Logotipo de Swopli

Subprocesadores

Versión: v1.0.3
Versión preliminar — sujeta a revisión legal
Nesta página

    1. Propósito

    Este documento lista proveedores de servicios de terceros y subprocesadores que Swopli LTDA (CNPJ 61.902.473/0001-79) usa para operar Swopli. Algunos proveedores actúan como operadores/procesadores de Swopli bajo un DPA; otros actúan como merchant of record independiente, tienda de aplicaciones o proveedores de infraestructura/datos de referencia autoalojados, según se indica abajo.

    Esta lista se mantiene para transparencia y para cumplir con obligaciones de protección de datos bajo:

    • Lei Geral de Proteção de Dados de Brasil (LGPD), Law 13.709/2018
    • Reglamento General de Protección de Datos de la UE (GDPR), Regulation 2016/679
    • Otras leyes aplicables de protección de datos en los países donde Swopli disponibiliza servicios o funciones conforme a la Disponibilidad de funciones

    Para detalles completos sobre cómo Swopli procesa datos personales, vea nuestra Política de Privacidad.

    2. Notificación de Actualizaciones

    Swopli proporcionará aviso con 30 días de anticipación de cualquier cambio a esta lista de subprocesadores, incluyendo:

    • Adición de un nuevo subprocesador
    • Eliminación de un subprocesador existente
    • Cambios materiales al rol o actividades de procesamiento de datos de un subprocesador

    La notificación se enviará por correo electrónico a la dirección asociada con su cuenta de Swopli. También puede suscribirse a actualizaciones visitando swopli.com/es/legal/subprocesadores.

    Si objeta la adición de un nuevo subprocesador, puede cancelar su cuenta dentro del período de notificación de 30 días. Para detalles sobre cancelación de cuenta, vea nuestros Términos de Servicio.

    3. Subprocesadores Actuales

    La siguiente tabla lista todos los proveedores actuales, la finalidad para la que procesan o apoyan datos, los tipos de datos involucrados, su ubicación y enlaces a sus acuerdos de procesamiento de datos (DPA), políticas de privacidad o materiales de referencia aplicables.

    Subprocesador Propósito Datos Procesados Ubicación Enlace DPA
    Supabase, Inc. Base de datos, autenticación, almacenamiento Datos de cuenta, listados de productos, mensajes, registros de intercambio, imágenes Brasil (AWS sa-east-1) para almacenamiento primario; Supabase, Inc. tiene sede en EE.UU. supabase.com/legal/dpa
    Stripe, Inc. / Stripe Payments Brasil Serviços Financeiros Ltda. Checkout de Swap Protection, depósitos reembolsables, reembolsos, transferencias, KYC Connect y soporte de pago donde aplique Métodos de pago, datos de transacción, dirección de facturación, datos de cuenta bancaria, identificación fiscal cuando sea requerida, dirección de envío Brasil / Estados Unidos, según el flujo stripe.com/legal/dpa
    RevenueCat, Inc. Orquestación de suscripción multiplataforma (iOS/Android/Web vía sincronización Paddle), Customer Center, gestión de derechos VIP Recibos de compra, estado de suscripción, ID de usuario, información de dispositivo Estados Unidos revenuecat.com/dpa
    Paddle.com Market Limited Merchant of Record para checkout web (VIP/Boost), recaudación global de impuestos, conversión automática de moneda Métodos de pago, datos de transacción, dirección de facturación, correo electrónico, dirección IP Reino Unido, Estados Unidos paddle.com/legal/dpa
    Apple Inc. Compras dentro de la aplicación (iOS) Recibos de compra, Apple ID (hasheado), información de dispositivo Estados Unidos apple.com/legal/privacy (Apple actúa como merchant of record)
    Google LLC Compras dentro de la aplicación (Android) Recibos de compra, información de cuenta de Google, información de dispositivo Estados Unidos policies.google.com/privacy (Google actúa como merchant of record)
    Resend, Inc. Entrega de correo electrónico transaccional Dirección de correo electrónico, nombre, contenido de correo electrónico (confirmaciones de cuenta, notificaciones de intercambio, respuestas de soporte) Estados Unidos (AWS us-east-1) resend.com/legal/dpa
    Cloudflare, Inc. CDN, protección DDoS, edge computing Dirección IP, agente de usuario, metadatos de solicitud (registros por 24 horas) Estados Unidos (con red global de edge) cloudflare.com/cloudflare-customer-dpa
    Sentry (Functional Software, Inc.) Monitoreo de errores, informes de fallos Registros de errores, trazas de pila, información de dispositivo, ID de usuario, dirección IP Estados Unidos sentry.io/legal/dpa
    PostHog, Inc. Analítica de producto (opt-in para EU/EEA/UK/CH) Datos de eventos, ID de usuario, información de dispositivo, uso de funciones, comportamiento anonimizado Unión Europea (PostHog Cloud EU) posthog.com/docs/privacy/dpa
    Nominatim (geocodificación OpenStreetMap autoalojada) Geocodificación inversa para visualización de ubicación Coordenadas, consultas de búsqueda de ubicación Unión Europea (autoalojado) Sin transferencia a tercero por Nominatim; el alojamiento está cubierto por los proveedores de infraestructura listados arriba
    OpenAI OpCo, LLC / OpenAI Ireland Ltd. API de moderación para revisión automatizada de confianza y seguridad antes de la publicación Listados de productos, mensajes, texto de perfil donde sea moderado, metadatos de moderación Estados Unidos / Irlanda (donde aplique) openai.com/policies/data-processing-addendum
    Melhor Envio Generación de etiquetas de envío, seguimiento, logística inversa (solo Brasil) Códigos de seguimiento, direcciones de remitente/destinatario, dimensiones de paquete, estado de envío Brasil melhorenvio.com.br/termos-de-uso

    Nota de atribución Paddle/Meta: Paddle puede cargar atribución Meta/Facebook en páginas de checkout web bloqueadas por consentimiento, como se describe en la Política de Cookies. Swopli trata esto como atribución opcional de Marketing y respeta consentimiento, GPC y opt-outs de No vender ni compartir. Esto no forma parte del tratamiento principal de la Plataforma necesario para usar Swopli.

    4. Mecanismos de Transferencia

    4.1 Transferencias Internacionales de Datos

    Algunos subprocesadores están ubicados fuera del Espacio Económico Europeo (EEE), Brasil o su país de residencia. Swopli asegura que todas las transferencias internacionales de datos estén protegidas por salvaguardas apropiadas, incluyendo:

    • Cláusulas Contractuales Estándar de la UE (SCC): Para transferencias desde la UE/EEE a países sin decisión de adecuación (por ejemplo, Estados Unidos, Brasil), Swopli y el subprocesador ejecutan las Cláusulas Contractuales Estándar de la Comisión de la UE (Módulos 2 y 3 según aplique).
    • Evaluación de Impacto de Transferencia (TIA): Swopli ha realizado una Evaluación de Impacto de Transferencia para todas las transferencias de alto riesgo para asegurar que las SCC proporcionen protección efectiva en la práctica.
    • SCC de Brasil (LGPD): Para transferencias que involucran datos de usuarios brasileños, Swopli usa las Cláusulas Contractuales Estándar compatibles con LGPD o se basa en el consentimiento explícito del usuario cuando lo requiera el Artículo 33 de la LGPD.
    • Addendum de Procesamiento de Datos (DPA): Todos los subprocesadores han ejecutado DPA que incorporan las SCC aplicables y requieren que el subprocesador implemente medidas técnicas y organizativas apropiadas para proteger datos personales.

    4.2 Sub-subprocesadores

    Algunos subprocesadores listados arriba pueden contratar sus propios subprocesadores (por ejemplo, proveedores de infraestructura en la nube). Cuando esto ocurre:

    • El subprocesador principal permanece completamente responsable ante Swopli por el cumplimiento del sub-subprocesador.
    • Las relaciones de sub-subprocesadores se rigen por el DPA y política de privacidad del subprocesador principal (enlazados en la tabla arriba).
    • Swopli audita a los subprocesadores principales para asegurar que transmitan obligaciones de protección de datos equivalentes a los sub-subprocesadores.

    4.3 Residencia de Datos

    • Brasil: Los datos de usuario para residentes brasileños se almacenan en AWS sa-east-1 (São Paulo) vía Supabase, en cumplimiento con las mejores prácticas de residencia de datos de LGPD.
    • UE/EEE: Los datos de PostHog se almacenan en la UE vía PostHog Cloud EU. Otros subprocesadores pueden almacenar datos en Estados Unidos o globalmente, sujeto a SCC.
    • Resto del Mundo: La ubicación de almacenamiento de datos varía según el subprocesador. Vea la columna "Ubicación" arriba.

    5. Sus Derechos

    Bajo las leyes aplicables de protección de datos, usted tiene derecho a:

    • Acceder a los datos personales que mantenemos sobre usted
    • Corregir datos inexactos o incompletos
    • Eliminar sus datos (sujeto a obligaciones legales de retención)
    • Objetar al procesamiento basado en intereses legítimos
    • Restringir el procesamiento en ciertas circunstancias
    • Portabilidad de datos (recibir sus datos en un formato estructurado, legible por máquina)

    Para ejercer estos derechos, visite swopli.com/es/privacidad/mis-datos o envíe un correo a dpo@swopli.com.

    Para detalles completos sobre sus derechos y cómo Swopli procesa datos personales, vea nuestra Política de Privacidad.

    6. Preguntas

    Si tiene preguntas sobre esta lista de subprocesadores, transferencias de datos o nuestras prácticas de protección de datos:

    Para usuarios de la UE/EEE, también puede contactar a nuestro representante GDPR (Artículo 27):

    • Representante UE: Nombramiento en progreso — contacte a dpo@swopli.com en el ínterin