Logotipo da Swopli

Política de Privacidade

Versão: v1.0
Versão preliminar — sujeita a revisão legal
Nesta página

    Esta Política de Privacidade explica como a Swopli LTDA ("Swopli", "nós", "nos", "nosso") coleta, usa, compartilha e protege dados pessoais quando você utiliza a plataforma Swopli — nosso site, aplicativo móvel e serviços relacionados (coletivamente, a "Plataforma"). A Swopli é um marketplace de trocas peer-to-peer que permite aos usuários trocar produtos e serviços diretamente, sem transações financeiras entre usuários.

    Esta Política está organizada em uma seção de Global Baseline que se aplica a todos os usuários no mundo, seguida por seções específicas de jurisdição que fornecem direitos adicionais, divulgações e proteções exigidas pela lei local. Se você reside em uma jurisdição coberta por uma das seções específicas abaixo, essa seção complementa (e, em caso de conflito, prevalece sobre) a Global Baseline.

    Controlador de Dados: Swopli LTDA CNPJ: 61.902.473/0001-79 Rua Alm Protogenes 289, Sala 122, Cond Office Jd Negocios C, Jardim, Santo Andre/SP, CEP 09090-760, Brazil

    Encarregado de Proteção de Dados (DPO): Email: dpo@swopli.com

    Global Baseline

    Esta seção se aplica a todos os usuários Swopli onde a Swopli disponibiliza o serviço ou recurso relevante conforme a Disponibilidade de Recursos. Aplicamos princípios GDPR-first como nossa linha de base, o que significa que todos os usuários se beneficiam de altos padrões de proteção de dados, independentemente dos requisitos da lei local.

    Dados Que Coletamos

    Dados Que Você Fornece

    Categoria Quando Coletado Exemplos
    Identificação Cadastro Nome completo, nome de usuário, email, telefone (E.164), data de nascimento
    Perfil Onboarding Foto, biografia, cidade, idioma preferido
    Endereço Habilitação de envio Rua, número, complemento, CEP, cidade, estado, país
    Identificadores fiscais e de verificação Publicação de produtos, Troca Segura, KYC, prevenção de fraude e aplicação de conta única CPF ou identificação fiscal equivalente onde exigido
    Conteúdo Uso da plataforma Produtos listados, fotos, descrições, mensagens, avaliações
    Pagamento Compra VIP/Boost Dados de pagamento processados por RevenueCat (iOS/Android), Paddle (web) ou Stripe (Troca Segura) — A Swopli não armazena números de cartão

    Dados Coletados Automaticamente

    Categoria Como Coletado Finalidade
    Identificadores técnicos Logs do servidor Endereço IP, user agent, identificador de dispositivo
    Uso da plataforma Eventos no aplicativo Páginas visitadas, ações realizadas, timestamps
    Localização aproximada Geolocalização por IP (automático) Detecção de jurisdição para banner de cookies, prevenção de fraude
    Localização precisa Permissão opt-in do dispositivo Filtros de raio de busca (precisão ~100m)
    Cookies funcionais Navegador Sessão, preferência de idioma, consentimento de cookies
    Cookies de analytics Navegador, após consentimento Eventos de uso PostHog (hospedado na UE: eu.posthog.com)

    Dados de Terceiros

    Quando você se cadastra via Google, Apple ou Facebook, recebemos do provedor: email, nome completo (se autorizado), foto de perfil (se autorizada) e um identificador único do provedor. Não recebemos a senha da sua conta do provedor.

    Finalidades e Bases Legais

    Finalidade Base Legal Referência GDPR
    Cadastro e operação de conta Execução de contrato Art. 6(1)(b)
    Facilitar trocas entre usuários Execução de contrato Art. 6(1)(b)
    Processar pagamentos de VIP/Boost/envio Execução de contrato Art. 6(1)(b)
    Comunicações transacionais (notificações de troca, mensagens) Execução de contrato Art. 6(1)(b)
    Conformidade tributária e regulatória Obrigação legal Art. 6(1)(c)
    Prevenção de fraude e segurança da plataforma Interesse legítimo Art. 6(1)(f)
    Melhoria da plataforma via analytics (PostHog) Consentimento Art. 6(1)(a)
    Resolução de disputas entre usuários Execução de contrato + Interesse legítimo Art. 6(1)(b) + Art. 6(1)(f)
    Conformidade com ordens judiciais ou solicitações de autoridades Obrigação legal Art. 6(1)(c)

    Nós não usamos seus dados pessoais para: tomada de decisão automatizada ou perfilamento que produza efeitos legais (GDPR Art. 22), vender seus dados para terceiros ou publicidade direcionada operada pela Swopli com base em seus dados pessoais. Atribuição opcional de checkout Paddle/Meta é descrita na Política de Cookies e é desabilitada quando cookies de Marketing, GPC ou configurações de Não Vender ou Compartilhar optam pela recusa.

    Subprocessadores

    A Swopli compartilha dados pessoais com os seguintes provedores e subprocessadores. Quando o provedor atua como operador/processador da Swopli, a relação é coberta por Acordo de Processamento de Dados (DPA) ou salvaguardas contratuais equivalentes:

    Subprocessador Finalidade Localização Mecanismo de Transferência
    Supabase (AWS sa-east-1) Hospedagem de banco de dados, autenticação, armazenamento de arquivos Brazil (AWS sa-east-1) — Supabase Inc. é sediada nos EUA Doméstico para usuários brasileiros; SCCs Module 2 para usuários internacionais
    Stripe, Inc. / Stripe Payments Brasil Serviços Financeiros Ltda. Checkout da Troca Segura, depósitos reembolsáveis, reembolsos, transferências, KYC Connect e suporte de envio/pagamento onde aplicável Brasil / EUA, dependendo do fluxo Processamento doméstico no Brasil quando tratado pela entidade brasileira; SCCs Module 2 + DPF onde aplicável
    RevenueCat Inc Orquestração de assinaturas multiplataforma (iOS/Android/Web), Customer Center, gerenciamento de direitos VIP USA SCCs Module 2 + UK IDTA (International Data Transfer Addendum) — não certificado DPF
    Paddle.com Market Limited Merchant of Record para checkout web (VIP/Boost), cobrança global de impostos, conversão automática de moeda UK + USA Decisão de adequação do Reino Unido (Commission Implementing Decision (EU) 2025/2574 amending Decision (EU) 2021/1772, válida até 2031-12-27); EU SCCs com UK Approved Addendum para UK→US
    Apple Inc / Google LLC Notificações push + processamento de In-App Purchase (merchant-of-record para iOS/Android) USA DPAs da plataforma; escopo In-App Purchase (IAP)
    Resend Entrega de email transacional USA SCCs Module 2 + TIA
    Cloudflare CDN, proteção DDoS, geolocalização por IP para banner de cookies Global SCCs Module 2 + TIA; rede edge global; representante na UE nomeado
    PostHog Product analytics (bloqueado por consentimento na UE/UK/CH) EU (Frankfurt) Sem transferência (hospedado na UE)
    Sentry Monitoramento de erros (PII minimizada e removida quando configurado) USA SCCs Module 2 + TIA
    Nominatim (geocodificação OpenStreetMap auto-hospedada) Geocodificação reversa para exibição de localização EU (auto-hospedado) Sem transferência a terceiro pelo Nominatim; hospedagem coberta pelos provedores de infraestrutura listados acima
    OpenAI OpCo, LLC / OpenAI Ireland Ltd. Moderação automatizada de texto/conteúdo e revisão de confiança e segurança USA / Irlanda (quando aplicável) SCCs Module 2 + UK Addendum; OpenAI DPA
    Melhor Envio Geração e rastreamento de etiquetas de envio (apenas Brasil) Brazil Sem transferência (doméstico)

    Para a lista completa e versionada de subprocessadores com changelog e notificações de atualização de 30 dias, consulte nossa Lista de Subprocessadores.

    Retenção de Dados

    Categoria Período de Retenção Razão
    Dados de conta ativa Enquanto a conta existir Operação do serviço
    Mensagens entre usuários Enquanto a conta existir; deletadas após exclusão da conta Contexto de troca
    Registros de transações financeiras 5 anos após a transação Obrigação tributária (Brasil: Art. 173 CTN; UE: varia por estado-membro)
    Logs de acesso ao servidor 6 meses Monitoramento de segurança
    Logs de auditoria de segurança 1 ano Interesse legítimo de segurança
    Dados de analytics (PostHog) 12 meses (identificadores anonimizados) Melhoria do produto (baseado em consentimento)
    Relatórios de erro (Sentry) 90 dias Ciclo de resolução de bugs
    Dados anonimizados/agregados Indefinido Não são mais dados pessoais

    Após o período aplicável, os dados são deletados permanentemente ou irreversivelmente anonimizados. Revisamos os períodos de retenção anualmente.

    Medidas de Segurança

    Implementamos medidas técnicas e organizacionais para proteger seus dados:

    • Criptografia em trânsito: Todas as conexões usam TLS 1.2+.
    • Criptografia em repouso: Dados sensíveis criptografados pelos provedores de infraestrutura (Supabase, Stripe).
    • Controle de acesso: Row Level Security (RLS) no banco de dados previne acesso a dados entre usuários.
    • Autenticação: Autenticação baseada em OAuth (Google, Apple) com gerenciamento seguro de sessão via Supabase Auth.
    • Monitoramento de erros: Sentry para detecção de incidentes (PII removida).
    • Logging de auditoria: Ações sensíveis são registradas com ator, timestamp e tipo de ação.
    • Gerenciamento de dependências: Atualizações de segurança aplicadas regularmente.

    Apesar dessas medidas, nenhum sistema é 100% seguro. Em caso de violação de dados afetando seus dados pessoais, notificaremos você e as autoridades relevantes conforme exigido pela lei aplicável (72 horas para autoridades de controle da UE conforme GDPR Art. 33; "tempo razoável" para ANPD conforme LGPD Art. 48).

    Restrição de Idade

    A Swopli não se destina a indivíduos menores de 18 anos. Não coletamos intencionalmente dados pessoais de menores. Verificamos a idade através da data de nascimento fornecida no cadastro. Se identificarmos uma conta de menor, a desativaremos imediatamente e deletaremos os dados associados.

    Se você é pai, mãe ou responsável legal e acredita que um menor criou uma conta, entre em contato com dpo@swopli.com para remoção imediata.

    Seus Direitos (Global)

    Todos os usuários, independentemente da jurisdição, podem exercer os seguintes direitos:

    Direito Como Exercer
    Acesso Configurações > Privacidade e Dados > Exportar Meus Dados (download ZIP), ou email dpo@swopli.com
    Retificação Configurações > Editar Perfil, ou email dpo@swopli.com
    Exclusão Configurações > Privacidade e Dados > Deletar Minha Conta (exclusão permanente em até 24 horas)
    Portabilidade de Dados Exportação entrega arquivos JSON estruturados em um arquivo ZIP
    Revogar Consentimento Configurações > Notificações por Email; /pt-BR/privacidade/preferencias para cookies
    Oposição Email dpo@swopli.com para processamento baseado em interesse legítimo
    Reclamação Entre em contato com sua autoridade local de proteção de dados (consulte seções de jurisdição abaixo)

    Tempo de resposta: Até 30 dias (prorrogável por 60 dias para solicitações complexas, com notificação). Exercer esses direitos é gratuito.

    Formulário web: Envie uma solicitação de titular de dados em swopli.com/pt-BR/privacidade/meus-dados ou email dpo@swopli.com.

    Cookies

    A Swopli usa cookies e tecnologias similares em seu site. Para detalhes completos sobre quais cookies usamos, suas finalidades, períodos de retenção e como gerenciá-los, consulte nossa Política de Cookies.

    • UE/EEE/Reino Unido/Suíça: Banner de consentimento na primeira visita; opt-in necessário para cookies não essenciais.
    • Outras jurisdições: Banner de aviso com opt-out para analytics; cookies estritamente necessários sempre ativos.
    • Todos os usuários: Gerencie preferências em /pt-BR/privacidade/preferencias a qualquer momento.

    Alterações a Esta Política

    Podemos atualizar esta Política de Privacidade para refletir mudanças em nossas práticas, tecnologia ou requisitos legais.

    Mudanças materiais (afetando seus direitos, categorias de dados ou finalidades de processamento): pelo menos 30 dias de aviso prévio via email e/ou notificação no aplicativo, com descrição clara das mudanças.

    Mudanças não materiais (esclarecimentos, formatação): podem entrar em vigor sem aviso prévio. A data de "Última Atualização" sempre reflete a revisão mais recente.

    Brazil (LGPD)

    Aplica-se a: Usuários residentes no Brasil. Lei aplicável: Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).

    Controlador e DPO

    A Swopli LTDA é o controlador de seus dados pessoais de acordo com a LGPD.

    Encarregado de Proteção de Dados (DPO): Email: dpo@swopli.com Endereço postal: Rua Alm Protogenes 289, Sala 122, Cond Office Jd Negocios C, Jardim, Santo Andre/SP, CEP 09090-760 (Designado como "Encarregado" conforme Art. 41 da LGPD)

    O DPO é responsável por: aceitar reclamações e comunicações dos titulares de dados; receber comunicações da ANPD; orientar funcionários e contratados sobre práticas de proteção de dados; e desempenhar funções atribuídas pelo controlador (Art. 41 LGPD).

    Bases Legais sob a LGPD

    A LGPD fornece bases legais específicas para o tratamento de dados pessoais (Art. 7). Fundamentamos nosso tratamento em:

    Finalidade Base Legal Artigo da LGPD
    Criação de conta e prestação de serviços Execução de contrato Art. 7, V
    Obrigações fiscais e regulatórias Obrigação legal Art. 7, II
    Prevenção de fraude, segurança da plataforma Interesse legítimo Art. 7, IX
    Analytics (PostHog) Consentimento Art. 7, I
    Exercício de direitos em processos judiciais Exercício de direitos Art. 7, VI
    Proteção de crédito (verificação de vendedor) Proteção de crédito Art. 7, X

    Seus Direitos sob a LGPD (Art. 18)

    Além dos direitos listados na Linha de Base Global, os usuários brasileiros possuem os seguintes direitos específicos de acordo com o Art. 18 da LGPD:

    1. Confirmação de tratamento — confirmar se tratamos seus dados pessoais.
    2. Acesso — obter uma cópia de seus dados pessoais.
    3. Correção — corrigir dados incompletos, inexatos ou desatualizados.
    4. Anonimização, bloqueio ou eliminação — de dados desnecessários, excessivos ou não conformes.
    5. Portabilidade — transferir seus dados para outro prestador de serviços (Art. 18, V).
    6. Eliminação — de dados pessoais tratados com seu consentimento, quando o consentimento for revogado.
    7. Informação sobre compartilhamento — saber com quais entidades públicas e privadas seus dados foram compartilhados.
    8. Informação sobre consentimento — ser informado sobre a possibilidade e as consequências de não fornecer consentimento.
    9. Revogação de consentimento — revogar o consentimento a qualquer momento (Art. 18, IX).

    Localização de Dados

    Seus dados de conta principais são armazenados no Brasil (Supabase AWS sa-east-1, região de São Paulo). Transferências internacionais para subprocessadores como Stripe/Stripe Brasil, RevenueCat, Sentry, Resend, Cloudflare e outros provedores listados acima são cobertas por salvaguardas contratuais apropriadas, incluindo Cláusulas Contratuais Padrão quando aplicável, e cumprem o Art. 33 da LGPD.

    Idioma

    Esta Política de Privacidade está disponível em Português (pt-BR) conforme exigido pela lei brasileira de defesa do consumidor (CDC Art. 31). Em caso de conflito entre as versões em Português e Inglês, a versão em Português prevalece para os usuários brasileiros.

    Autoridade de Controle

    Autoridade Nacional de Proteção de Dados (ANPD) Website: https://www.gov.br/anpd Email: comunicacao@anpd.gov.br

    EU/UK/CH (GDPR)

    Aplica-se a: Usuários residentes no Espaço Econômico Europeu (30 países), no Reino Unido e na Suíça. Lei aplicável: General Data Protection Regulation (GDPR — Regulation (EU) 2016/679), UK GDPR (UK Data Protection Act 2018), Swiss Federal Act on Data Protection (FADP/nDSG).

    Representante na UE (Art. 27 GDPR)

    Como a Swopli LTDA está estabelecida fora da UE, estamos em processo de nomeação de um representante na UE de acordo com o Art. 27 GDPR e um representante no Reino Unido de acordo com o UK GDPR Art. 27:

    Representante na UE/Reino Unido: Nomeação em andamento — os detalhes serão publicados aqui assim que finalizados. Entre em contato com dpo@swopli.com enquanto isso.

    O representante nomeado também atuará como nosso representante de acordo com o Art. 13 do Digital Services Act (DSA).

    Bases Legais (Art. 6 GDPR)

    Tratamos seus dados pessoais com base nas bases legais descritas na seção Linha de Base Global. Quando fundamentamos nosso tratamento em interesse legítimo (Art. 6(1)(f)), realizamos testes de ponderação (Avaliações de Interesse Legítimo) para garantir que nossos interesses não se sobreponham aos seus direitos e liberdades fundamentais. Você pode solicitar detalhes dessas avaliações entrando em contato com dpo@swopli.com.

    Quando fundamentamos nosso tratamento em consentimento (Art. 6(1)(a)), você pode retirar o consentimento a qualquer momento via Configurações > Privacidade e Dados ou /pt-BR/privacidade/preferencias. A retirada não afeta a legalidade do tratamento baseado em consentimento antes de sua retirada.

    Seus Direitos sob o GDPR (Art. 15-22)

    Além dos direitos na Linha de Base Global, usuários da UE/Reino Unido/Suíça possuem os seguintes direitos específicos:

    • Direito de Acesso (Art. 15): Obter confirmação do tratamento e uma cópia de seus dados, incluindo informações sobre finalidades, categorias, destinatários, períodos de retenção e garantias para transferências internacionais.
    • Direito à Retificação (Art. 16): Ter dados inexatos corrigidos e dados incompletos completados.
    • Direito ao Apagamento (Art. 17): Solicitar a eliminação de seus dados pessoais ("direito ao esquecimento"). A exclusão de conta via Configurações é permanente (exclusão definitiva em até 24 horas). Exceções: obrigações legais, defesa de reivindicações legais, interesse público.
    • Direito à Limitação do Tratamento (Art. 18): Restringir o tratamento quando você contesta a exatidão, o tratamento é ilegal, não precisamos mais dos dados ou você se opôs pendente de verificação.
    • Direito à Portabilidade de Dados (Art. 20): Receber seus dados em formato estruturado, de uso comum e legível por máquina (JSON em ZIP).
    • Direito de Oposição (Art. 21): Opor-se ao tratamento baseado em interesse legítimo. Cessaremos o tratamento a menos que demonstremos motivos legítimos imperiosos.
    • Direito de Não Ser Sujeito a Decisões Automatizadas (Art. 22): A Swopli não toma decisões baseadas exclusivamente em tratamento automatizado que produzam efeitos legais sobre você.

    Transferências Internacionais (Capítulo V)

    As transferências de dados pessoais para fora do EEE/Reino Unido/Suíça cumprem o Capítulo V do GDPR através dos seguintes mecanismos:

    • UE→Brasil (Supabase): Cláusulas Contratuais Padrão (SCCs) Módulo 2 (controlador-para-operador), adotadas pela Decisão da Comissão Europeia 2021/914, complementadas por Avaliação de Impacto de Transferência (TIA).
    • UE→EUA (Stripe): SCCs Módulo 2 + EU-U.S. Data Privacy Framework (DPF) quando aplicável.
    • UE→EUA (RevenueCat): SCCs Módulo 2 + UK IDTA (International Data Transfer Addendum). RevenueCat não é certificado pelo DPF.
    • UE→Reino Unido (Paddle): Decisão de adequação do Reino Unido (Commission Implementing Decision (EU) 2025/2574 de 19 de dezembro de 2025, alterando a Decision (EU) 2021/1772, válida até 2031-12-27). Subprocessadores Reino Unido→EUA cobertos por SCCs da UE com UK Approved Addendum.
    • UE→EUA/global (Sentry, Resend, Cloudflare): SCCs Módulo 2 (controlador-para-operador) + TIA para relações diretas de operador/processador da Swopli. Transferências subsequentes por subprocessadores são regidas pelo DPA do provedor e por SCCs aplicáveis ou salvaguardas equivalentes.
    • UE→UE (PostHog): Nenhuma transferência necessária — hospedado em Frankfurt.

    Você pode solicitar uma cópia das SCCs e TIAs aplicáveis entrando em contato com dpo@swopli.com.

    Consentimento para Cookies (Diretiva ePrivacy)

    Cookies não essenciais (analytics, marketing) requerem seu consentimento prévio de opt-in nas jurisdições da UE/EEE/Reino Unido/Suíça. Nosso banner de cookies é exibido na primeira visita e permite que você aceite todos, rejeite não essenciais ou personalize por categoria. Consulte nossa Política de Cookies para detalhes.

    Conformidade com o DSA

    A Swopli cumpre o Digital Services Act (Regulation (EU) 2022/2065) como serviço de hospedagem. Nossas práticas de moderação de conteúdo, procedimentos de aviso e ação e obrigações de transparência estão detalhadas em nossa Política de Moderação de Conteúdo e Remoção.

    Autoridades Supervisoras

    Você tem o direito de apresentar uma reclamação à autoridade supervisora do seu país de residência:

    United States

    Aplica-se a: Usuários residentes nos Estados Unidos. Lei aplicável: California Consumer Privacy Act (CCPA), conforme alterada pela California Privacy Rights Act (CPRA); Virginia Consumer Data Protection Act (VCDPA); Colorado Privacy Act (CPA); e outras leis estaduais de privacidade aplicáveis.

    A Swopli aplica a CCPA/CPRA como linha de base para todos os EUA, fornecendo a todos os usuários dos EUA proteções no nível da Califórnia, independentemente de seu estado de residência.

    Categorias de Informações Pessoais (Divulgação CCPA)

    De acordo com as seções 1798.100 e 1798.110 da CCPA, divulgamos as categorias de informações pessoais coletadas nos últimos 12 meses:

    Categoria CCPA Coletado Exemplos Finalidade Empresarial
    A. Identificadores Sim Nome, email, nome de usuário, endereço IP, ID do dispositivo, ID OAuth Operações de conta, comunicações
    B. Cal. Civ. Code 1798.80(e) Sim Nome, endereço (quando fornecido para envio) Serviços da plataforma, envio
    C. Classificações protegidas Sim Data de nascimento (somente verificação de idade) Verificação de elegibilidade
    D. Informações comerciais Sim Produtos listados, histórico de trocas, compras VIP/Boost Serviços da plataforma, analytics
    F. Atividade na internet Sim Histórico de navegação na Plataforma, interações, eventos de analytics Analytics, melhoria, prevenção de fraude
    G. Geolocalização Sim Aproximada (IP); precisa apenas com consentimento (raio de busca) Busca, prevenção de fraude
    K. Inferências Sim Categorias de interesse em produtos, padrões de engajamento Melhoria da plataforma

    Categorias E, H, I, J, L: Não coletadas.

    RevenueCat recebe Categoria A (identificadores) e Categoria D (dados de compra). Paddle recebe Categoria A, Categoria D e últimos 4 dígitos do cartão. Onde cookies de Marketing forem aceitos em páginas de checkout web, a atribuição Paddle/Meta pode receber identificadores de cookie, endereço IP, user agent e metadados de evento de checkout para atribuição. Essas atividades não introduzem categorias CCPA adicionais além das divulgadas acima.

    Escolhas de Venda e Compartilhamento

    A Swopli NÃO vende informações pessoais conforme definido pela seção 1798.140(ad) da CCPA. A Swopli não usa informações pessoais para publicidade comportamental entre contextos como parte da Plataforma principal.

    A atribuição opcional Paddle/Meta em páginas de checkout web pode ser tratada como "compartilhamento" sob a CPRA quando cookies de Marketing forem aceitos. Essa atribuição é desabilitada se você rejeitar cookies de Marketing, exercer a preferência Não Vender ou Compartilhar ou enviar um sinal Global Privacy Control válido. Um link Não Vender ou Compartilhar está disponível no rodapé do nosso site.

    Seus Direitos sob a CCPA/CPRA

    Todos os usuários dos EUA podem exercer estes direitos:

    • Direito de Saber (§1798.100): Solicitar divulgação das categorias e peças específicas de informações pessoais coletadas, fontes, finalidades e destinatários terceiros.
    • Direito de Eliminar (§1798.105): Solicitar eliminação de informações pessoais. Via Configurações > Privacidade e Dados > Eliminar Minha Conta, ou email dpo@swopli.com.
    • Direito de Corrigir (CPRA): Solicitar correção de informações pessoais inexatas. Via Configurações > Editar Perfil.
    • Direito de Recusar Venda/Compartilhamento (§1798.120): Não vendemos informações pessoais. Você pode recusar a atribuição opcional por cookie de Marketing que pode ser tratada como "compartilhamento" sob a CPRA.
    • Direito de Limitar IP Sensível (§1798.121): Coletamos apenas data de nascimento como IP sensível, usada exclusivamente para verificação de idade. Sem usos adicionais.
    • Direito à Não Discriminação (§1798.125): Não discriminaremos você por exercer qualquer direito da CCPA.

    Exercendo Seus Direitos

    Confirmaremos o recebimento em até 10 dias úteis e responderemos substancialmente em até 45 dias corridos (prorrogável por 45 dias com aviso). Verificamos sua identidade antes de atender às solicitações. Agentes autorizados devem fornecer autorização escrita assinada.

    Global Privacy Control (GPC)

    A Swopli honra o sinal de navegador Global Privacy Control (GPC) conforme exigido pelos regulamentos da CCPA. Quando um sinal GPC é detectado, o tratamos como uma solicitação válida de recusa de venda/compartilhamento.

    Autoridades Supervisoras

    Canada (PIPEDA)

    Aplica-se a: Usuários residentes no Canadá. Lei aplicável: Personal Information Protection and Electronic Documents Act (PIPEDA); Quebec Act Respecting the Protection of Personal Information in the Private Sector (Law 25).

    Princípios do PIPEDA

    A Swopli adere aos 10 princípios de informação justa do Schedule 1 do PIPEDA:

    1. Responsabilidade: A Swopli LTDA é responsável pelas informações pessoais sob seu controle. Nosso Encarregado de Proteção de Dados (dpo@swopli.com) supervisiona a conformidade.
    2. Identificação de Finalidades: Identificamos as finalidades da coleta no momento da coleta ou antes (veja Linha de Base Global — Finalidades e Bases Legais).
    3. Consentimento: Obtemos consentimento significativo para coleta, uso e divulgação. O consentimento pode ser expresso (criação de conta, analytics) ou implícito (operações necessárias da plataforma).
    4. Limitação da Coleta: Coletamos apenas informações necessárias para as finalidades identificadas.
    5. Limitação de Uso, Divulgação e Retenção: Informações pessoais são usadas e divulgadas apenas para as finalidades para as quais foram coletadas, e retidas apenas pelo tempo necessário.
    6. Exatidão: Tomamos medidas razoáveis para garantir que as informações pessoais sejam exatas, completas e atualizadas. Você pode corrigir suas informações via Configurações > Editar Perfil.
    7. Salvaguardas: Protegemos informações pessoais através de medidas de segurança proporcionais à sensibilidade dos dados (veja Linha de Base Global — Medidas de Segurança).
    8. Transparência: Esta Política de Privacidade detalha nossas políticas e práticas sobre gerenciamento de informações pessoais.
    9. Acesso Individual: Você pode solicitar acesso às suas informações pessoais e contestar sua exatidão (veja Linha de Base Global — Seus Direitos).
    10. Contestação de Conformidade: Você pode contestar nossa conformidade com estes princípios entrando em contato com dpo@swopli.com. Se não pudermos resolver sua preocupação, você pode apresentar uma reclamação ao Office of the Privacy Commissioner.

    Quebec Law 25

    Para usuários residentes em Quebec, aplicam-se as seguintes disposições adicionais:

    • Avaliação de Impacto de Privacidade (PIA): Realizamos PIAs para transferências transfronteiriças envolvendo informações pessoais de residentes de Quebec, conforme exigido pela Law 25.
    • Responsável pela Privacidade: Nosso DPO (dpo@swopli.com) atua como o responsável pela privacidade designado para conformidade com a Law 25 de Quebec.
    • Idioma Francês: Esta Política de Privacidade está disponível em Francês para usuários de Quebec.
    • Consentimento: É necessário consentimento expresso para coleta e uso de informações pessoais sensíveis, incluindo dados biométricos (a Swopli não coleta dados biométricos) e geolocalização precisa (somente opt-in).

    Transferências Transfronteiriças

    As transferências de informações pessoais para fora do Canadá são divulgadas na tabela de Subprocessadores (Linha de Base Global). Garantimos que todas as transferências cumpram o PIPEDA s. 5(3) e que as organizações receptoras forneçam níveis comparáveis de proteção.

    Autoridade de Controle

    Office of the Privacy Commissioner of Canada (OPC) Website: https://www.priv.gc.ca Ligação gratuita: 1-800-282-1376

    Commission d'accès à l'information du Québec (CAI) (para residentes de Quebec) Website: https://www.cai.gouv.qc.ca

    Latin America

    Aplica-se a: Usuários residentes no México, Argentina, Chile, Colômbia, Peru, Uruguai, Costa Rica, Guatemala, Honduras e Nicarágua.

    As leis de proteção de dados na América Latina geralmente seguem a estrutura de direitos ARCO (Acceso, Rectificación, Cancelación, Oposición). A Swopli respeita esses direitos para todos os usuários latino-americanos.

    Seus Direitos ARCO

    Direito Descrição Como Exercer
    Acceso (Acesso) Saber quais dados pessoais mantemos sobre você Configurações > Privacidade e Dados > Exportar Meus Dados
    Rectificación (Retificação) Corrigir dados inexatos ou incompletos Configurações > Editar Perfil
    Cancelación (Cancelamento/Eliminação) Solicitar eliminação de seus dados pessoais Configurações > Privacidade e Dados > Eliminar Minha Conta
    Oposición (Oposição) Opor-se ao tratamento de seus dados para finalidades específicas Email dpo@swopli.com

    Tempo de resposta: Até 20 dias úteis (varia por país).

    Observações Específicas por País

    México (LFPDPPP): O aviso de privacidade da Swopli (aviso de privacidad) é esta Política de Privacidade. Tratamos seus dados com base no consentimento obtido no registro. Você pode revogar o consentimento a qualquer momento entrando em contato com dpo@swopli.com. Transferências para terceiros são divulgadas na tabela de Subprocessadores.

    Argentina (Ley 25.326): Você tem o direito de acessar seus dados pessoais gratuitamente em intervalos de não menos de 6 meses (Art. 14). A Dirección Nacional de Protección de Datos Personales (DNPDP) é a autoridade supervisora: https://www.argentina.gob.ar/aaip/datospersonales

    Colômbia (Ley 1581 de 2012): Tratamos seus dados com base em sua autorização (autorización) obtida no registro. Você tem direitos de acesso, correção, eliminação e revogação de autorização. Superintendencia de Industria y Comercio (SIC): https://www.sic.gov.co

    Chile (Ley 19.628): Você tem direitos de acesso, retificação, cancelamento e oposição. O novo marco de proteção de dados fortalece esses direitos. Consejo para la Transparencia: https://www.consejotransparencia.cl

    Peru (Ley 29733): Seus dados pessoais são tratados com base em seu consentimento. Você pode exercer direitos ARCO entrando em contato com dpo@swopli.com. Autoridad Nacional de Protección de Datos Personales: https://www.gob.pe/anpd

    Uruguai (Ley 18.331): O Uruguai tem uma decisão de adequação da UE, fornecendo um alto nível de proteção de dados. Unidad Reguladora y de Control de Datos Personales (URCDP): https://www.gub.uy/unidad-reguladora-control-datos-personales

    Costa Rica, Guatemala, Honduras, Nicarágua: Aplicamos princípios GDPR-first como linha de base para países onde os marcos de proteção de dados ainda estão em desenvolvimento.

    Transferências Transfronteiriças

    Transferências internacionais de dados pessoais para usuários latino-americanos são cobertas pelos mecanismos descritos na tabela de Subprocessadores da Linha de Base Global. Garantimos que as transferências cumpram os requisitos locais aplicáveis, incluindo transferências baseadas em consentimento quando necessário.

    India (DPDPA)

    Aplica-se a: Usuários residentes na Índia. Lei aplicável: Digital Personal Data Protection Act, 2023 (DPDPA).

    Fiduciário de Dados

    A Swopli LTDA atua como Fiduciário de Dados sob o DPDPA com relação aos dados pessoais de usuários indianos.

    Consentimento como Base Primária

    Sob o DPDPA, o consentimento é a base legal primária para o tratamento de dados pessoais. Diferentemente do GDPR, o DPDPA não reconhece "interesse legítimo" como uma base legal independente.

    Obtemos seu consentimento para tratamento no momento do registro da conta. Seu consentimento cobre todas as finalidades listadas na seção Linha de Base Global, incluindo prevenção de fraude e segurança da plataforma. Seu consentimento é:

    • Livre: Não condicionado a serviços adicionais.
    • Informado: Esta Política de Privacidade serve como seu aviso (Section 5 DPDPA).
    • Específico: O consentimento é obtido para cada finalidade identificada.
    • Incondicional: Não vinculado a condições não relacionadas.

    Você pode retirar o consentimento a qualquer momento via Configurações > Privacidade e Dados ou enviando email para dpo@swopli.com. A retirada pode afetar sua capacidade de usar certos recursos da Plataforma.

    Seus Direitos sob o DPDPA

    Direito Descrição
    Direito de Acesso Obter um resumo de seus dados pessoais e atividades de tratamento (Section 11)
    Direito à Correção e Eliminação Solicitar correção de dados inexatos e eliminação de dados pessoais (Section 12)
    Direito à Reparação de Reclamações Submeter reclamações ao nosso Oficial de Reclamações (Section 13)
    Direito de Nomear Nomear outro indivíduo para exercer seus direitos em caso de morte ou incapacidade (Section 14)

    Oficial de Reclamações

    Oficial de Reclamações: dpo@swopli.com Tempo de resposta: Dentro de 72 horas do recebimento, com resolução dentro de 30 dias.

    Se você não estiver satisfeito com nossa resposta, pode apresentar uma reclamação ao Data Protection Board of India assim que constituído.

    Dados de Crianças

    Para usuários menores de 18 anos na Índia, o DPDPA exige consentimento parental verificável antes de tratar dados pessoais. Como a Swopli exige que todos os usuários tenham 18 anos ou mais, esta disposição é satisfeita por nossa barreira de idade.

    Transferências Transfronteiriças

    O DPDPA permite transferências transfronteiriças exceto para países especificamente restritos pelo Governo Central. Até a data desta Política, nenhuma restrição foi notificada. As transferências são divulgadas na tabela de Subprocessadores (Linha de Base Global).

    Restrição de Finalidade Empresarial

    Tratamos dados pessoais de usuários indianos apenas para as finalidades específicas divulgadas nesta Política de Privacidade. O tratamento além dessas finalidades requer novo consentimento.

    Asia-Pacific

    Aplica-se a: Usuários residentes na Indonésia, Malásia, Filipinas, Singapura, Tailândia, Vietnã, Japão, Coreia do Sul, Taiwan e Hong Kong.

    As leis de proteção de dados na região Ásia-Pacífico variam significativamente. Esta seção aborda os principais requisitos para cada jurisdição.

    Japão (APPI)

    O Act on the Protection of Personal Information (APPI) governa o tratamento de dados no Japão.

    • Divulgação de Transferência Estrangeira: Divulgamos que seus dados pessoais são transferidos para países listados na tabela de Subprocessadores (Linha de Base Global). O Japão tem uma decisão de adequação da UE, facilitando transferências.
    • Informações Sensíveis: A Swopli não coleta informações pessoais que requerem cuidados especiais (要配慮個人情報) conforme definido pelo APPI Art. 2(3). Se precisarmos coletar tais dados, obteremos seu consentimento prévio de opt-in.
    • Recusa de Fornecimento a Terceiros: Você pode recusar o fornecimento de dados a terceiros entrando em contato com dpo@swopli.com.
    • Personal Information Protection Commission (PPC): https://www.ppc.go.jp/en/

    Coreia do Sul (PIPA)

    O Personal Information Protection Act (PIPA) fornece direitos abrangentes de proteção de dados.

    • Consentimento: Obtemos seu consentimento para coleta, uso e transferência transfronteiriça no registro. O consentimento para transferências transfronteiriças divulga especificamente: os destinatários, os países, as finalidades e os tipos de dados transferidos.
    • Transferência Transfronteiriça: As transferências são divulgadas na tabela de Subprocessadores. Cumprimos o PIPA Art. 17 e Art. 28-2 sobre transferências ao exterior.
    • Direitos: Acesso, correção, eliminação e suspensão do tratamento. Via Configurações ou dpo@swopli.com.
    • Personal Information Protection Commission (PIPC): https://www.pipc.go.kr/eng/

    Singapura (PDPA)

    O Personal Data Protection Act 2012 (PDPA) governa o tratamento de dados em Singapura.

    • Encarregado de Proteção de Dados: dpo@swopli.com atua como nosso DPO designado para conformidade com o PDPA.
    • Consentimento: Coletamos e usamos dados pessoais com base em consentimento obtido no registro, ou consentimento presumido quando razoavelmente esperado (PDPA s. 15).
    • Transferência: Garantimos que os destinatários forneçam proteção comparável conforme exigido pelo PDPA s. 26.
    • Registro Não Ligar: A Swopli não realiza telemarketing.
    • Personal Data Protection Commission (PDPC): https://www.pdpc.gov.sg/

    Tailândia (PDPA)

    O Personal Data Protection Act B.E. 2562 (2019) está em vigor. Os regulamentos de implementação ainda estão sendo finalizados.

    • Status: MONITOR — Zero ações de execução contra plataformas estrangeiras até a data desta Política. Aplicamos princípios GDPR-first como linha de base.
    • Direitos: Acesso, correção, eliminação, restrição, portabilidade e oposição — todos disponíveis via Configurações ou dpo@swopli.com.
    • Office of the Personal Data Protection Committee (PDPC): https://www.pdpc.or.th/

    Vietnã (PDP Decree)

    O Decreto 13/2023/ND-CP sobre proteção de dados pessoais está em vigor.

    • Status: MONITOR — O portal de registro obrigatório para transferências transfronteiriças (MPS) ainda não foi lançado. Faremos o registro quando o portal se tornar operacional.
    • Consentimento: Obtemos consentimento para tratamento e transferências transfronteiriças no registro.
    • Avaliação de Impacto de Proteção de Dados (DPIA): Mantemos modelos de DPIA prontos para registro quando o portal MPS abrir.

    Indonésia (PDP Law)

    A Lei nº 27 de 2022 sobre Proteção de Dados Pessoais está em vigor. Regulamentos de implementação estão pendentes.

    • Status: MONITOR — Regulamentos de implementação ainda não emitidos. Aplicamos princípios GDPR-first.
    • Consentimento: Obtemos consentimento para tratamento no registro.
    • Direitos: Acesso, correção, eliminação e restrição.

    Malásia (PDPA 2010)

    • Consentimento: Obtido no registro. Cumprimos o Personal Data Protection Act 2010.
    • Direitos: Acesso, correção e retirada de consentimento.
    • Department of Personal Data Protection: https://www.pdp.gov.my/

    Filipinas (DPA 2012)

    • Consentimento: Obtido no registro. Cumprimos o Republic Act No. 10173.
    • Direitos: Acesso, correção, eliminação, oposição e portabilidade.
    • National Privacy Commission (NPC): https://www.privacy.gov.ph/

    Taiwan (PDPA)

    • Consentimento: Obtido no registro. Cumprimos o Personal Data Protection Act.
    • Direitos: Acesso, correção, eliminação e cessação do tratamento.

    Hong Kong (PDPO)

    • Consentimento: Cumprimos o Personal Data (Privacy) Ordinance (Cap. 486).
    • Princípios de Proteção de Dados: Nossas práticas estão alinhadas com os seis DPPs.
    • Office of the Privacy Commissioner for Personal Data: https://www.pcpd.org.hk/

    Rest of World

    Aplica-se a: Usuários residentes na Austrália, Nova Zelândia, África do Sul, Emirados Árabes Unidos, Bahrein, Egito, Israel, Jordânia, Kuwait, Omã, Catar, Líbano, Moldávia, Ucrânia, Azerbaijão e Paquistão.

    Para os países nesta seção, aplicamos princípios GDPR-first como linha de base mundial. Quando a lei local fornece direitos ou requisitos específicos adicionais, os abordamos abaixo.

    Austrália (Privacy Act 1988)

    Os Australian Privacy Principles (APPs) governam o tratamento de dados.

    • APP 1 (Transparência): Esta Política de Privacidade serve como nossa política de privacidade compatível com o APP.
    • APP 5 (Notificação): Notificamos você no momento da coleta ou antes sobre os assuntos exigidos pelo APP 5.
    • APP 8 (Divulgação Transfronteiriça): Divulgamos transferências ao exterior na tabela de Subprocessadores e tomamos medidas razoáveis para garantir que os destinatários cumpram os APPs.
    • APP 12 (Acesso): Você pode acessar suas informações pessoais via Configurações ou dpo@swopli.com.
    • APP 13 (Correção): Você pode corrigir suas informações pessoais via Configurações > Editar Perfil.
    • Office of the Australian Information Commissioner (OAIC): https://www.oaic.gov.au/

    Nova Zelândia (Privacy Act 2020)

    • Information Privacy Principles (IPPs): Nossas práticas cumprem os 13 IPPs.
    • Transferência Transfronteiriça: Garantimos que os transferidos estejam sujeitos a proteções de privacidade comparáveis.
    • Office of the Privacy Commissioner: https://www.privacy.org.nz/

    África do Sul (POPIA)

    O Protection of Personal Information Act 4 de 2013 (POPIA) está em vigor.

    • Responsible Party: A Swopli LTDA é a responsible party para o tratamento de informações pessoais.
    • Condições para Tratamento Lícito: Cumprimos as 8 condições do Capítulo 3 do POPIA.
    • Transferência Transfronteiriça: As transferências cumprem o POPIA s. 72 (proteção adequada ou consentimento ou necessidade contratual).
    • Direitos: Acesso, correção, eliminação, oposição. Via Configurações ou dpo@swopli.com.
    • Information Regulator: https://inforegulator.org.za/

    Oriente Médio (EAU, Bahrein, Egito, Israel, Jordânia, Kuwait, Omã, Catar, Líbano)

    Os marcos de proteção de dados na região do Oriente Médio estão evoluindo. Aplicamos princípios GDPR-first como linha de base e cumprimos requisitos específicos quando aplicável:

    • EAU (Federal Decree-Law No. 45 of 2021): Tratamos dados com base em consentimento e necessidade contratual. Data Protection Office: https://tdra.gov.ae/
    • Israel (Protection of Privacy Law 5741-1981): Israel tem uma decisão de adequação da UE. Cumprimos os requisitos da Israeli Privacy Protection Authority. https://www.gov.il/en/departments/the_privacy_protection_authority
    • Bahrein (PDPL 2018): Obtemos consentimento para tratamento e transferências transfronteiriças.
    • Egito: MONITOR — O Data Protection Center (DPC) ainda não se tornou operacional. Cumpriremos os requisitos operacionais quando o DPC for lançado.
    • Catar (Law No. 13 of 2016): Tratamos dados com base em consentimento e cumprimos os requisitos do National Data Privacy Office.

    Europa Oriental (Moldávia, Ucrânia, Azerbaijão)

    • Ucrânia (Law on Personal Data Protection No. 2297-VI): Tratamos dados com base em consentimento e cumprimos os requisitos de proteção de dados. Dada a situação atual, tomamos cuidado adicional com a segurança de dados para usuários ucranianos.
    • Moldávia: Aplicamos princípios de proteção de dados alinhados com a UE.
    • Azerbaijão: Aplicamos princípios GDPR-first como linha de base.

    Paquistão

    O marco de proteção de dados do Paquistão está em desenvolvimento. Aplicamos princípios GDPR-first e cumpriremos requisitos específicos quando a legislação for promulgada e aplicada.

    Contato Geral para Rest of World

    Para usuários em qualquer país Rest of World, exerça seus direitos de dados através de:

    Dúvidas sobre esta Política de Privacidade? Entre em contato com nosso Encarregado de Proteção de Dados em dpo@swopli.com ou escreva para: Swopli LTDA, Rua Alm Protogenes 289, Sala 122, Santo Andre/SP, CEP 09090-760, Brazil.

    Para detalhes sobre nossos cookies, consulte nossa Política de Cookies. Para detalhes sobre nossos subprocessadores, consulte nossa Lista de Subprocessadores. Para solicitações de titulares de dados, visite /pt-BR/privacidade/meus-dados.