Política de Privacidade
Última atualização: abril 2026
Em conformidade com o Regulamento (UE) 2016/679 (RGPD) e a Lei n.º 58/2019
1. Responsável pelo Tratamento de Dados
O responsável pelo tratamento dos dados pessoais recolhidos através da plataforma Ementas.pt é:
- Entidade: Elev.AI — João Lopes (ENI)
- NIF: 227210450
- Sede: Rua 64 341 2T, 4500-367, Espinho
- Contacto para proteção de dados: geral@elevai.pt
Nos termos do Art. 37.º do RGPD, não é obrigatória a designação de Encarregado de Proteção de Dados (EPD/DPO) para a nossa atividade. Para questões de privacidade, utilize o contacto acima.
2. Dados Pessoais Recolhidos
Recolhemos as seguintes categorias de dados pessoais:
2.1. Dados fornecidos pelo utilizador
- Nome e email (registo de conta)
- Nome do estabelecimento, cidade, tipo de estabelecimento
- Número de telefone (opcional)
- Password (armazenada de forma encriptada — hash bcrypt)
2.2. Dados de autenticação de terceiros
- Dados OAuth do Google (email, nome, foto de perfil) — quando o utilizador opta pelo login com Google
2.3. Dados de utilização
- Endereço IP e user-agent do navegador
- Páginas visitadas e ações na plataforma
- Dados de analytics dos menus públicos (visualizações, dispositivo, país)
2.4. Dados de conteúdo
- Menus, produtos, categorias, descrições, preços
- Fotografias carregadas pelo utilizador
2.5. Dados que NÃO recolhemos
- Dados de cartão de crédito ou débito (processados exclusivamente pelo Stripe)
- Dados sensíveis (origem racial, convicções políticas, dados de saúde, etc.)
3. Finalidades e Base Legal do Tratamento
Os seus dados são tratados para as seguintes finalidades:
| Finalidade | Base Legal (Art. 6.º RGPD) |
|---|---|
| Criação e gestão de conta | Execução contratual — Art. 6.º(1)(b) |
| Prestação do serviço (menus digitais) | Execução contratual — Art. 6.º(1)(b) |
| Processamento de pagamentos | Execução contratual — Art. 6.º(1)(b) |
| Envio de emails transacionais | Execução contratual — Art. 6.º(1)(b) |
| Analytics e melhoria do serviço | Interesse legítimo — Art. 6.º(1)(f) |
| Comunicações de marketing | Consentimento — Art. 6.º(1)(a) |
| Cumprimento de obrigações fiscais | Obrigação legal — Art. 6.º(1)(c) |
| Prevenção de fraude e segurança | Interesse legítimo — Art. 6.º(1)(f) |
4. Destinatários e Subcontratantes
Os seus dados podem ser partilhados com os seguintes subcontratantes, exclusivamente para prestação do serviço:
| Subcontratante | Função | Localização | Garantias |
|---|---|---|---|
| Supabase Inc. | Base de dados, autenticação | UE (Frankfurt) | DPA + CCT |
| Vercel Inc. | Alojamento web, CDN | EUA / UE | DPA + CCT + DPF |
| Stripe Inc. | Pagamentos | EUA / UE | DPA + CCT + DPF + PCI DSS |
| Resend Inc. | Email transacional | EUA | DPA + CCT |
Não vendemos, cedemos nem partilhamos dados pessoais com terceiros para fins de marketing.
Legenda: DPA = Data Processing Agreement; CCT = Cláusulas Contratuais-Tipo (Decisão UE 2021/914); DPF = EU-US Data Privacy Framework; PCI DSS = Payment Card Industry Data Security Standard.
5. Transferências Internacionais de Dados
Alguns dos nossos subcontratantes estão localizados nos Estados Unidos da América. Para garantir um nível de proteção adequado, estas transferências são realizadas ao abrigo de:
- Cláusulas Contratuais-Tipo (CCT) aprovadas pela Comissão Europeia (Decisão de Execução UE 2021/914)
- EU-US Data Privacy Framework (DPF), quando o subcontratante estiver certificado
Foi realizada uma avaliação de impacto das transferências (Transfer Impact Assessment) para verificar que os mecanismos de proteção garantem um nível de segurança essencialmente equivalente ao do RGPD.
6. Prazos de Conservação dos Dados
| Dados | Prazo | Justificação |
|---|---|---|
| Dados de conta ativa | Duração do contrato | Execução contratual |
| Dados após cancelamento | 30 dias, depois eliminados | Período de graça para reativação |
| Dados fiscais e de faturação | 10 anos | Obrigação legal (Código Fiscal) |
| Logs de segurança | 12 meses | Interesse legítimo |
| Dados de analytics | 26 meses | Interesse legítimo |
Findo o prazo de conservação aplicável, os dados são eliminados de forma segura e irreversível.
7. Direitos dos Titulares dos Dados
Nos termos dos artigos 15.º a 22.º do RGPD, o utilizador tem os seguintes direitos:
- Direito de acesso (Art. 15.º) — obter confirmação e cópia dos seus dados pessoais
- Direito de retificação (Art. 16.º) — corrigir dados inexatos ou incompletos
- Direito ao apagamento (Art. 17.º) — solicitar a eliminação dos seus dados (“direito ao esquecimento”)
- Direito à limitação do tratamento (Art. 18.º) — restringir o tratamento em determinadas circunstâncias
- Direito à portabilidade (Art. 20.º) — receber os seus dados num formato estruturado, de uso corrente e leitura automática
- Direito de oposição (Art. 21.º) — opor-se ao tratamento baseado em interesse legítimo
- Direito a não ser sujeito a decisões automatizadas (Art. 22.º) — não ser sujeito a decisões baseadas unicamente em tratamento automatizado
Para exercer qualquer destes direitos, envie email para geral@elevai.pt com o assunto “Proteção de Dados”. Responderemos no prazo máximo de 30 dias, prorrogável por mais 60 dias em casos de especial complexidade.
Poderemos solicitar prova de identidade antes de processar o pedido, para proteger os seus dados contra acessos não autorizados.
8. Direito de Reclamação
Sem prejuízo de qualquer outro recurso, o utilizador tem o direito de apresentar reclamação junto da autoridade de controlo competente:
CNPD — Comissão Nacional de Proteção de Dados
- Morada: Rua de São Bento, 148, 3.º, 1200-821 Lisboa
- Telefone: +351 213 928 400
- Email: geral@cnpd.pt
- Website: www.cnpd.pt
9. Cookies e Tecnologias Semelhantes
Nos termos da Lei n.º 41/2004, informamos sobre os cookies utilizados:
9.1. Cookies estritamente necessários
Essenciais para o funcionamento da plataforma. Não requerem consentimento.
| Cookie | Finalidade | Duração |
|---|---|---|
| sb-*-auth-token | Sessão de autenticação (Supabase) | 7 dias |
| __vercel_* | Proteção e roteamento (Vercel) | Sessão |
9.2. Cookies de terceiros
Não utilizamos cookies de rastreamento, publicidade ou redes sociais. Não utilizamos o Google Analytics nem ferramentas de tracking de terceiros.
10. Segurança dos Dados
Implementamos medidas técnicas e organizativas adequadas para proteger os seus dados, incluindo:
- Encriptação em trânsito (TLS/HTTPS em toda a plataforma)
- Encriptação em repouso (base de dados Supabase)
- Row Level Security (RLS) — isolamento de dados por utilizador
- Passwords armazenadas com hash seguro (bcrypt)
- Backups automáticos regulares
- Controlo de acesso baseado em funções
- Validação de entrada em todos os formulários
11. Violações de Dados Pessoais
Em caso de violação de dados pessoais que constitua risco para os direitos e liberdades dos titulares, notificaremos a CNPD no prazo de 72 horas após tomar conhecimento, nos termos do Art. 33.º do RGPD.
Se a violação for suscetível de resultar num risco elevado, serão também notificados diretamente os titulares afetados, sem demora injustificada (Art. 34.º do RGPD).
12. Dados de Menores
O Ementas.pt destina-se a profissionais de restauração com idade mínima de 18 anos. Não recolhemos intencionalmente dados de menores. Se tomarmos conhecimento de que foram recolhidos dados de um menor sem consentimento parental, procederemos à sua eliminação imediata.
13. Alterações a esta Política
Esta política pode ser atualizada periodicamente. Alterações significativas serão comunicadas por email e/ou aviso na plataforma com pelo menos 30 dias de antecedência. A data da última atualização é indicada no topo desta página.
Recomendamos a consulta periódica desta página para se manter informado sobre como protegemos os seus dados.
14. Contacto
Para questões sobre proteção de dados ou esta política:
- Email: geral@elevai.pt
- Formulário: ementas.pt/contactos
- Morada: Rua 64 341 2T, 4500-367, Espinho