Política de Privacidade
Última atualização: 10 de maio de 2026
Conforme RGPD (Reg. UE 2016/679) e Lei n.º 58/2019
1. Responsável
Elev.AI — João Lopes (ENI) · NIF 227210450 · Rua 64 341 2T, 4500-367 Espinho
Proteção de dados: geral@elevai.pt
Não é obrigatória a designação de EPD (Art. 37.º RGPD).
2. Dados Recolhidos
Fornecidos: nome, email, password (hash bcrypt), nome/morada/tipo do estabelecimento, telefone (opcional), NIF (se faturação fiscal).
Autenticação Google (opcional): email, nome, foto de perfil OAuth.
Utilização: IP, user-agent, páginas visitadas, ações na plataforma, estatísticas dos menus públicos (visualizações, dispositivo, país).
Métricas agregadas (Vercel Web Analytics + Speed Insights): sem cookies, sem identificadores persistentes — distinção de visitantes por hash criptográfico não-reversível de IP+user-agent com salt rotativo diário. Não abrangidas pelo dever de consentimento (Art. 5.º(3) Diretiva 2002/58/CE).
Conteúdo: menus, produtos, fotografias e logótipos carregados. O utilizador garante deter direitos sobre o conteúdo e que não inclui dados pessoais de terceiros sem base legal.
Funcionalidades opcionais com IA (OpenAI): ao usar “Criar menu a partir de fotografias” ou “Traduzir menu com IA” (Business), os dados necessários (imagens ou texto da ementa) são transmitidos à OpenAI L.L.C. exclusivamente para essa execução. A OpenAI API aplica política de não-treino por defeito e retém os dados por até 30 dias para deteção de abuso, eliminando-os depois. As imagens não são retidas pela Ementas.pt após análise — apenas o texto extraído fica no menu criado pelo utilizador.
Não recolhemos: dados de cartão (apenas Stripe), dados sensíveis (Art. 9.º RGPD).
3. Finalidades e Base Legal
| Finalidade | Base legal (Art. 6.º RGPD) |
|---|---|
| Conta, prestação do serviço, pagamentos, emails transacionais | Execução contratual — al. b) |
| Estatísticas, segurança, prevenção de fraude, melhoria do serviço | Interesse legítimo — al. f) |
| Marketing | Consentimento — al. a) |
| Obrigações fiscais | Obrigação legal — al. c) |
4. Subcontratantes
| Subcontratante | Função | Localização | Garantias |
|---|---|---|---|
| Supabase Inc. | BD e autenticação | UE (Frankfurt) | DPA + CCT |
| Vercel Inc. | Hosting, CDN, analytics (sem cookies) | EUA / UE | DPA + CCT + DPF |
| Stripe Inc. | Pagamentos | EUA / UE | DPA + CCT + DPF + PCI DSS |
| Resend Inc. | Email transacional | EUA | DPA + CCT |
| Google LLC | OAuth opcional | EUA / UE | CCT + DPF |
| OpenAI L.L.C. | IA opcional (parse fotos + tradução) | EUA | CCT — sem treino de modelos |
DPA = Data Processing Agreement; CCT = Cláusulas Contratuais-Tipo (Dec. UE 2021/914); DPF = EU-US Data Privacy Framework; PCI DSS = Payment Card Industry Data Security Standard.
Não vendemos nem cedemos dados pessoais a terceiros para marketing.
5. Transferências Internacionais
Algumas operações implicam transferência para fora do EEE (EUA). Realizadas ao abrigo de CCT (Decisão UE 2021/914) e/ou DPF quando o subcontratante esteja certificado. Cópia das CCT mediante pedido a geral@elevai.pt.
6. Prazos de Conservação
| Dados | Prazo |
|---|---|
| Conta ativa | Duração do contrato |
| Após cancelamento | 30 dias (graça para reativação) |
| Faturação e fiscais | 10 anos (Art. 130.º CIRC; Art. 52.º CIVA) |
| Logs de segurança | 12 meses |
| Estatísticas plataforma | 26 meses |
| Vercel Analytics / Speed Insights | Conforme retenção da Vercel |
Findo o prazo, dados eliminados de forma segura e irreversível.
7. Direitos do Titular (Art. 15.º–22.º RGPD)
- Acesso (15.º): cópia dos dados.
- Retificação (16.º): correção.
- Apagamento (17.º): eliminação (“esquecimento”).
- Limitação (18.º).
- Portabilidade (20.º): formato estruturado. Utilizadores ativos podem exportar menus, produtos e categorias diretamente no painel.
- Oposição (21.º): a tratamentos baseados em interesse legítimo (inclui analytics).
- Não sujeição a decisões automatizadas (22.º).
Pedidos: geral@elevai.pt, assunto “Proteção de Dados”. Resposta em 30 dias (prorrogável por mais 60 em casos complexos). Podemos pedir prova de identidade.
8. Reclamação à Autoridade
CNPD — Comissão Nacional de Proteção de Dados
- Rua de São Bento, 148, 3.º · 1200-821 Lisboa
- Telefone: +351 213 928 400
- Email: geral@cnpd.pt
- Website: www.cnpd.pt
9. Cookies
Estritamente necessários (sem necessidade de consentimento):
| Cookie | Finalidade | Duração |
|---|---|---|
| sb-*-auth-token | Sessão Supabase | 7 dias |
Não utilizamos cookies de tracking, publicidade ou redes sociais. Sem Google Analytics, Meta Pixel ou equivalentes.
Vercel Analytics e Speed Insights — sem cookies nem identificadores persistentes (ver sec. 2). Base legal: interesse legítimo. O utilizador pode opor-se ao abrigo do Art. 21.º RGPD.
10. Segurança
TLS em trânsito; encriptação em repouso (Supabase); Row Level Security; passwords com hash bcrypt; backups; controlo de acessos; validação de input.
11. Violações de Dados
Notificação à CNPD em 72h (Art. 33.º RGPD) e aos titulares afetados em caso de risco elevado (Art. 34.º).
12. Menores
Serviço destinado a profissionais ≥18 anos. Não recolhemos dados de menores intencionalmente; em caso de conhecimento, eliminamos.
13. Alterações
Alterações comunicadas com 30 dias de antecedência por email/aviso na plataforma. Data da revisão indicada no topo.
14. Contacto
- Email: geral@elevai.pt
- Formulário: /contactos
- Morada: Rua 64 341 2T, 4500-367 Espinho