Aviso de privacidade

Última atualização: 24 de junho de 2026

DATA DE VIGÊNCIA DO AVISO: 26 DE JUNHO DE 2026

1. INTRODUÇÃO

Obrigado por visitar OKX.com. A OKX, na qualidade de Controladora de Dados (Data Controller), apresenta este Aviso de Privacidade para descrever nossas práticas relativas à coleta, armazenamento, uso, divulgação e demais tratamentos de Dados Pessoais (Personal Data). Este Aviso inclui as bases legais em que nos apoiamos, seus direitos, as salvaguardas aplicáveis às transferências internacionais de dados e como entrar em contato conosco.

Este Aviso aplica-se a usuários, potenciais usuários, visitantes do site e qualquer pessoa cujos Dados Pessoais a OKX trate em conexão com a Plataforma e os Serviços OKX (a "Plataforma OKX"). Não se aplica quando a OKX atua como Operador (Data Processor) em nome de outro controlador, nem a candidatos a emprego ou colaboradores (cobertos por política de privacidade específica).

Este Aviso deve ser lido em conjunto com quaisquer avisos complementares aplicáveis, incluindo o Aviso Complementar da OKX sobre Compartilhamento Transfronteiriço de Dados AML/CFT (Prevenção à Lavagem de Dinheiro e Combate ao Financiamento do Terrorismo / Anti-Money Laundering and Counter-Financing of Terrorism — aplicável a clientes multientidade) e a Política de Dados Biométricos da OKX.

Ao utilizar a Plataforma OKX, você reconhece ter lido e compreendido este Aviso. Quando seu consentimento for necessário para atividades específicas de tratamento, ele será obtido separadamente e com antecedência.

2. CONTROLADORA E INFORMAÇÕES DE CONTATO

A entidade OKX que atua como Controladora de Dados (Data Controller) depende de sua jurisdição e data de cadastro:

Encarregado de Proteção de Dados (Data Protection Officer / DPO)

A OKX designou um Encarregado de Proteção de Dados do Grupo (Group DPO) responsável por supervisionar a conformidade em matéria de proteção de dados em todo o Grupo OKX. O DPO pode ser contatado em:

• E-mail: privacyoffice@okx.com

• Ioannis Giannakakis | OKX Europe Limited | Piazzetta Business Plaza, Office Number 4, Floor 2, Triq Ghar il-Lembi, Sliema, SLM 1562, Malta.

Controle Conjunto (Clientes Multientidade)

Quando você mantém contas em mais de uma entidade do Grupo OKX simultaneamente, cada entidade é um controlador independente em relação aos dados pessoais que coleta para o cumprimento de suas próprias obrigações regulatórias. Em circunstâncias específicas — em particular, o compartilhamento transfronteiriço de dados de risco AML/CFT descrito na Seção 8 —, duas ou mais entidades do Grupo OKX podem atuar como controladoras conjuntas.

3. DEFINIÇÕES

4. DADOS PESSOAIS QUE COLETAMOS

A OKX coleta Dados Pessoais que você fornece diretamente, dados coletados automaticamente por meio do uso de nossos Serviços e dados recebidos de terceiros.

Dados Fornecidos por Você

• Identidade e contato: nome completo, e-mail, telefone, data de nascimento, nacionalidade, endereço residencial, documentos de identificação emitidos por órgão governamental.

• Institucionais (contas empresariais): razão social, número de registro, comprovante de existência legal, informações sobre beneficiários finais, descrição do negócio, origem dos fundos/patrimônio.

• Informações comerciais: dados relativos a transações realizadas na Plataforma OKX.

• Financeiros: dados bancários, números de cartões de crédito/débito, origem dos fundos, ativos e passivos.

• PEP e sanções: informações sobre se você ou pessoa próxima exerce função pública de destaque.

• Correspondências: comunicações com o Suporte ao Cliente, respostas a pesquisas, registros de chat (chat logs).

• Perfil opcional: avatar, nome de exibição, apelido.

Dados Coletados Automaticamente

• Identificadores técnicos: endereço IP, endereço MAC, impressão digital de dispositivo (device fingerprint), identificadores únicos de dispositivo, sistema operacional, tipo e versão de navegador.

• Uso e comportamento: dados de sessão, fluxo de cliques (clickstream), sinais de interação com páginas, geolocalização aproximada derivada do endereço IP.

• Dados de aplicativos: informações sobre aplicativos instalados em seu dispositivo quando necessário para detectar softwares maliciosos ou comprometimento do dispositivo que possam afetar a segurança de sua conta.

Dados Recebidos de Terceiros

• Verificação de identidade: dos processadores Au10tix, Jumio e Sumsub, incluindo dados biométricos — ver Seção 18.

• AML/Fraude: de prestadores de triagem de sanções, bancos de dados de PEP e provedores de inteligência de fraude (incluindo Refinitiv World-Check, Dow Jones Risk & Compliance, Moody's).

• Pagamentos: de bancos e processadores de pagamento, incluindo nome, dados bancários e informações de transações.

• Indicações: de usuários que o indicaram (referrers), afiliados e parceiros de marketing.

Dados AML/CFT Compartilhados Dentro do Grupo OKX (Clientes Multientidade)

Se você mantém contas em mais de uma entidade do Grupo OKX, o pessoal de Compliance autorizado (incluindo os Responsáveis pelo Reporte de Lavagem de Dinheiro — Money Laundering Reporting Officers / MLROs) pode compartilhar Dados Pessoais sobre você entre as entidades em cenários específicos de risco elevado descritos na Seção 8. As categorias de dados que podem ser compartilhadas incluem dados de identidade e verificação, dados de risco e conformidade (CRR, status de PEP/sanções, alertas de monitoramento de transações), dados biométricos de correspondência de identidade (entity-matching) e dados de dispositivo e técnicos usados como fatores de confiança.

Produto de Agente de IA (AI Agent)

Se você autorizar um agente de IA de terceiros a acessar sua conta OKX, a OKX coletará tokens de acesso e atualização (access and refresh tokens), identificadores de dispositivo, endereços IP, registros de eventos de autorização, status de KYC Nível 2 e, para países de alto risco, dados de limite de AUM, juntamente com dados de vivacidade (liveness) acionados por risco, quando aplicável (ver Seção 18).

5. BASE LEGAL PARA TRATAMENTO — MAPEAMENTO DE FINALIDADE PARA BASE LEGAL

6. COMO USAMOS SEUS DADOS PESSOAIS

Além das finalidades mapeadas na Seção 5, a OKX usa seus Dados Pessoais para:

• Administrar sua conta, processar transações e prestar os Serviços solicitados;

• Cumprir obrigações legais e regulatórias aplicáveis, incluindo AML/CFT, sanções e reporte fiscal;

• Detectar, investigar e prevenir transações fraudulentas, acessos não autorizados e atividades proibidas;

• Comunicar-se com você sobre sua conta, alterações relevantes em nossos Serviços e notificações legais ou operacionais;

• Melhorar nossa plataforma, desenvolver novos produtos e conduzir análises internas e pesquisas;

• Conduzir avaliação de risco AML/CFT em nível de grupo para clientes multientidade (ver Seção 8);

• Enviar comunicações de marketing sobre produtos e serviços da OKX, com seu consentimento.

7. TOMADA DE DECISÃO AUTOMATIZADA, PERFILAMENTO E CORRESPONDÊNCIA DE IDENTIDADE (AUTOMATED DECISION-MAKING, PROFILING AND ENTITY-MATCHING)

A OKX utiliza tratamento automatizado e sistemas baseados em IA para as seguintes finalidades que podem ter efeitos significativos sobre sua conta. Em todos os casos em que o tratamento automatizado produzir um resultado que possa afetar significativamente sua conta ou relacionamento com o Grupo OKX, esse resultado estará sujeito à revisão obrigatória por um profissional treinado de Compliance ou CDD (Customer Due Diligence) antes que qualquer medida consequente seja tomada.

Seus Direitos em Relação a Decisões Automatizadas

Quando uma decisão automatizada produzir um efeito legal ou igualmente significativo sobre você, você terá o direito de: (a) solicitar revisão humana por um colaborador qualificado da OKX; (b) manifestar seu ponto de vista e fornecer informações adicionais; e (c) contestar a decisão e solicitar reconsideração. Entre em contato com privacyoffice@okx.com com o assunto "AUTOMATED DECISION REVIEW REQUEST".

Transparência nos Termos da Lei de IA da UE (EU AI Act)

Determinados sistemas de IA implantados pela OKX são classificados como de alto risco nos termos do Anexo III do EU AI Act (Regulamento 2024/1689), incluindo sistemas utilizados para identificação biométrica e pontuação de risco de AML/fraude. A OKX realizou avaliações de conformidade e Avaliações de Impacto sobre Direitos Fundamentais para atender às suas obrigações de conformidade.

Verificação de Risco por IA (AI-Driven Risk Check)

Na autorização, a verificação de risco automatizada da OKX avalia sinais comportamentais, endereço IP, identificador de dispositivo e status de KYC para determinar se a verificação biométrica de vivacidade (liveness) é exigida antes da emissão de um token. Se acionada e não concluída com êxito, a autorização é bloqueada automaticamente, sem revisão humana em tempo real. Para contestar uma autorização bloqueada, entre em contato pelo e-mail informado com o assunto "AUTOMATED DECISION REVIEW REQUEST".

Execução Autônoma de Operações por Agente de IA de Terceiros (Third-Party AI Agent Autonomous Trade Execution)

Quando você autoriza um agente de IA de terceiros por meio de um fluxo de autorização delegada, esse agente pode executar operações e acessar dados da conta em seu nome, dentro do escopo das permissões concedidas. A OKX fornece apenas a infraestrutura de autenticação e não desenvolve, opera nem controla a tomada de decisão do agente de IA de terceiros. As decisões de negociação são tomadas de forma autônoma pelo provedor terceiro, sem revisão humana em tempo real, e os sistemas de monitoramento de transações da OKX sinalizam atividades suspeitas após a execução. Recomenda-se fortemente monitorar a atividade do agente de IA e revogar o acesso imediatamente em caso de operações inesperadas.

Nos termos do Artigo 50 do EU AI Act, a interface de autorização da OKX divulga a identidade e o papel do agente de IA de terceiros, o escopo das permissões concedidas e o mecanismo de revogação de acesso aplicável.

8. COMPARTILHAMENTO INTRAGRUPO DE DADOS AML/CFT (CLIENTES MULTIENTIDADE)

O Marco de Compartilhamento de Informações

As entidades do Grupo são obrigadas a implementar políticas e procedimentos AML/CFT em nível de grupo, incluindo procedimentos para o compartilhamento de informações dentro do grupo quando relevante para a due diligence de clientes e o monitoramento de transações. Em conformidade com essa obrigação, o pessoal de Compliance autorizado do Grupo OKX (incluindo os MLROs) pode compartilhar Dados Pessoais sobre você com MLROs de outras entidades do Grupo OKX nas quais você mantém contas.

Esse compartilhamento está sujeito a estrita limitação de finalidade: pode ocorrer apenas para fins de conformidade com AML/CFT e é restrito ao pessoal de Compliance autorizado. Não permite o compartilhamento para fins comerciais, de marketing ou outros fins não relacionados à conformidade.

Restrição de Conta e Congelamento entre Entidades (Cross-Entity Freezing)

Quando uma entidade do Grupo OKX for legalmente obrigada a congelar ou restringir (freeze or restrict) sua conta nos termos da legislação de sanções aplicável ou por determinação regulatória:

• A entidade que impõe a restrição notificará as demais entidades do Grupo OKX nas quais você mantém contas sobre o fato da restrição e, na extensão legalmente permitida, sua base regulatória.

• Cada entidade receptora avaliará de forma independente se é obrigada, por sua própria legislação aplicável, a impor uma restrição correspondente. Esse processo não é automático: cada MLRO exerce julgamento jurídico independente.

• As obrigações de sanções variam significativamente entre jurisdições. Uma correspondência em uma lista de determinada jurisdição não cria automaticamente uma obrigação legal em outra jurisdição, mas desencadeará uma revisão.

Base Legal

• Base primária: Obrigação legal (Art. 45 da 4AMLD sobre controles de grupo; legislação nacional AML aplicável).

• Base secundária: Interesses legítimos na prevenção de crimes financeiros em nível de grupo.

• Correspondência biométrica de identidade: Interesse público substancial (Substantial Public Interest — AML/CFT), complementado por lei nacional aplicável. Ver Seção 21.

9. DIVULGAÇÃO DE DADOS PESSOAIS A TERCEIROS

A OKX pode divulgar Dados Pessoais às seguintes categorias de destinatários, em cada caso apenas na medida necessária para a finalidade declarada e sujeito a obrigações contratuais adequadas de proteção de dados:

• Empresas do Grupo OKX: subsidiárias, holdings e entidades afiliadas — incluindo para o compartilhamento intragrupo AML/CFT descrito na Seção 8.

• Processadores de verificação de identidade: Au10tix, Jumio e Sumsub — cujas respectivas políticas de dados biométricos estão vinculadas na Seção 18.

• Prestadores de serviços de AML, fraude e sanções: Refinitiv World-Check, Dow Jones Risk & Compliance, Moody's e provedores equivalentes.

• Provedores de tecnologia de correspondência biométrica de identidade (Entity-Matching): EagleEye ou equivalente, atuando como operadores de dados (Data Processors) sob Acordos de Processamento de Dados.

• Processadores de pagamento e parceiros bancários: Entidades que facilitam transferências em moeda fiduciária, emissão de cartões e processamento de pagamentos.

• Prestadores de TI, infraestrutura e análise: Hospedagem em nuvem, armazenamento de dados, plataformas de suporte ao cliente e serviços de análise.

• Consultores profissionais: Assessores jurídicos, auditores e consultores de conformidade.

• Reguladores, UIF (Unidades de Inteligência Financeira / Financial Intelligence Units) e autoridades policiais: Quando exigido por lei aplicável, ordem judicial ou solicitação regulatória legítima, incluindo divulgações de STR/SAR a Unidades de Inteligência Financeira.

• Potenciais adquirentes: No contexto de uma fusão, aquisição ou venda de parte ou totalidade do negócio da OKX, sujeito a obrigações de confidencialidade.

• Potenciais prestadores de serviços: Antes da celebração de um contrato de serviço, a OKX pode compartilhar um conjunto limitado e pseudonimizado com um potencial fornecedor para avaliar suas capacidades técnicas. Esse compartilhamento é regido por um acordo de proteção de dados, restrito a fins de avaliação, e o destinatário deve excluir os dados após a conclusão.

A OKX não vende seus Dados Pessoais a terceiros para uso comercial próprio.

Todos os processadores terceirizados estão sujeitos a acordos de processamento de dados que impõem obrigações de proteção de dados ao menos equivalentes às estabelecidas neste Aviso.

10. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

A OKX opera globalmente e transfere Dados Pessoais para países distintos daquele em que foram coletados. Todas as transferências internacionais são realizadas sujeitas a salvaguardas adequadas.

Transferências a partir do EEE (Espaço Econômico Europeu)

• Para países com decisão de adequação da Comissão Europeia: as transferências ocorrem sem salvaguardas adicionais.

• Para todos os demais terceiros países (incluindo Seychelles): a OKX fundamenta-se nas Cláusulas Contratuais Padrão (Standard Contractual Clauses / SCCs) (Módulo 1, Controlador para Controlador), nos termos da Decisão de Execução da Comissão Europeia 2021/914/EU, complementadas por Avaliações de Impacto de Transferência (Transfer Impact Assessments / TIAs) quando exigido.

• Para transferências urgentes e não sistemáticas pendentes de execução de SCCs (p. ex., em cenários de escalada AML/CFT): Art. 49(1)(d) do GDPR — transferência necessária por razões importantes de interesse público substancial (conformidade AML/CFT). Essa derrogação é aplicada apenas nas circunstâncias descritas na Seção 8 e pelo período mínimo necessário.

Transferências a partir do Reino Unido

• A OKX fundamenta-se no Acordo de Transferência Internacional de Dados do Reino Unido (UK International Data Transfer Agreement / IDTA) ou no Adendo do Reino Unido às SCCs da UE para transferências a países não adequados.

Transferências a partir de Outras Jurisdições

• Malásia: PDPA 2010, s. 129 — arranjos contratuais que asseguram proteção equivalente.

• Singapura: PDPA, ss. 26-27 — arranjos contratuais.

• Austrália: APP 8.1 — obrigações contratuais vinculando o destinatário no exterior aos Princípios Australianos de Privacidade (Australian Privacy Principles).

• Brasil: LGPD, Art. 33, Resolução CD/ANPD n.º 19/2024 — cláusulas contratuais padrão ou outros mecanismos aprovados.

O Grupo OKX opera globalmente e seus Dados Pessoais podem ser armazenados ou tratados em qualquer país onde tenhamos licença, presença ou prestadores de serviços, incluindo Vietnã e outras jurisdições onde a OKX ou seus prestadores operam. Todas essas transferências cumprem as leis de proteção de dados aplicáveis e seus Dados Pessoais são protegidos nos padrões estabelecidos neste Aviso. Tribunais, autoridades policiais e autoridades regulatórias nesses países podem ter acesso legal aos seus Dados Pessoais.

Uma Avaliação de Impacto de Transferência (Transfer Impact Assessment) foi realizada em relação às transferências do Grupo OKX para Seychelles, tendo em conta a Lei de Proteção de Dados das Seychelles de 2023 (Seychelles Data Protection Act 2023).

11. PRAZO DE RETENÇÃO DE DADOS

A OKX armazena Dados Pessoais em seus próprios sistemas e nos de suas afiliadas e prestadores de armazenamento terceirizados. Todos os arranjos de armazenamento estão sujeitos a obrigações contratuais de proteção de dados, ao menos equivalentes às estabelecidas neste Aviso. Os detalhes completos das medidas de segurança da informação estão na Seção 12 (Segurança da Informação).

Os Dados Pessoais podem ser transferidos, armazenados ou tratados em países distintos do seu país de residência, incluindo países onde as leis de proteção de dados diferem das de sua jurisdição. Todas essas transferências internacionais são realizadas sujeitas a mecanismos de transferência legítimos — incluindo Cláusulas Contratuais Padrão (SCCs da UE, o UK IDTA ou o Adendo do Reino Unido às SCCs da UE, ou outras salvaguardas aprovadas, conforme aplicável) — conforme descrito na Seção 10 (Transferências Internacionais de Dados).

A OKX retém seus Dados Pessoais apenas pelo tempo necessário para a finalidade para a qual foram coletados, ou conforme exigido por lei aplicável. Quando não houver prazo legal aplicável, os dados são mantidos apenas pelo tempo que a finalidade original exigir e, em seguida, excluídos com segurança ou anonimizados de forma irreversível. Os prazos de retenção podem ser prorrogados quando exigido por obrigação de preservação legal (legal hold), determinação regulatória ou processos judiciais em andamento.

12. SEGURANÇA DA INFORMAÇÃO

A OKX implementa medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais contra acesso não autorizado, perda acidental, alteração, divulgação ou destruição. Essas medidas incluem:

• Criptografia ponta a ponta (end-to-end) das comunicações da plataforma usando TLS 1.2 ou superior;

• Autenticação de dois fatores (2FA) obrigatória para todo acesso a contas;

• Controles de acesso baseados em função (role-based access controls), limitando o acesso interno a Dados Pessoais conforme a necessidade (need-to-know);

• Registro de auditoria (audit logging) de todos os eventos de acesso e compartilhamento de dados entre entidades (obrigatório para o compartilhamento intragrupo AML/CFT);

• Testes regulares de penetração e avaliações de vulnerabilidade;

• Descarte seguro de Dados Pessoais após o término do prazo de retenção aplicável.

Em caso de dúvidas sobre segurança da informação ou para reportar problemas de segurança, envie um e-mail para security@okx.com com o assunto "INFORMATION SECURITY REQUEST".

13. SEUS DIREITOS

Sujeito à verificação de sua identidade e a exceções legais aplicáveis, você possui os seguintes direitos. Os direitos específicos para residentes na Califórnia estão na Seção 19. Os direitos de opt-out previstos na GLBA para clientes dos EUA estão na Seção 20. Acesse o Portal para exercer seus direitos.

Direitos nos Termos do GDPR / UK GDPR

Contatos das Autoridades Supervisoras

• EEE: Autoridade de Proteção de Dados (DPA) competente no Estado-Membro da UE de residência habitual ou local de trabalho.

• Reino Unido: Information Commissioner's Office (ICO) — ico.org.uk | 0303 123 1113

• Austrália: Office of the Australian Information Commissioner (OAIC) — oaic.gov.au

• Malásia: Personal Data Protection Commissioner (PDPC) — pdp.gov.my | Aras 3, Wisma Sumber Asli, No. 25, Persiaran Perdana, Precinct 4, 62574 Putrajaya, Malásia

• Singapura: Personal Data Protection Commission (PDPC) — pdpc.gov.sg

• Brasil: Autoridade Nacional de Proteção de Dados (ANPD) — gov.br/anpd

• Califórnia: California Privacy Protection Agency (CPPA) — cppa.ca.gov

• Seychelles: Comissário de Proteção de Dados (nos termos da Data Protection Act 2023)

• El Salvador: Instituto de Acceso a la Información Pública (IAIP) — iaip.gob.sv

• Argentina: Agencia de Acceso a la Información Pública (AAIP) — argentina.gob.ar/aaip

14. RETIRADA DE CONSENTIMENTO

Quando a OKX tratar seus Dados Pessoais com base no consentimento, você poderá retirar esse consentimento a qualquer momento por meio de:

• E-mail: privacyoffice@okx.com | Assunto: "CONSENT WITHDRAWAL REQUEST"

A retirada do consentimento não afeta a licitude do tratamento realizado antes da retirada.

15. POLÍTICA DE COOKIES

Gerencie as preferências de cookies por meio da Central de Preferências de Cookies (Cookie Preference Centre). Um Aviso de Cookies completo, listando cada cookie por nome, provedor, finalidade e duração, está disponível no site.

16. DADOS PESSOAIS DE MENORES

A OKX não oferece consciente e intencionalmente Serviços a indivíduos com menos de 18 anos, nem coleta Dados Pessoais dessas pessoas. Caso a OKX tome conhecimento de coleta inadvertida de dados de um menor, esses dados serão imediatamente excluídos. Notifique-nos em privacyoffice@okx.com se tiver conhecimento de um menor usando nossos Serviços.

17. COMUNICAÇÕES E MARKETING

A OKX somente enviará comunicações de marketing direto com seu consentimento prévio. Cancele o recebimento a qualquer momento por meio do link de cancelamento (unsubscribe) em qualquer comunicação de marketing ou entrando em contato com o Suporte ao Cliente no Centro de Suporte.

Comunicações de serviço, como notificações de conta, atualizações de políticas, alertas de segurança e confirmações de transações, são enviadas com base na execução contratual ou obrigação legal e não podem ser canceladas durante uma conta ativa.

18. DADOS BIOMÉTRICOS

A OKX trata dados biométricos para as seguintes finalidades distintas, cada uma amparada em base legal própria.

Verificação de Identidade (Integração / Onboarding)

A verificação biométrica durante a integração da conta é realizada pelos seguintes processadores terceirizados:

• Au10tix: Política de Dados Biométricos da Au10tix | Aviso de Privacidade da Au10tix

• Jumio: Aviso de Privacidade da Jumio

• Sumsub: Aviso de Privacidade da Sumsub

Base legal: Consentimento explícito (Explicit Consent). O consentimento explícito é obtido antes da coleta de dados biométricos durante a integração.

Correspondência Biométrica de Identidade entre Entidades do Grupo (Clientes Multientidade)

Para clientes multientidade, o Grupo OKX pode tratar dados biométricos — especificamente, geometria facial e pontuações de confiança biométrica derivadas de fotografias selfie e verificações de vivacidade (liveness checks) submetidas durante a integração — para determinar se indivíduos que apresentaram diferentes credenciais de identidade a diferentes entidades do Grupo OKX são a mesma pessoa ("correspondência de identidade entre entidades" / entity-matching).

Base legal: Tratamento necessário por razões de interesse público substancial (prevenção, detecção e investigação de crimes financeiros AML/CFT), lido em conjunto com a legislação nacional de implementação aplicável. Quando exigido pela lei nacional aplicável, o consentimento explícito ou derrogação alternativa pode ser adicionalmente aplicado.

Detecção de Vivacidade EagleEye — Autorização de Agente de IA

Quando a verificação de risco da OKX identificar uma sessão de autorização de agente de IA de alto risco, a detecção de vivacidade (liveness detection) da EagleEye será acionada para confirmar a identidade do titular da conta antes da emissão de um token. Isso é distinto do uso de correspondência de identidade AML descrito acima: a base legal aqui é o consentimento explícito, o acionamento se dá exclusivamente pelo resultado da verificação de risco e a geometria facial é excluída ao final da sessão — apenas o resultado (aprovado/reprovado) é retido no registro de eventos de autorização.

Leis Estaduais dos EUA sobre Dados Biométricos

• Illinois (BIPA, 740 ILCS 14/15): A OKX coleta identificadores biométricos (geometria facial) exclusivamente para verificação de identidade. Uma política escrita sobre coleta, retenção e destruição é mantida. O consentimento por escrito é obtido antes da coleta. A OKX não vende, arrenda, negocia nem lucra com identificadores biométricos.

• Texas (CUBI Act, Bus. & Com. Code Ch. 503): O consentimento informado é obtido antes da coleta. A OKX não vende identificadores biométricos.

• Washington (HB 1493): Identificadores biométricos são coletados apenas para as finalidades específicas descritas nesta seção, com o consentimento adequado.

Exercício de Direitos em Relação a Dados Biométricos

Envie solicitações para privacyoffice@okx.com com o assunto "BIOMETRIC DATA REQUEST". A exclusão de dados biométricos antes da conclusão do KYC pode afetar seu acesso a determinados Serviços. Solicitações de exclusão referentes a dados de correspondência de identidade (entity-matching) estão sujeitas a quaisquer requisitos e restrições de retenção AML aplicáveis.

19. DIREITOS ADICIONAIS PARA RESIDENTES NA CALIFÓRNIA (CCPA/CPRA)

Esta Seção aplica-se a residentes na Califórnia e complementa os direitos gerais estabelecidos na Seção 13. Em caso de conflito, esta Seção prevalece para residentes na Califórnia.

Categorias de Informações Pessoais Coletadas

• Identificadores: Nome, e-mail, endereço IP, nome de usuário da conta, número de documento governamental.

• Registros pessoais: Informações de conta financeira, dados bancários.

• Características de classificação protegida: Nacionalidade, data de nascimento.

• Informações comerciais: Histórico de transações, atividade de negociação, saldos de conta.

• Informações biométricas: Geometria facial para verificação de identidade e correspondência de identidade.

• Atividade na Internet ou em redes eletrônicas: Dados de uso, informações de log, identificadores de dispositivo.

• Dados de geolocalização: Localização aproximada derivada de IP.

• Informações pessoais sensíveis: Documento de identidade governamental, dados de conta financeira, identificadores biométricos.

Venda ou Compartilhamento de Informações Pessoais

A OKX não vende informações pessoais por consideração monetária. Em jurisdições onde a lei aplicável exige consentimento prévio para publicidade comportamental, a OKX não realizará esse tratamento sem consentimento válido. Em jurisdições que operam sob um regime de opt-out, a OKX pode compartilhar informações pessoais para publicidade comportamental entre contextos; envie solicitações de opt-out pelo processo descrito na Seção 17.

Direitos do Consumidor da Califórnia

• Direito de Saber (s. 1798.110): Categorias e informações pessoais específicas coletadas; fontes; finalidades comerciais; categorias de terceiros.

• Direito de Excluir (s. 1798.105): Solicitar exclusão, sujeito a exceções aplicáveis.

• Direito de Corrigir (s. 1798.106): Solicitar correção de informações pessoais incorretas.

• Direito de Opt-Out de Venda/Compartilhamento (ss. 1798.120, 1798.135): Optar por não venda ou compartilhamento para publicidade comportamental entre contextos.

• Direito de Limitar o Uso de Informações Pessoais Sensíveis (s. 1798.121): Limitar o uso às finalidades permitidas pela CPRA.

• Direito à Não Discriminação (s. 1798.125): Sem tratamento adverso pelo exercício de direitos.

Envie Solicitações Verificáveis do Consumidor: Portal DSAR. Resposta em 45 dias (prorrogável por mais 45 dias com aviso). Gratuito, até duas vezes por período de 12 meses.

20. DIVULGAÇÕES GLBA PARA CLIENTES DOS EUA (OKX INC.)

A OKX INC. é uma "instituição financeira" nos termos da Lei Gramm-Leach-Bliley (GLBA, 15 U.S.C. §§ 6801 et seq.) por ser uma entidade significativamente envolvida em atividades financeiras, incluindo câmbio de ativos digitais, custódia de criptoativos e atuação como facilitador que aproxima compradores e vendedores de ativos digitais. As seguintes divulgações específicas da GLBA aplicam-se aos clientes dos EUA da OKX INC.

Regra de Privacidade Financeira da GLBA (16 C.F.R. Part 313)

A OKX INC. coleta as seguintes categorias de Informação Pessoal Não Pública (NPI) sobre seus clientes dos EUA:

• Informações fornecidas por você: nome, endereço, e-mail, telefone, data de nascimento, documento de identidade governamental, credenciais de conta, informações de conta financeira, número de identificação fiscal.

• Informações de transações: saldos de conta, histórico de transações, atividade de negociação, dados de instrumentos de pagamento.

• Informações de terceiros: dados de verificação de prestadores de verificação de identidade, dados de agências de relatórios ao consumidor ou provedores de triagem de sanções.

Divulgação de NPI

A OKX INC. pode compartilhar sua NPI com as seguintes categorias de terceiros:

• Empresas afiliadas: outras entidades do Grupo OKX (para fins AML/CFT de grupo descritos na Seção 8 e para prestação de serviços).

• Prestadores de serviço não afiliados: processadores de pagamento, processadores de verificação de identidade, provedores de análise, assessores jurídicos e de conformidade, quando necessário para a prestação de Serviços e sujeitos a obrigações contratuais de proteção de dados.

• Reguladores e autoridades policiais: quando exigido por lei federal ou estadual, incluindo execução pela FTC, reporte à FinCEN e conformidade com OFAC.

A OKX INC. não compartilha sua NPI com terceiros não afiliados para uso em marketing próprio.

Direitos de Opt-Out da GLBA

Nos termos da Regra de Privacidade Financeira da GLBA (16 C.F.R. § 313.7), você tem o direito de optar por não participar do compartilhamento de sua NPI com terceiros não afiliados que não sejam prestadores de serviços atuando em nosso nome, na extensão em que tal compartilhamento seja realizado. Para exercer o direito de opt-out:

• E-mail: privacyoffice@okx.com | Assunto: "GLBA OPT-OUT REQUEST"

A OKX INC. processará seu opt-out em até 30 dias após o recebimento.

Segurança e Notificação de Violação da GLBA

As obrigações de segurança da informação da OKX INC. nos termos da Regra de Salvaguardas da GLBA (GLBA Safeguards Rule) estão em operação e orientarão nossas obrigações de Notificação de Violação para incidentes que afetem clientes.

21. SUPLEMENTOS JURISDICIONAIS 

Este Aviso de Privacidade está disponível em vários idiomas. Em caso de discrepância, a versão em inglês prevalece, exceto quando a lei local exigir de outra forma.

Reino Unido (UK GDPR e Lei de Proteção de Dados de 2018)

• Controladora de Dados: OKX Europe Limited — Seção 2.

• Base legal: Disposições equivalentes do UK GDPR aplicam-se ao longo do documento.

• Autoridade supervisora: Information Commissioner's Office (ICO) — ico.org.uk.

• Transferências internacionais: UK IDTA e/ou Adendo do Reino Unido às SCCs da UE para países não adequados.

Malásia (Personal Data Protection Act 2010, Lei 709, conforme alterada em 2024)

• Controladora de Dados: Aux Cayes FinTech Co. Ltd. (entidade residual, Seção 2).

• Lei aplicável: Personal Data Protection Act 2010 (Lei 709), conforme alterada pela Personal Data Protection (Amendment) Act 2023 (em vigor a partir de 1.º de junho de 2024). O tratamento é regido por sete princípios de proteção de dados: Geral, Aviso e Escolha, Divulgação, Segurança, Retenção, Integridade dos Dados e Acesso.

• Solicitações de acesso: A OKX responderá a solicitações de acesso de residentes na Malásia em 21 dias após o recebimento.

• Autoridade supervisora: Personal Data Protection Commissioner (PDPC) — pdp.gov.my | Aras 3, Wisma Sumber Asli, No. 25, Persiaran Perdana, Precinct 4, 62574 Putrajaya | Tel: +603 8911 8000.

Singapura (PDPA)

• Controladora de Dados: OKX SG Pte. Ltd.

• Este Aviso cumpre a obrigação de notificação prevista na PDPA, s. 20.

• Transferências transfronteiriças: PDPA, ss. 26-27; destinatários no exterior vinculados a padrões de proteção equivalentes.

• Solicitações de acesso e correção: resposta em 30 dias (PDPA, s. 22).

Austrália (Privacy Act 1988 — APPs)

• Controladora de Dados: OKX Australia Pty Ltd.

• Este Aviso constitui a Política de Privacidade da OKX Australia para fins do APP 1.

• Divulgação transfronteiriça: APP 8.1; medidas razoáveis adotadas para garantir que destinatários no exterior cumpram os APPs.

• Reclamações: DPO em primeira instância; em seguida, Office of the Australian Information Commissioner (OAIC) — oaic.gov.au.

Brasil (LGPD — Lei n.º 13.709/2018)

• Controladora de Dados: OKX Serviços Digitais Ltda.

• Encarregado (DPO): Rodrigo Alves Rodrigues — privacyoffice@okx.com (LGPD, Art. 41).

• Bases legais: execução contratual, obrigação legal, interesse legítimo e consentimento (LGPD, Art. 7).

• Transferências internacionais: LGPD, Art. 33, Resolução CD/ANPD n.º 19/2024 — cláusulas contratuais padrão ou mecanismos aprovados.

• Direitos do Art. 18 da LGPD: confirmação do tratamento, acesso, correção, anonimização/bloqueio/exclusão, portabilidade, informação sobre compartilhamento, revogação do consentimento.

• Autoridade supervisora: ANPD — gov.br/anpd.

Seychelles (Data Protection Act 2023)

• Controladora de Dados: Aux Cayes FinTech Co. Ltd.

• Autoridade supervisora: Comissário de Informação da República das Seychelles.

• Compartilhamento de dados AML/CFT: regido pelo marco de SCCs intragrupo descrito na Seção 10.

Argentina (Ley de Protección de los Datos Personales — Lei n.º 25.326)

• Controladora de Dados: OKX Fintech, SA de CV (Filial Argentina) | Maipu 1300, 9.° andar, Ciudad de Buenos Aires, Argentina.

• Lei aplicável: Lei de Protección de los Datos Personales, Lei n.º 25.326 (2000) e Decreto Regulamentador n.º 1558/2001; Resolução AAIP 47/2018 sobre medidas de segurança da informação. A Argentina possui decisão de adequação da Comissão Europeia (Decisão 2003/490/CE), permitindo transferências legítimas de dados do EEE sem salvaguardas adicionais.

• Registro de bancos de dados: A OKX é obrigada a registrar bancos de dados de dados pessoais na AAIP nos termos do Art. 21 da Lei 25.326. Os bancos de dados registrados constam do Registro Nacional de Bancos de Dados da AAIP.

• Consentimento: A coleta de dados pessoais exige consentimento informado e expresso do titular (Art. 5), exceto quando a coleta for necessária para execução de contrato, cumprimento de obrigação legal ou proteção de interesses vitais. Dados sensíveis (datos sensibles) — incluindo dados biométricos, dados de saúde, opiniões políticas, origem racial e crenças religiosas — exigem consentimento explícito em todos os casos e não podem ser coletados sem ele (Art. 7).

• Direitos do titular nos termos da Lei 25.326: (i) Direito de acesso (habeas data — Art. 14): os titulares podem solicitar, gratuitamente, cópia integral de seus dados pessoais mantidos em qualquer banco de dados, em até 30 dias; (ii) Direito de retificação e atualização (Art. 16): os titulares podem solicitar a correção de dados incorretos ou desatualizados; (iii) Direito de exclusão (supresión — Art. 17): os titulares podem solicitar a exclusão de dados excessivos, irrelevantes, desatualizados ou processados de forma ilegal, sujeito a obrigações de retenção; (iv) Direito à confidencialidade: os titulares podem solicitar que dados usados para publicidade comercial sejam mantidos confidenciais (Art. 27); (v) Direito de oposição ao tratamento para fins de marketing direto (Art. 27(3)).

• Transferências internacionais: O Art. 12 da Lei 25.326 restringe transferências a países que não ofereçam nível adequado de proteção, salvo exceção aplicável (consentimento, necessidade contratual ou interesse público). A OKX assegura que qualquer transferência de dados pessoais de residentes argentinos a jurisdições não reconhecidas como adequadas seja sujeita a salvaguardas contratuais adequadas.

• Medidas de segurança: A OKX implementa as medidas técnicas e organizacionais de segurança exigidas pela Resolução AAIP 47/2018 para controladores que tratam dados pessoais na Argentina, incluindo medidas proporcionais à sensibilidade dos dados tratados.

• Dados sensíveis — biométricos: Os dados biométricos constituem "datos sensibles" nos termos do Art. 2 da Lei 25.326. A OKX somente tratará dados biométricos de residentes argentinos com consentimento explícito ou quando o tratamento for estritamente necessário para o cumprimento legal de AML/CFT. Os dados biométricos não serão utilizados para qualquer outra finalidade.

• Autoridade supervisora: Agencia de Acceso a la Información Pública (AAIP) — argentina.gob.ar/aaip | Sarmiento 1118, C1041AAX, Ciudad de Buenos Aires | Tel: +54 11 5300-4357. Residentes argentinos podem apresentar reclamações diretamente à AAIP.

El Salvador (Ley de Protección de Datos Personales — Decreto Legislativo n.º 1282, 2022)

• Controladora de Dados: OKX Fintech Sociedad Anonima de Capital Variable | Calle El Mirador e/87 y 89 Av. Nte., Col. Escalón, Oficinas SNBX, Distrito de San Salvador y Capital de la República, Municipio de San Salvador Centro, El Salvador.

• Lei aplicável: Ley de Protección de Datos Personales (LPDP), Decreto Legislativo n.º 1282, publicado no Diário Oficial em 9 de março de 2022, com vigência a partir de setembro de 2023. A LPDP estabelece o marco geral de proteção de dados em El Salvador e foi amplamente inspirada no modelo GDPR. A OKX Fintech S.A. de C.V. é entidade regulada nos termos da legislação salvadorenha e está sujeita à LPDP no que diz respeito aos dados pessoais de residentes em El Salvador.

• Definições: A LPDP adota definições amplamente alinhadas ao GDPR, incluindo "dato personal" (dado pessoal), "responsable del tratamiento" (controlador), "encargado del tratamiento" (operador) e "titular de los datos" (titular dos dados).

• Princípios: A OKX trata os dados pessoais de residentes em El Salvador em conformidade com os princípios da LPDP: licitude, limitação de finalidade, minimização de dados, exatidão, limitação de armazenamento, integridade e confidencialidade e responsabilização (Art. 5 da LPDP).

• Bases legais para tratamento: O tratamento de dados pessoais exige base legal nos termos do Art. 12 da LPDP: (i) consentimento do titular; (ii) execução de contrato de que o titular seja parte; (iii) cumprimento de obrigação legal aplicável ao controlador; (iv) proteção dos interesses vitais do titular; (v) execução de tarefa no interesse público; ou (vi) interesses legítimos do controlador, desde que não se sobreponham aos direitos fundamentais do titular.

• Dados sensíveis: A LPDP estabelece regime de proteção reforçada para datos sensibles, incluindo dados biométricos, dados de saúde, orientação sexual, origem racial ou étnica, opiniões políticas e crenças religiosas (Art. 16 da LPDP). O tratamento de dados sensíveis exige consentimento explícito ou enquadramento em exceção legal estritamente definida, incluindo conformidade com obrigações AML/CFT quando expressamente exigido por lei.

• Direitos do titular nos termos da LPDP: (i) Direito de acesso (Art. 24): os titulares podem solicitar confirmação do tratamento e cópia de seus dados pessoais; (ii) Direito de retificação (Art. 25): os titulares podem solicitar a correção de dados incorretos sem demora injustificada; (iii) Direito de cancelamento/exclusão (Art. 26): os titulares podem solicitar a exclusão quando os dados não forem mais necessários, o consentimento for revogado ou o tratamento for ilegal, sujeito a obrigações de retenção aplicáveis nos termos da legislação de AML e serviços financeiros; (iv) Direito de oposição (Art. 27): os titulares podem opor-se ao tratamento baseado em interesse legítimo; (v) Direito de não ser sujeito exclusivamente a decisões automatizadas (Art. 30): os titulares têm direito à revisão humana de decisões com efeitos significativos, conforme as divulgações na Seção 7 deste Aviso.

• Transferências internacionais: A LPDP restringe transferências de dados pessoais a terceiros países que não assegurem nível adequado de proteção (Art. 34). A OKX fundamenta-se em salvaguardas contratuais (cláusulas padrão de transferência de dados ou mecanismos equivalentes reconhecidos nos termos da legislação salvadorenha) para todas as transferências de dados de residentes em El Salvador a terceiros países não adequados.

• Notificação de violação de dados: Nos termos da LPDP, a OKX é obrigada a notificar o IAIP e, quando a violação for susceptível de resultar em elevado risco para os titulares, os próprios indivíduos afetados, sem demora injustificada após a descoberta de uma violação de dados pessoais.

• Responsável pela proteção de dados: A OKX Fintech S.A. de C.V. designou Rodrigo Alves Rodrigues como contato responsável pelas questões de proteção de dados em El Salvador, acessível por meio de privacyoffice@okx.com.

• Autoridade supervisora: Instituto de Acceso a la Información Pública (IAIP) — iaip.gob.sv | 87 Avenida Norte y Calle El Mirador, Colonia Escalon, San Salvador | Tel: +503 2243-4646. Residentes em El Salvador podem apresentar reclamações ao IAIP se considerarem que seus direitos nos termos da LPDP foram violados.

22. ALTERAÇÕES A ESTE AVISO DE PRIVACIDADE

A OKX notificará você sobre alterações relevantes a este Aviso por meio de: (a) notificação por e-mail com pelo menos 30 dias de antecedência à entrada em vigor da alteração; e (b) aviso destacado na plataforma por pelo menos 30 dias. Alterações não relevantes (erros tipográficos, atualização de dados de contato) podem ser feitas sem aviso prévio. A data de vigência no início deste Aviso será atualizada para refletir todas as revisões. Quando uma alteração exigir novo consentimento, este será obtido separadamente antes da entrada em vigor da alteração.

23. FALE CONOSCO

Em caso de dúvidas sobre este Aviso de Privacidade ou sobre o uso de seus Dados Pessoais, entre em contato conosco com o assunto "PRIVACY REQUEST" pelo e-mail: privacyoffice@okx.com.