Swop

Privacy Policy

Ultimo aggiornamento: 22 aprile 2026

La presente informativa descrive le modalità di trattamento dei dati personali degli utenti che interagiscono con il sito swop.it, con l'applicazione mobile Swop e con i relativi servizi (di seguito, "Servizi"), ai sensi del Regolamento (UE) 2016/679 ("GDPR") e del D.Lgs. 196/2003 e s.m.i. ("Codice Privacy").

1. Titolare del trattamento

Titolare del trattamento è Matteo Giuditta, con sede in [INDIRIZZO COMPLETO], [CAP] Trezzano sul Naviglio (MI), Italia — Codice Fiscale [CODICE FISCALE] — P.IVA [P.IVA, se applicabile].
Email di contatto per questioni privacy: info@swop.it.

Non è stato nominato un Data Protection Officer (DPO), in quanto non ricorrono i presupposti dell'art. 37 GDPR.

2. Dati personali trattati

Il Titolare tratta le seguenti categorie di dati personali:

  • Dati di contatto forniti tramite waitlist: indirizzo email, eventuale nome, nome del brand/negozio, URL e-commerce e altre informazioni spontaneamente comunicate tramite i moduli presenti sul sito.
  • Dati di account (consumer e merchant): email, password (cifrata), nome, eventuale numero di telefono, preferenze, dati di profilo.
  • Dati di acquisto e pagamento (solo app consumer): indirizzo di spedizione e fatturazione, storico ordini. I dati della carta di pagamento non sono trattati né conservati dal Titolare ma sono gestiti direttamente da Stripe (vedi §5).
  • Dati merchant: ragione sociale, P.IVA, sede legale, IBAN per i payout (gestito da Stripe Connect), dati del legale rappresentante richiesti dalla normativa antiriciclaggio (KYC).
  • Dati di navigazione: indirizzo IP, tipo di browser, pagine visitate, timestamp. Tali dati sono raccolti dai log tecnici dei server per finalità di sicurezza e diagnostica.
  • Comunicazioni: contenuto delle email e dei messaggi che l'utente invia al Titolare.

3. Finalità e basi giuridiche del trattamento

FinalitàBase giuridica (GDPR)
Gestione dell'iscrizione alla waitlist e invio di comunicazioni relative al lancio dei ServiziConsenso — art. 6(1)(a)
Creazione e gestione dell'account, erogazione dei Servizi, esecuzione degli acquisti e dei contratti merchantEsecuzione di un contratto — art. 6(1)(b)
Adempimento di obblighi di legge (es. fiscali, antiriciclaggio, contabili)Obbligo legale — art. 6(1)(c)
Prevenzione frodi, sicurezza della piattaforma, verifica KYC dei merchantLegittimo interesse — art. 6(1)(f)
Assistenza clienti e gestione reclamiEsecuzione di un contratto / Legittimo interesse
Invio di newsletter e comunicazioni di marketingConsenso — art. 6(1)(a), revocabile in qualsiasi momento

4. Natura del conferimento

Il conferimento dei dati per le finalità di esecuzione del contratto e adempimento di obblighi di legge è obbligatorio: in assenza, il Titolare non potrà erogare i Servizi. Il conferimento per finalità di marketing è facoltativo e l'eventuale rifiuto non pregiudica l'accesso ai Servizi.

5. Destinatari dei dati (Responsabili del trattamento)

I dati possono essere comunicati ai seguenti soggetti terzi, nominati Responsabili del trattamento ex art. 28 GDPR o titolari autonomi laddove previsto dalla legge:

  • Stripe Payments Europe, Ltd. (Irlanda) — servizi di pagamento, Stripe Connect per l'accredito dei fondi ai merchant, verifica KYC. Titolare autonomo per quanto riguarda gli obblighi antiriciclaggio.
  • Resend Inc. (USA) — invio di email transazionali e di sistema.
  • Fornitori di hosting e infrastruttura cloud (es. Vercel Inc., USA) — hosting del sito e dell'app.
  • Consulenti, commercialisti e professionisti legali — per adempimenti contabili, fiscali e legali.
  • Autorità pubbliche — quando richiesto dalla legge o da provvedimenti delle autorità competenti.

I dati non sono diffusi e non vengono ceduti a terzi per finalità di marketing senza consenso esplicito.

6. Trasferimento dei dati extra-UE

Alcuni fornitori (es. Resend, Vercel) possono trattare dati su server situati negli Stati Uniti. In tali casi il trasferimento avviene sulla base di:

  • Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea;
  • Adesione al EU–US Data Privacy Framework, laddove applicabile;
  • Misure tecniche e organizzative aggiuntive (cifratura, minimizzazione).

7. Periodo di conservazione

  • Dati waitlist: fino alla revoca del consenso o, in ogni caso, non oltre 24 mesi dall'iscrizione in caso di inattività.
  • Dati di account: per tutta la durata del rapporto contrattuale e per i 12 mesi successivi alla chiusura dell'account, salvi gli obblighi di legge.
  • Dati di acquisto e fatturazione: 10 anni (art. 2220 c.c. e normativa fiscale).
  • Dati merchant / KYC: 10 anni dalla cessazione del rapporto (normativa AML).
  • Log di navigazione: 6 mesi per finalità di sicurezza e diagnostica.
  • Comunicazioni di assistenza: 24 mesi dalla chiusura della richiesta.

8. Diritti dell'interessato

In ogni momento l'utente può esercitare i diritti previsti dagli artt. 15–22 GDPR, tra cui:

  • Accesso ai propri dati personali;
  • Rettifica di dati inesatti o incompleti;
  • Cancellazione ("diritto all'oblio"), nei limiti di legge;
  • Limitazione del trattamento;
  • Portabilità dei dati in formato strutturato e leggibile;
  • Opposizione al trattamento basato sul legittimo interesse;
  • Revoca del consenso, senza pregiudicare la liceità dei trattamenti precedenti.

Per esercitare tali diritti è sufficiente scrivere a info@swop.it. La richiesta sarà evasa entro 30 giorni.

È inoltre sempre possibile presentare reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it) o all'autorità di controllo dello Stato UE di residenza.

9. Minori

I Servizi sono riservati a utenti di età pari o superiore a 14 anni. Per gli utenti di età compresa tra 14 e 17 anni, l'iscrizione richiede l'assenso di un genitore o tutore legale ai sensi dell'art. 2-quinquies del Codice Privacy. Il Titolare non raccoglie consapevolmente dati di minori di 14 anni. In caso di segnalazione, tali dati saranno prontamente cancellati.

10. Cookie e tecnologie simili

Attualmente il sito utilizza esclusivamente cookie tecnici e di sessione necessari al funzionamento delle pagine e dei moduli (es. protezione CSRF, preferenze di interfaccia). Tali cookie non richiedono consenso ai sensi del provvedimento del Garante Privacy del 10 giugno 2021.

Non vengono utilizzati, alla data di ultimo aggiornamento, cookie di profilazione, di analisi o di terze parti a fini di marketing. Qualora in futuro il Titolare attivi strumenti di analytics o tracciamento, la presente informativa verrà aggiornata e verrà implementato un idoneo cookie banner di raccolta del consenso.

11. Sicurezza

Il Titolare adotta misure tecniche e organizzative adeguate a proteggere i dati personali contro accessi non autorizzati, perdita, distruzione o divulgazione, ivi inclusi: cifratura in transito (TLS), cifratura a riposo per i dati sensibili, controllo accessi basato su ruoli, backup periodici, logging delle operazioni.

12. Processi decisionali automatizzati

Il Titolare non effettua processi decisionali interamente automatizzati, inclusa la profilazione, che producano effetti giuridici sull'interessato ai sensi dell'art. 22 GDPR.

13. Modifiche all'informativa

Il Titolare si riserva il diritto di aggiornare la presente informativa. Eventuali modifiche sostanziali saranno comunicate tramite email o tramite avviso in-app con ragionevole preavviso. La data di "ultimo aggiornamento" in testa al documento indica la versione vigente.