Política de privacidade

A Papa Grupos, Lda. (em constituição), com sede em Lisboa, é a entidade responsável pelo tratamento de dados pessoais recolhidos através da plataforma. Pode contactar a equipa de protecção de dados em privacidade@grupomesa.pt.

Recolhemos apenas o mínimo necessário para o funcionamento do serviço:

• Identificação e contacto: nome, email, telemóvel (opcional).
• Reservas: data, hora, restaurante, número de convidados, restrições alimentares, mensagens trocadas com o restaurante.
• Pagamento: processado pela Stripe. Não armazenamos números completos de cartão; apenas os últimos quatro dígitos para conciliação.
• Convidados: nome e email facultados pelo organizador, exclusivamente para envio do convite e confirmação de presença.
• Técnicos: endereço IP, tipo de navegador, páginas visitadas — para segurança e estatística agregada.

• Execução do contrato: criar a conta, processar a reserva, enviar convites, emitir comprovativo de pagamento.
• Obrigação legal: conservação de registos fiscais e de facturação nos termos da legislação portuguesa.
• Interesse legítimo: melhoria do serviço, detecção de fraude, segurança informática.
• Consentimento: envio de comunicações de marketing (apenas se explicitamente subscritas — sempre revogável).

Cada tratamento de dados tem fundamento numa das bases legais previstas no Regulamento Geral sobre a Protecção de Dados (UE) 2016/679: execução de contrato para as reservas e a conta; obrigação legal para a facturação; interesse legítimo para a segurança e melhoria do serviço; consentimento explícito para marketing.

Partilhamos dados apenas com subcontratantes essenciais ao funcionamento do serviço, sempre sujeitos a acordo de tratamento de dados (DPA) nos termos do art. 28.º do RGPD:

• Supabase (infraestrutura de base de dados e autenticação, UE)
• Stripe Payments Europe, Ltd. (processamento de pagamentos)
• Resend (envio de emails transaccionais)
• Cloudflare (CDN, DDoS protection, edge runtime)
• Restaurantes parceiros recebem apenas os dados estritamente necessários para honrar a reserva (nome do organizador, número de convidados, restrições alimentares relevantes).

Não vendemos nem cedemos dados pessoais a terceiros para fins de marketing.

Sempre que algum subcontratante implique transferência de dados fora do Espaço Económico Europeu, garantimos a utilização das Cláusulas Contratuais Tipo da Comissão Europeia ou mecanismo equivalente nos termos do art. 46.º do RGPD.

• Conta activa: enquanto o utilizador mantiver a conta no Papa Grupos.
• Reservas e facturas: 10 anos (obrigação legal de conservação fiscal).
• Marketing: até retirada do consentimento.
• Logs técnicos: 90 dias.

Nos termos do RGPD, o titular dos dados tem direito a:

• Acesso aos dados pessoais que tratamos a seu respeito.
• Rectificação de dados incorrectos ou desactualizados.
• Apagamento ("direito ao esquecimento"), salvaguardando obrigações legais.
• Limitação do tratamento em casos específicos previstos na lei.
• Portabilidade dos dados num formato estruturado.
• Oposição ao tratamento por interesse legítimo ou marketing.
• Retirar consentimento a qualquer momento, sem afectar a licitude do tratamento anterior.

Pode exercer estes direitos enviando email para privacidade@grupomesa.pt. Responderemos em prazo máximo de 30 dias.

Tem ainda o direito de apresentar reclamação à autoridade de controlo nacional — Comissão Nacional de Protecção de Dados (CNPD), cnpd.pt.

Utilizamos cookies estritamente necessários ao funcionamento (sessão, preferências de idioma) e cookies analíticos agregados para perceber padrões de uso. Não utilizamos cookies de publicidade comportamental de terceiros.

Pode controlar cookies através das definições do navegador. Bloquear cookies estritamente necessários poderá impedir o funcionamento de partes do serviço.

Aplicamos medidas técnicas e organizativas adequadas para proteger os dados pessoais — encriptação em trânsito (TLS 1.3) e em repouso, controlo de acesso por privilégio mínimo, auditoria de logs, e backup diário. Em caso de violação de dados pessoais que possa resultar em risco para os titulares, notificamos a CNPD e os afectados nos prazos legais.

O serviço destina-se a maiores de 18 anos. Não recolhemos intencionalmente dados de menores. Se tomarmos conhecimento de que recolhemos dados de um menor sem consentimento parental, apagaremos a informação de imediato.

Esta política pode ser actualizada para reflectir mudanças legais ou operacionais. Alterações materiais serão notificadas por email aos utilizadores registados com pelo menos 30 dias de antecedência.