Política de Privacidade

Para facilitar a leitura desta política, adotamos as seguintes definições:

• "Dados Pessoais": Qualquer informação relativa a uma pessoa singular identificada ou identificável ("Titular dos Dados").
• "Titular dos Dados": Qualquer utilizador que aceda ao nosso website, qualquer cliente/parceiro profissional (gestor de restaurante) que contrate o nosso SaaS, ou qualquer cliente final (comensal) que realize uma reserva através do nosso sistema.
• "Responsável pelo Tratamento": A entidade que determina as finalidades e os meios de tratamento dos dados pessoais.
• "Subcontratante": A entidade que trata os dados pessoais em nome e por conta do Responsável pelo Tratamento.

Devido à natureza do nosso serviço SaaS B2B2C, o dinr.pt atua sob duas figuras jurídicas distintas, dependendo da categoria do titular dos dados:

A. O Dinr como Responsável pelo Tratamento (Data Controller)

Atuamos como Responsável pelo Tratamento no que diz respeito aos dados de:

• Visitantes do nosso website principal (dinr.pt).
• Clientes profissionais (proprietários, gerentes e diretores de F&B) que criam uma conta, iniciam um período de testes ou subscrevem um dos planos do nosso software SaaS.

B. O Dinr como Subcontratante (Data Processor)

Atuamos estritamente como Subcontratante no que diz respeito aos dados de:

• Clientes finais (comensais) que utilizam o nosso widget ou página de reservas (dinr.pt/[slug-do-restaurante]) para reservar mesa num restaurante parceiro.

Neste cenário específico, o restaurante parceiro é o único Responsável pelo Tratamento (Data Controller). O dinr.pt limita-se a fornecer a infraestrutura técnica e a tratar os dados de acordo com as instruções documentadas do restaurante, através de um Acordo de Processamento de Dados (DPA - Data Processing Agreement) assinado entre as partes. Os comensais deverão consultar a política de privacidade do respetivo restaurante para compreender como os seus dados são geridos pelo mesmo.

Se é um utilizador do website ou um cliente profissional do nosso SaaS, o responsável pelo tratamento dos seus dados é:

• Denominação Social (Placeholder): [Nome da sua Empresa, Lda. ou Unipessoal, Lda.]
• Marca Comercial: dinr.pt
• NIPC / NIF (Placeholder): [500000000]
• Sede Social (Placeholder): [Morada Completa, Portugal]
• E-mail de Contacto: suporte@dinr.pt / privacidade@dinr.pt

A recolha de dados pessoais é limitada ao estritamente necessário para cada finalidade. Apresentamos abaixo o mapeamento detalhado de acordo com a base jurídica do RGPD:

A. Visitantes do Website e Pedidos de Contacto/Demonstração

• Dados Recolhidos: Nome, endereço de e-mail corporativo, número de telefone, nome do restaurante, dados de navegação (cookies e endereço IP).
• Finalidades: Responder a pedidos de informação, agendar reuniões de demonstração do SaaS, fornecer suporte comercial preliminar e otimizar o desempenho do website.
• Base Legal: Consentimento do utilizador (Art. 6.º, n.º 1, alínea a) do RGPD) ao submeter os formulários, ou Interesse Legítimo (Art. 6.º, n.º 1, alínea f) do RGPD) para segurança e melhoria técnica do website.

B. Utilizadores do SaaS (Clientes Profissionais / Restauradores)

• Dados Recolhidos: Nome do utilizador da conta, e-mail do restaurante, número de telefone, dados de faturação (NIF, morada de faturação, detalhes de pagamento geridos de forma encriptada pela Stripe), dados operacionais (layout das salas, escalas de staff inseridas).
• Finalidades: Gestão e manutenção da subscrição SaaS, validação de segurança da conta, faturação e processamento de pagamentos, suporte técnico e envio de comunicações operacionais e informativas sobre o sistema (incluindo segurança, manutenção, atualizações críticas e avisos de faturação).
• Comunicações via SMS e E-mail: O dinr.pt enviará notificações diretamente para o e-mail e número de telefone registados do cliente SaaS acerca de qualquer evento relevante relacionado com a administração do sistema, alertas de limites de reservas, falhas de pagamento ou atualizações de segurança.
• Base Legal: Execução de Contrato (Art. 6.º, n.º 1, alínea b) do RGPD) de prestação de serviços e cumprimento de Obrigações Legais e fiscais (Art. 6.º, n.º 1, alínea c) do RGPD).

C. Clientes Finais (Comensais que Efetuam Reservas) — Tratado em nome do Restaurante

• Dados Recolhidos: Nome, número de telemóvel, e-mail, data e hora da reserva, número de pessoas, ocasião da reserva (ex: aniversário, negócios) e observações/alergias introduzidas voluntariamente.
• Finalidades: Processar e confirmar a reserva online, gerir a fila de espera digital e o histórico de preferências do cliente no restaurante.
• Comunicações via SMS e E-mail (Notificações de Reservas): Os dados de contacto recolhidos (e-mail e número de telemóvel) são utilizados exclusivamente para efetuar contactos diretos acerca das respetivas reservas. Isto inclui o envio automatizado de confirmações de reserva, lembretes de reconfirmação de mesa para redução de no-shows, notificações de alterações ou cancelamentos e avisos de mesa disponível na fila de espera digital. Estas comunicações têm caráter puramente transacional e operacional, não sendo utilizadas para marketing sem consentimento prévio do comensal junto do restaurante.
• Base Legal: O restaurante parceiro (como Responsável) baseia-se na Execução de diligências pré-contratuais/contratuais (Art. 6.º, n.º 1, alínea b) do RGPD) a pedido do titular dos dados para efetuar a reserva, e no Consentimento explícito (Art. 6.º, n.º 1, alínea a) do RGPD) para a recolha de dados de saúde sensíveis (ex: indicação de alergias alimentares).

Para operacionalizar a nossa plataforma e garantir a entrega de serviços com qualidade premium, o dinr.pt recorre a parceiros tecnológicos externos de confiança, que atuam como subcontratantes sob contratos que garantem a conformidade com o RGPD:

1. Alojamento de Base de Dados e Backend: Supabase / PostgreSQL (com servidores localizados na União Europeia, garantindo o isolamento lógico estrito de dados através de RLS - Row Level Security).
2. Processamento de Pagamentos (B2B): Stripe Inc. (os dados do cartão de crédito nunca são armazenados nos servidores do dinr.pt).
3. Envio de Notificações SMS (Transacionais): Twilio Inc. (utilizado para o disparo imediato de alertas de mesa livre e reconfirmações operacionais).
4. Envio de Notificações por E-mail: Resend (para e-mails operacionais e transacionais).

Transferências Internacionais de Dados

Sempre que recorremos a prestadores de serviços sediados fora do Espaço Económico Europeu (EEE), como nos Estados Unidos da América (ex: Twilio, Stripe), garantimos que estas transferências são salvaguardadas através do recurso a Cláusulas Contratuais-Tipo (SCCs - Standard Contractual Clauses) aprovadas pela Comissão Europeia ou ao abrigo de decisões de adequação em vigor (como o EU-U.S. Data Privacy Framework).

A segurança da nossa plataforma assenta em princípios de Security by Design e Security by Default:

• Isolamento Lógico (Row Level Security - RLS): A arquitetura multi-tenant do dinr.pt utiliza PostgreSQL RLS para garantir que os dados de cada restaurante (dados de clientes, histórico de reservas e faturação) são logicamente isolados utilizando um identificador único de tenant. É impossível para um restaurante aceder, alterar ou apagar dados de outro.
• Encriptação de Dados: Todas as comunicações entre o browser do utilizador, a base de dados e os nossos servidores são protegidas com encriptação HTTPS/TLS de última geração.
• Auditorias de Acesso: Monitorizamos e registamos todos os acessos administrativos às nossas bases de dados para mitigar riscos de intrusão ou vazamento de dados.

Conservamos os dados apenas durante o período estritamente necessário para cumprir as finalidades para as quais foram recolhidos:

• Dados de Clientes do SaaS: Conservados enquanto a subscrição se mantiver ativa. Após o cancelamento, os dados são anonimizados ou eliminados de forma segura num prazo de 30 dias, exceto dados de faturação e contabilidade que devem ser mantidos por 10 anos por obrigação legal fiscal em Portugal.
• Dados de Clientes Finais (Reservas): Sendo o dinr.pt um subcontratante, o período de retenção destes dados é definido pela política de privacidade do respetivo restaurante. O dinr.pt apagará ou anonimizará estes dados assim que o contrato com o restaurante termine ou mediante pedido formal do restaurante Responsável pelo Tratamento.
• Pedidos de Demonstração / Leads Comerciais: Conservados por um período máximo de 2 anos após o último contacto ativo, caso não se converta numa subscrição ativa do SaaS.

Sob o RGPD, todos os titulares dos dados têm os seguintes direitos garantidos por lei:

• Direito de Acesso: Saber se os seus dados estão a ser tratados e obter uma cópia dos mesmos.
• Direito de Retificação: Solicitar a correção de dados inexatos ou incompletos.
• Direito ao Apagamento ("Direito ao Esquecimento"): Solicitar a eliminação dos seus dados quando estes já não forem necessários para as finalidades iniciais.
• Direito à Limitação do Tratamento: Suspender temporariamente o tratamento de dados em determinadas circunstâncias.
• Direito de Oposição: Opor-se ao tratamento de dados por motivos relacionados com a sua situação particular ou para fins de marketing direto.
• Direito à Portabilidade: Receber os seus dados num formato digital estruturado e de uso comum para os transferir para outra entidade.
• Direito de Retirar o Consentimento: Retirar o seu consentimento a qualquer momento (sem comprometer a licitude do tratamento efetuado até essa data).

Como exercer os seus direitos?

Para exercer qualquer um destes direitos, o titular dos dados deve contactar-nos por escrito através do e-mail: privacidade@dinr.pt.

• Nota: Caso o requerente seja um comensal que fez uma reserva num dos nossos restaurantes parceiros, o pedido deverá ser endereçado diretamente ao restaurante (Responsável pelo Tratamento). Se nos enviar o pedido diretamente, iremos reencaminhá-lo para o respetivo restaurante parceiro para processamento direto.

Autoridade de Controlo

Os utilizadores e titulares dos dados têm o direito de apresentar uma queixa à autoridade de controlo nacional em Portugal, caso considerem que o tratamento dos seus dados viola as leis de proteção de dados vigentes:

• Comissão Nacional de Proteção de Dados (CNPD)
• Morada: Av. D. Carlos I, 134 - 1.º, 1200-651 Lisboa, Portugal
• Website: https://www.cnpd.pt/

O website do dinr.pt utiliza cookies para melhorar a experiência do utilizador e analisar o tráfego de navegação de forma agregada. Dispomos de um banner de consentimento de cookies que permite ao utilizador escolher quais as categorias de cookies que aceita ativar (com exceção dos cookies estritamente necessários para o funcionamento técnico da plataforma e detalhados na nossa Política de Cookies).

O dinr.pt reserva-se o direito de atualizar esta Política de Privacidade a qualquer momento para refletir melhorias no produto, alterações técnicas ou novas diretrizes regulatórias em Portugal. Recomendamos a consulta periódica desta página. Sempre que houver alterações substanciais, notificaremos os nossos clientes registados através de e-mail ou aviso proeminente no ecrã de administração do SaaS.