Sub-responsabili del Trattamento
Nesta página
1. Scopo
Questo documento elenca i fornitori di servizi terzi e sub-responsabili che Swopli LTDA (CNPJ 61.902.473/0001-79) utilizza per gestire Swopli. Alcuni fornitori agiscono come responsabili del trattamento di Swopli in base a un DPA; altri agiscono come Merchant of Record indipendenti, app store o fornitori di infrastruttura/dati di riferimento self-hosted, come indicato sotto.
Questo elenco è mantenuto per trasparenza e per rispettare gli obblighi di protezione dei dati ai sensi di:
- Lei Geral de Proteção de Dados (LGPD) del Brasile, Legge 13.709/2018
- Regolamento Generale sulla Protezione dei Dati (GDPR) dell'UE, Regolamento 2016/679
- Altre leggi applicabili sulla protezione dei dati nei paesi in cui Swopli rende disponibili servizi o funzionalita secondo la Disponibilita delle funzionalita
Per dettagli completi su come Swopli elabora i dati personali, veda la nostra Informativa sulla Privacy.
2. Notifica di Aggiornamenti
Swopli fornirà un preavviso di 30 giorni per qualsiasi modifica a questo elenco di sub-responsabili del trattamento, incluso:
- Aggiunta di un nuovo sub-responsabile del trattamento
- Rimozione di un sub-responsabile del trattamento esistente
- Modifiche sostanziali al ruolo di un sub-responsabile del trattamento o alle attività di trattamento dei dati
La notifica sarà inviata tramite email all'indirizzo associato al Suo account Swopli. Può anche iscriversi agli aggiornamenti visitando swopli.com/it/legale/sub-responsabili.
Se si oppone all'aggiunta di un nuovo sub-responsabile del trattamento, può chiudere il Suo account entro il periodo di preavviso di 30 giorni. Per dettagli sulla chiusura dell'account, veda i nostri Termini di Servizio.
3. Sub-responsabili del Trattamento Attuali
La seguente tabella elenca tutti i fornitori attuali, la finalita per cui trattano o supportano dati, i tipi di dati coinvolti, la loro ubicazione e i link ai loro accordi sul trattamento dei dati (DPA), informative sulla privacy o materiali di riferimento applicabili.
| Sub-responsabile del trattamento | Scopo | Dati Trattati | Ubicazione | Link DPA |
|---|---|---|---|---|
| Supabase, Inc. | Database, autenticazione, archiviazione | Dati account, inserzioni prodotti, messaggi, registri scambi, immagini | Brasile (AWS sa-east-1) per l'archiviazione primaria; Supabase, Inc. ha sede negli Stati Uniti | supabase.com/legal/dpa |
| Stripe, Inc. / Stripe Payments Brasil Serviços Financeiros Ltda. | Checkout Swap Protection, depositi rimborsabili, rimborsi, trasferimenti, KYC Connect e supporto di pagamento ove applicabile | Metodi di pagamento, dati transazioni, indirizzo fatturazione, informazioni conto bancario, dati di identificazione fiscale ove richiesti, indirizzo spedizione | Brasile / Stati Uniti, a seconda del flusso | stripe.com/legal/dpa |
| RevenueCat, Inc. | Orchestrazione abbonamenti cross-platform (iOS/Android/Web tramite sincronizzazione Paddle), Customer Center, gestione diritti VIP | Ricevute acquisto, stato abbonamento, ID utente, informazioni dispositivo | Stati Uniti | revenuecat.com/dpa |
| Paddle.com Market Limited | Merchant of Record per checkout web (VIP/Boost), riscossione tasse globale, conversione automatica valuta | Metodi di pagamento, dati transazioni, indirizzo fatturazione, email, indirizzo IP | Regno Unito, Stati Uniti | paddle.com/legal/dpa |
| Apple Inc. | Acquisti in-app (iOS) | Ricevute acquisto, Apple ID (hash), informazioni dispositivo | Stati Uniti | apple.com/legal/privacy (Apple agisce come merchant of record) |
| Google LLC | Acquisti in-app (Android) | Ricevute acquisto, informazioni account Google, informazioni dispositivo | Stati Uniti | policies.google.com/privacy (Google agisce come merchant of record) |
| Resend, Inc. | Consegna email transazionali | Indirizzo email, nome, contenuto email (conferme account, notifiche scambi, risposte supporto) | Stati Uniti (AWS us-east-1) | resend.com/legal/dpa |
| Cloudflare, Inc. | CDN, protezione DDoS, edge computing | Indirizzo IP, user agent, metadati richieste (log per 24 ore) | Stati Uniti (con rete edge globale) | cloudflare.com/cloudflare-customer-dpa |
| Sentry (Functional Software, Inc.) | Monitoraggio errori, segnalazione crash | Log errori, stack traces, informazioni dispositivo, ID utente, indirizzo IP | Stati Uniti | sentry.io/legal/dpa |
| PostHog, Inc. | Analisi prodotto (opt-in per UE/SEE/UK/CH) | Dati eventi, ID utente, informazioni dispositivo, utilizzo funzionalità, comportamento anonimizzato | Unione Europea (PostHog Cloud EU) | posthog.com/docs/privacy/dpa |
| Nominatim (geocodifica OpenStreetMap self-hosted) | Geocodifica inversa per visualizzazione posizione | Coordinate, query ricerca posizione | Unione Europea (self-hosted) | N/A per istanza self-hosted; riferimento privacy OpenStreetMap |
| OpenAI OpCo, LLC / OpenAI Ireland Ltd. | API di moderazione per revisione automatizzata di fiducia e sicurezza prima della pubblicazione | Inserzioni di prodotti, messaggi, testo del profilo quando moderato, metadati di moderazione | Stati Uniti / Irlanda (ove applicabile) | openai.com/policies/data-processing-addendum |
| Melhor Envio | Generazione etichette spedizione, tracciamento, logistica inversa (solo Brasile) | Codici tracciamento, indirizzi mittente/destinatario, dimensioni pacco, stato spedizione | Brasile | melhorenvio.com.br/termos-de-uso |
Nota sull'attribuzione Paddle/Meta: Paddle puo caricare attribuzione Meta/Facebook su pagine di checkout web soggette a consenso, come descritto nell'Informativa sui Cookie. Swopli la tratta come attribuzione Marketing opzionale e rispetta consenso, GPC e opt-out Do Not Sell or Share. Non fa parte del trattamento principale della Piattaforma necessario per usare Swopli.
4. Meccanismi di Trasferimento
4.1 Trasferimenti Internazionali di Dati
Alcuni sub-responsabili del trattamento si trovano al di fuori dello Spazio Economico Europeo (SEE), del Brasile o del Suo paese di residenza. Swopli garantisce che tutti i trasferimenti internazionali di dati siano protetti da garanzie appropriate, incluse:
- Clausole Contrattuali Standard (SCC) dell'UE: Per i trasferimenti dall'UE/SEE verso paesi senza decisione di adeguatezza (ad es., Stati Uniti, Brasile), Swopli e il sub-responsabile del trattamento eseguono le Clausole Contrattuali Standard della Commissione UE (Moduli 2 e 3 come applicabile).
- Valutazione d'impatto del trasferimento (TIA): Swopli ha condotto una valutazione d'impatto del trasferimento per tutti i trasferimenti ad alto rischio per garantire che le SCC forniscano protezione effettiva nella pratica.
- SCC Brasile (LGPD): Per i trasferimenti che coinvolgono dati di utenti brasiliani, Swopli utilizza le Clausole Contrattuali Standard conformi alla LGPD o si basa sul consenso esplicito dell'utente ove richiesto dall'Articolo 33 della LGPD.
- Addendum sul trattamento dei dati (DPA): Tutti i sub-responsabili del trattamento hanno eseguito DPA che incorporano le SCC applicabili e richiedono al sub-responsabile del trattamento di implementare misure tecniche e organizzative appropriate per proteggere i dati personali.
4.2 Sub-sub-responsabili del trattamento
Alcuni sub-responsabili del trattamento elencati sopra possono coinvolgere i propri sub-responsabili del trattamento (ad es., fornitori di infrastruttura cloud). Quando ciò si verifica:
- Il sub-responsabile del trattamento primario rimane completamente responsabile nei confronti di Swopli per la conformità del sub-sub-responsabile del trattamento.
- Le relazioni con i sub-sub-responsabili del trattamento sono disciplinate dal DPA e dall'informativa sulla privacy del sub-responsabile del trattamento primario (collegati nella tabella sopra).
- Swopli verifica i sub-responsabili del trattamento primari per garantire che trasferiscano obblighi equivalenti di protezione dei dati ai sub-sub-responsabili del trattamento.
4.3 Residenza dei Dati
- Brasile: I dati degli utenti residenti in Brasile sono archiviati in AWS sa-east-1 (São Paulo) tramite Supabase, in conformità alle best practice di residenza dei dati della LGPD.
- UE/SEE: I dati PostHog sono archiviati nell'UE tramite PostHog Cloud EU. Altri sub-responsabili del trattamento possono archiviare dati negli Stati Uniti o globalmente, soggetti a SCC.
- Resto del Mondo: L'ubicazione di archiviazione dei dati varia in base al sub-responsabile del trattamento. Veda la colonna "Ubicazione" sopra.
5. I Suoi Diritti
Ai sensi delle leggi applicabili sulla protezione dei dati, Lei ha il diritto di:
- Accedere ai dati personali che deteniamo su di Lei
- Correggere dati imprecisi o incompleti
- Cancellare i Suoi dati (soggetto a obblighi di conservazione legale)
- Opporsi all'elaborazione basata su interessi legittimi
- Limitare l'elaborazione in determinate circostanze
- Portabilità dei dati (ricevere i Suoi dati in un formato strutturato e leggibile da macchina)
Per esercitare questi diritti, La preghiamo di visitare swopli.com/it/riservatezza/i-miei-dati o inviare un'email a dpo@swopli.com.
Per dettagli completi sui Suoi diritti e su come Swopli elabora i dati personali, veda la nostra Informativa sulla Privacy.
6. Domande
Se ha domande su questo elenco di sub-responsabili del trattamento, trasferimenti di dati o le nostre pratiche di protezione dei dati:
- Responsabile della protezione dei dati (DPO): dpo@swopli.com
- Richieste generali: help@swopli.com
- Richieste legali: legal@swopli.com
Per gli utenti UE/SEE, può anche contattare il nostro rappresentante GDPR (Articolo 27):
- Rappresentante UE/UK/CH: nomina tramite Prighter in corso — contatti dpo@swopli.com nel frattempo