, comprovante de vínculo)
Dados financeiros (número do cartão, valores, datas, locais de uso)
Dados de transações Pix (nome, CPF, chave Pix, dados bancários)
Histórico de comunicações
Registros de acesso (IP, data, hora)
Dados coletados indiretamente (cookies)
Dados inseridos pela Empresa Contratante sobre o Usuário
Finalidade
Identificação, criação e gestão de conta, cadastro de login, suporte operacional.
Verificação cadastral (KYC) e prevenção de fraudes.
a) Identificação e habilitação na plataforma ou no aplicativo, criação e gestão de conta, emissão e uso do cartão.
b) Comunicações de marketing, notícias e newsletter.
c) Compartilhamento com parceiros para oferta de serviços.
d) Verificação cadastral (KYC) e prevenção de fraudes.
Atendimento ao Código Civil, às exigências do Banco Central e ao KYC.
a) Processamento de transações; emissão e uso do cartão; gestão de benefícios, frota, gastos corporativos ou pagamentos de remuneração.
b) Validação de transações; prevenção de fraudes e exigência regulatória.
c) Funcionalidades baseadas em localização.
Processamento de transferências Pix, cumprimento de regras do arranjo Pix e MED, prevenção a fraudes.
Melhoria do atendimento, eficiência na resolução de questões e comprovação das interações.
Cumprimento do art. 15 do Marco Civil da Internet — retenção mínima de 6 meses.
Identificação e armazenamento de informações de navegação, conforme a Política de Cookies.
Grupo ECX atua como Operador; as finalidades e as bases legais são definidas pela Empresa Contratante (Controladora).
Base legal (LGPD)
Execução de contrato (art. 7º, V)
Cumprimento de obrigação legal (art. 7º, II)
a) Execução de contrato (art. 7º, V)
b) Legítimo interesse (art. 7º, IX)
c) Consentimento (art. 7º, I)
Cumprimento de obrigação legal (art. 7º, II)
a) Execução de contrato (art. 7º, V)
b) Proteção do crédito (art. 7º, X)
c) Consentimento (art. 7º, I)
Execução de contrato (art. 7º, V); Cumprimento de obrigação legal (art. 7º, II)
Legítimo interesse (art. 7º, IX)
Cumprimento de obrigação legal (art. 7º, II)
Consentimento (art. 7º, I); Legítimo interesse (art. 7º, IX)
Definidas pelo Controlador (Empresa Contratante)
4.2. Dados coletados diretamente
Para cadastro e utilização dos serviços do Grupo ECX, são requeridas as seguintes informações:
Usuário (ECX PAY): nome completo, CPF, data de nascimento, endereço completo com CEP, e-mail, telefone, cargo e/ou matrícula fornecidos pelo empregador. Para menores de idade, poderão ser exigidos o nome da mãe, documento de identidade e comprovante de vínculo com a empresa pagadora.
Usuário (ECX CORP): nome completo, CPF, data de nascimento, endereço completo com CEP, e-mail, telefone e matrícula fornecida pelo empregador. Para menores de idade, poderão ser exigidos o nome da mãe, um documento de identidade e um comprovante de vínculo.
Empresa Contratante (ECX PAY e ECX CORP): CNPJ, razão social, nome fantasia, dados de contato do gestor responsável (nome, CPF, e-mail e telefone), contrato social, documentos dos sócios ou representantes legais, bem como dados profissionais dos contratados vinculados ao benefício ou à frota (nome, cargo e matrícula).
5. Retenção, exclusão e cancelamento
Os dados são mantidos pelo tempo necessário ao cumprimento das finalidades e das obrigações legais e regulatórias aplicáveis. Encerrada a finalidade, ou mediante solicitação pelo canal de privacidade, os dados serão eliminados, exceto quando sua manutenção for exigida por:
Lei ou regulação aplicável (incluindo normas do Banco Central, que exigem manutenção de registros financeiros por prazos específicos);
Exercício regular de direitos em processos judiciais, administrativos ou arbitrais;
Prevenção a fraudes, auditoria ou cumprimento de obrigações contratuais remanescentes.
O Usuário ou a Empresa Contratante pode solicitar o cancelamento dos serviços e a exclusão da conta a qualquer momento, sem justificativa, pelo canal de atendimento (ajuda@ecx.com.br) ou diretamente pelo aplicativo.
O Grupo ECX poderá, a seu critério, bloquear, restringir ou desabilitar o acesso quando detectada conduta inadequada ou descumprimento dos Termos de Uso.
6. Direitos do titular
Nos termos do art. 18 da LGPD, o titular pode solicitar a qualquer momento: confirmação de tratamento; acesso; correção; anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos; portabilidade; eliminação de dados tratados com consentimento (salvo hipóteses legais); informação sobre compartilhamentos; informação sobre a possibilidade e consequências de não fornecer consentimento; e revogação do consentimento.
Quando os dados foram inseridos pela Empresa Contratante, as requisições devem ser direcionadas a ela (Controladora), cabendo ao Grupo ECX seguir suas instruções como Operador.
7. Alterações neste Aviso
O Grupo ECX poderá atualizar este Aviso a qualquer momento. A versão vigente será sempre a publicada nas plataformas. Quando as alterações exigirem novo consentimento, será apresentada a opção de aceitar ou recusar de forma livre, inequívoca e informada.
Em caso de discordância, o Usuário ou a Empresa Contratante poderá rescindir o vínculo. A rescisão não exime do cumprimento das obrigações assumidas nas versões anteriores.
8. Encarregado e canais de comunicação
O Grupo ECX indica como Encarregado de Proteção de Dados (DPO), nos termos do art. 41 da LGPD:
Nome: Sr. José Amparo Maurício
E-mail: privacidade@ecx.com.br
O Encarregado é responsável por receber reclamações e comunicações dos titulares e da ANPD, prestar esclarecimentos e adotar as providências cabíveis. Quando as comunicações se referirem a dados inseridos pela Empresa Contratante, esta deverá disponibilizar um canal próprio para o atendimento dos titulares.
Para comunicações gerais:
E-mail: ajuda@ecx.com.br
WhatsApp: (31) 3279-0062
Canal exclusivo de privacidade: privacidade@ecx.com.br
Este Aviso integra-se, de forma inseparável, aos Termos de Uso do Usuário (ECX PAY), aos Termos de Uso da Empresa (ECX PAY) e aos Termos de Uso Corporativo (ECX CORP).
Este Aviso integra-se, de forma inseparável, à Política de Cookies, aos Termos de Uso do Usuário (ECX PAY), aos Termos de Uso da Empresa (ECX PAY) e aos Termos de Uso Corporativo (ECX CORP).
Grupo ECX | ECX PAY LTDA. (CNPJ 48.407.842/0001-99) | ECX CORP LTDA. (CNPJ 63.237.714/0001-38)
privacidade@ecx.com.br | ajuda@ecx.com.br | WhatsApp (31) 3279-0062