Subprocessadores
Nesta página
1. Propósito
Este documento lista provedores de serviços terceirizados e subprocessadores que a Swopli LTDA (CNPJ 61.902.473/0001-79) usa para operar a Swopli. Alguns provedores atuam como operadores/processadores da Swopli sob DPA; outros atuam como merchant of record independente, loja de aplicativos ou provedores de infraestrutura/dados de referência auto-hospedados, conforme indicado abaixo.
Esta lista é mantida para transparência e para cumprir obrigações de proteção de dados sob:
- Lei Geral de Proteção de Dados (LGPD) do Brasil, Lei 13.709/2018
- Regulamento Geral de Proteção de Dados (GDPR) da UE, Regulamento 2016/679
- Outras leis de proteção de dados aplicáveis nos países onde a Swopli disponibiliza serviços ou recursos conforme a Disponibilidade de Recursos
Para detalhes completos sobre como o Swopli processa dados pessoais, veja nossa Política de Privacidade.
2. Notificação de Atualizações
O Swopli fornecerá aviso prévio de 30 dias de quaisquer alterações a esta lista de subprocessadores, incluindo:
- Adição de um novo subprocessador
- Remoção de um subprocessador existente
- Alterações materiais ao papel de um subprocessador ou atividades de processamento de dados
A notificação será enviada por email para o endereço associado à sua conta Swopli. Você também pode se inscrever para atualizações visitando swopli.com/pt-BR/juridico/subprocessadores.
Se você se opuser à adição de um novo subprocessador, você pode encerrar sua conta dentro do período de notificação de 30 dias. Para detalhes sobre encerramento de conta, veja nossos Termos de Serviço.
3. Subprocessadores Atuais
A tabela a seguir lista todos os provedores atuais, a finalidade para a qual processam ou apoiam dados, os tipos de dados envolvidos, sua localização e links para seus acordos de processamento de dados (DPAs), políticas de privacidade ou materiais de referência aplicáveis.
| Subprocessador | Propósito | Dados Processados | Localização | Link do DPA |
|---|---|---|---|---|
| Supabase, Inc. | Banco de dados, autenticação, armazenamento | Dados de conta, anúncios de produtos, mensagens, registros de trocas, imagens | Brasil (AWS sa-east-1) para armazenamento primário; Supabase, Inc. é sediada nos EUA | supabase.com/legal/dpa |
| Stripe, Inc. / Stripe Payments Brasil Serviços Financeiros Ltda. | Checkout da Troca Segura, depósitos reembolsáveis, reembolsos, transferências, KYC Connect e suporte de pagamento onde aplicável | Métodos de pagamento, dados de transação, endereço de cobrança, dados de conta bancária, identificação fiscal quando exigida, endereço de envio | Brasil / Estados Unidos, dependendo do fluxo | stripe.com/legal/dpa |
| RevenueCat, Inc. | Orquestração de assinaturas multiplataforma (iOS/Android/Web via sincronização Paddle), Customer Center, gerenciamento de direito VIP | Recibos de compra, status de assinatura, ID de usuário, informações do dispositivo | Estados Unidos | revenuecat.com/dpa |
| Paddle.com Market Limited | Merchant of Record para checkout web (VIP/Boost), coleta de impostos globais, conversão automática de moeda | Métodos de pagamento, dados de transação, endereço de cobrança, email, endereço IP | Reino Unido, Estados Unidos | paddle.com/legal/dpa |
| Apple Inc. | Compras no aplicativo (iOS) | Recibos de compra, Apple ID (com hash), informações do dispositivo | Estados Unidos | apple.com/legal/privacy (Apple atua como merchant of record) |
| Google LLC | Compras no aplicativo (Android) | Recibos de compra, informações da conta Google, informações do dispositivo | Estados Unidos | policies.google.com/privacy (Google atua como merchant of record) |
| Resend, Inc. | Entrega de email transacional | Endereço de email, nome, conteúdo de email (confirmações de conta, notificações de troca, respostas de suporte) | Estados Unidos (AWS us-east-1) | resend.com/legal/dpa |
| Cloudflare, Inc. | CDN, proteção DDoS, edge computing | Endereço IP, user agent, metadados de requisição (logs por 24 horas) | Estados Unidos (com rede edge global) | cloudflare.com/cloudflare-customer-dpa |
| Sentry (Functional Software, Inc.) | Monitoramento de erros, relatórios de falhas | Logs de erro, stack traces, informações do dispositivo, ID de usuário, endereço IP | Estados Unidos | sentry.io/legal/dpa |
| PostHog, Inc. | Análise de produtos (opt-in para UE/EEE/UK/CH) | Dados de eventos, ID de usuário, informações do dispositivo, uso de recursos, comportamento anonimizado | União Europeia (PostHog Cloud EU) | posthog.com/docs/privacy/dpa |
| Nominatim (geocodificação OpenStreetMap auto-hospedada) | Geocodificação reversa para exibição de localização | Coordenadas, consultas de busca de localização | União Europeia (auto-hospedado) | Sem transferência a terceiro pelo Nominatim; hospedagem coberta pelos provedores de infraestrutura listados acima |
| OpenAI OpCo, LLC / OpenAI Ireland Ltd. | API de moderação para revisão automatizada de confiança e segurança antes da publicação | Anúncios de produtos, mensagens, texto de perfil onde moderado, metadados de moderação | Estados Unidos / Irlanda (quando aplicável) | openai.com/policies/data-processing-addendum |
| Melhor Envio | Geração de etiquetas de envio, rastreamento, logística reversa (somente Brasil) | Códigos de rastreamento, endereços de remetente/destinatário, dimensões de pacotes, status de envio | Brasil | melhorenvio.com.br/termos-de-uso |
Nota de atribuição Paddle/Meta: A Paddle pode carregar atribuição Meta/Facebook em páginas de checkout web bloqueadas por consentimento, conforme descrito na Política de Cookies. A Swopli trata isso como atribuição opcional de Marketing e respeita consentimento, GPC e opt-outs de Não Vender ou Compartilhar. Isso não faz parte do tratamento principal da Plataforma necessário para usar a Swopli.
4. Mecanismos de Transferência
4.1 Transferências Internacionais de Dados
Alguns subprocessadores estão localizados fora do Espaço Econômico Europeu (EEE), Brasil ou seu país de residência. O Swopli garante que todas as transferências internacionais de dados sejam protegidas por salvaguardas apropriadas, incluindo:
- Cláusulas Contratuais Padrão (SCCs) da UE: Para transferências da UE/EEE para países sem decisão de adequação (por exemplo, Estados Unidos, Brasil), o Swopli e o subprocessador executam as Cláusulas Contratuais Padrão da Comissão Europeia (Módulos 2 e 3 conforme aplicável).
- Avaliação de Impacto de Transferência (TIA): O Swopli conduziu uma Avaliação de Impacto de Transferência para todas as transferências de alto risco para garantir que as SCCs forneçam proteção efetiva na prática.
- SCCs do Brasil (LGPD): Para transferências envolvendo dados de usuários brasileiros, o Swopli usa as Cláusulas Contratuais Padrão compatíveis com LGPD ou se baseia no consentimento explícito do usuário onde exigido pelo Artigo 33 da LGPD.
- Adendo de Processamento de Dados (DPA): Todos os subprocessadores executaram DPAs que incorporam as SCCs aplicáveis e exigem que o subprocessador implemente medidas técnicas e organizacionais apropriadas para proteger dados pessoais.
4.2 Sub-subprocessadores
Alguns subprocessadores listados acima podem contratar seus próprios subprocessadores (por exemplo, provedores de infraestrutura em nuvem). Onde isso ocorre:
- O subprocessador primário permanece totalmente responsável perante o Swopli pela conformidade do sub-subprocessador.
- Relacionamentos de sub-subprocessadores são regidos pelo DPA e política de privacidade do subprocessador primário (linkados na tabela acima).
- O Swopli audita subprocessadores primários para garantir que eles repassem obrigações equivalentes de proteção de dados aos sub-subprocessadores.
4.3 Residência de Dados
- Brasil: Dados de usuários para residentes brasileiros são armazenados no AWS sa-east-1 (São Paulo) via Supabase, em conformidade com as melhores práticas de residência de dados da LGPD.
- UE/EEE: Dados do PostHog são armazenados na UE via PostHog Cloud EU. Outros subprocessadores podem armazenar dados nos Estados Unidos ou globalmente, sujeitos às SCCs.
- Resto do Mundo: A localização de armazenamento de dados varia por subprocessador. Veja a coluna "Localização" acima.
5. Seus Direitos
Sob leis de proteção de dados aplicáveis, você tem o direito de:
- Acessar os dados pessoais que mantemos sobre você
- Corrigir dados imprecisos ou incompletos
- Excluir seus dados (sujeito a obrigações legais de retenção)
- Objetar ao processamento baseado em interesses legítimos
- Restringir o processamento em certas circunstâncias
- Portabilidade de dados (receber seus dados em formato estruturado e legível por máquina)
Para exercer esses direitos, visite swopli.com/pt-BR/privacidade/meus-dados ou envie email para dpo@swopli.com.
Para detalhes completos sobre seus direitos e como o Swopli processa dados pessoais, veja nossa Política de Privacidade.
6. Dúvidas
Se você tiver dúvidas sobre esta lista de subprocessadores, transferências de dados ou nossas práticas de proteção de dados:
- Encarregado de Proteção de Dados (DPO): dpo@swopli.com
- Consultas gerais: help@swopli.com
- Consultas jurídicas: legal@swopli.com
Para usuários da UE/EEE, você também pode contatar nosso representante GDPR (Artigo 27):
- Representante na UE: Nomeação em andamento — contate dpo@swopli.com no ínterim