Política de privacidade

1. Responsável pelo Tratamento

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA

E-mail: support@foxi.food

Para efeitos da plataforma FoxiFood, a Elite Digital Services, LLC atua nas seguintes funções de proteção de dados:

• Responsável pelo tratamento — para dados pessoais dos parceiros restaurantes (Utilizadores), e para dados de conta FOXI ID (credenciais de acesso e dados de autenticação) dos clientes finais que criam uma conta FOXI ID;
• Subcontratante — para dados pessoais dos clientes finais tratados em nome do parceiro restaurante em conexão com encomendas efetuadas através do website de encomendas do restaurante (consulte o nosso Acordo de Tratamento de Dados para mais detalhes).

A Elite Digital Services, LLC é o único operador da plataforma FoxiFood e pode recorrer a entidades autorizadas em várias jurisdições para realizar tarefas técnicas específicas em seu nome.

Para além da operação da infraestrutura partilhada de identidade FOXI ID (consulte a Secção 2.3), o FoxiFood não estabelece uma relação comercial direta com os clientes finais. A plataforma fornece a infraestrutura técnica necessária para operar websites de encomendas de restaurantes.

Representante na UE (Artigo 27.º GDPR)

Em conformidade com o Artigo 27.º do GDPR, a seguinte entidade foi designada como representante na UE da Elite Digital Services, LLC:

Euro business company Kft.
Rómer Flóris utca 8/B. 3. em., Budapest 1024, Hungary
Número de identificação fiscal: HU28959364

Para detalhes completos sobre o representante na UE e o seu papel, consulte a nossa página GDPR.

Proteção de Dados desde a Conceção e Registos de Tratamento

Implementamos a proteção de dados desde a conceção e por defeito em conformidade com o Artigo 25.º do GDPR. Mantemos Registos das Atividades de Tratamento conforme exigido pelo Artigo 30.º do GDPR, documentando todas as categorias de atividades de tratamento realizadas em nome ou como parte da plataforma FoxiFood. Quando exigido pelo Artigo 35.º do GDPR, realizamos Avaliações de Impacto sobre a Proteção de Dados antes de empreender operações de tratamento suscetíveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares.

2. Que Dados Recolhemos

2.1. Dados do Parceiro Restaurante (Utilizador)

Quando se regista e utiliza a plataforma FoxiFood, recolhemos:

• Identificação comercial: nome comercial, número de registo, NIF, morada registada;
• Informações de contacto: nome, endereço de e-mail, número de telefone;
• Credenciais da conta: e-mail e palavra-passe encriptada;
• Billing information: payment method details, transaction history, invoices (card details are processed and stored exclusively by the payment processor);
• Dados de utilização do serviço: histórico de acesso, utilização de funcionalidades, atividade no painel de administração;
• Dados de comunicação: pedidos de suporte, feedback, correspondência.

2.2. Dados de clientes finais (processados em nome dos parceiros de restauração)2.2. Dados de Clientes Finais (Tratados em Nome dos Parceiros Restaurantes)

Os clientes finais interagem diretamente com o website de encomendas do parceiro restaurante. O FoxiFood fornece apenas a infraestrutura técnica necessária para operar esse website.

Quando os clientes finais efetuam encomendas através de um website alimentado pelo FoxiFood de um restaurante, tratamos os seguintes dados em nome do parceiro restaurante:

• Informações de contacto: nome, endereço de e-mail, número de telefone;
• Morada de entrega (quando aplicável);
• Detalhes do pedido: itens encomendados, histórico de encomendas, preferências;Detalhes da encomenda: artigos encomendados, histórico de encomendas, preferências;
• Payment transaction references (card details are handled exclusively by the payment processor).

2.3. FOXI ID (Infraestrutura Partilhada de Identidade de Cliente)

A plataforma FoxiFood inclui um sistema partilhado de identidade de cliente ('FOXI ID') que permite aos clientes finais criar uma única conta e utilizar as mesmas credenciais de acesso em todos os websites de encomendas de restaurantes na plataforma. O FOXI ID é um componente de infraestrutura técnica fornecido como parte da plataforma.

A Elite Digital Services, LLC atua como responsável pelo tratamento dos dados de conta FOXI ID, que incluem:

• Credenciais de acesso (endereço de e-mail e palavra-passe com hash);
• Dados de sessão de autenticação;
• Informações de contacto utilizadas para pré-preenchimento de formulários de encomenda (nome, número de telefone, morada de entrega).

Através do FOXI ID, os dados de contacto do cliente final (nome, e-mail, número de telefone, morada de entrega) podem ser pré-preenchidos ao efetuar uma encomenda em qualquer restaurante na plataforma. Os dados de encomenda, histórico de encomendas, preferências e informações de pagamento NÃO são partilhados entre restaurantes. Cada restaurante apenas pode aceder a dados gerados através do seu próprio website de encomendas.

As bases jurídicas para o tratamento dos dados FOXI ID são:

• Execução do contrato (Artigo 6.º, n.º 1, alínea b), GDPR) — para manutenção da conta FOXI ID e autenticação do cliente final no restaurante onde está a efetuar uma encomenda;
• Interesse legítimo (Artigo 6.º, n.º 1, alínea f), GDPR) — para pré-preenchimento de dados de contacto entre restaurantes na plataforma, onde o interesse legítimo consiste em proporcionar uma experiência de encomenda contínua e reduzir a fricção para clientes que regressam. Este interesse foi ponderado face aos direitos do cliente final — apenas dados de contacto básicos são partilhados, nenhum histórico de encomendas ou preferências é divulgado e o cliente final pode solicitar a eliminação da sua conta FOXI ID a qualquer momento.

O Prestador não utiliza dados FOXI ID para marketing, perfilagem, analíticos entre restaurantes ou qualquer finalidade que não seja a prestação da infraestrutura da plataforma.

Os clientes finais podem exercer os seus direitos de titular dos dados relativamente à sua conta FOXI ID (acesso, retificação, apagamento, portabilidade, limitação, oposição) contactando: support@foxi.food. A eliminação de uma conta FOXI ID remove o acesso partilhado em todos os restaurantes na plataforma. O histórico de encomendas em restaurantes individuais é conservado ou eliminado em conformidade com a respetiva política de conservação de dados do parceiro restaurante.

2.4. Dados Recolhidos Automaticamente

Recolhemos automaticamente determinados dados técnicos quando visita os nossos websites:

• Endereço IP e geolocalização aproximada;
• Tipo de navegador, versão e definições de idioma;
• Tipo de dispositivo e sistema operativo;
• Páginas visitadas, tempo gasto, URLs de referência;
• Dados de cookies (consulte a nossa Política de Cookies para detalhes).Dados de cookies (consulte a nossa Política de Cookies para mais detalhes).

3. Base Jurídica para o Tratamento

Tratamos dados pessoais com base nos seguintes fundamentos jurídicos:

• Execução do contrato — tratamento necessário para a execução do Acordo entre nós e o Utilizador (registo, gestão de conta, prestação de serviço, faturação);
• Interesse legítimo — tratamento necessário para os nossos interesses comerciais legítimos (melhoria do serviço, segurança, prevenção de fraude, analíticos), ponderado face aos seus direitos;
• Obrigação legal — tratamento necessário para cumprir a legislação aplicável (declaração fiscal, combate ao branqueamento de capitais, requisitos regulatórios);
• Consentimento — quando exigido por lei, obtemos o seu consentimento explícito (por exemplo, para cookies analíticos, comunicações de marketing). Pode retirar o consentimento a qualquer momento.

4. Como Utilizamos os Seus Dados

Utilizamos os seus dados pessoais para as seguintes finalidades:

• Prestação e operação da plataforma FoxiFood e de todas as suas funcionalidades;
• Criação, autenticação e gestão de conta;
• Processamento de pagamentos e emissão de faturas através dos nossos parceiros de pagamento;Processamento de pagamentos e emissão de faturas através dos nossos parceiros de pagamento;
• Prestação de suporte técnico e resposta às suas consultas;
• Envio de notificações de serviço (manutenção, alertas de segurança, atualizações dos Termos);
• Melhoria do Serviço com base em padrões de utilização e feedback;
• Garantir a segurança, prevenir fraude e detetar acessos não autorizados;Garantia de segurança, prevenção de fraude e deteção de acesso não autorizado;
• Cumprimento de obrigações legais e regulatórias;
• Geração de estatísticas anonimizadas e agregadas.

5. Partilha de Dados e Terceiros

Não vendemos os seus dados pessoais. Partilhamos dados apenas com as seguintes categorias de destinatários, na medida do necessário:

• Processador de pagamentos (atualmente Stripe) — processamento de pagamentos (certificado PCI DSS Nível 1);
• DigitalOcean — alojamento em nuvem e infraestrutura;
• Brevo — entrega de e-mails transacionais;
• Google Analytics — analíticos de website (com o seu consentimento, anonimizados);
• Autoridades legais e regulatórias — quando exigido por lei, decisão judicial ou pedido governamental;
• Consultores profissionais — advogados, auditores vinculados por sigilo profissional.

Todos os subcontratantes terceiros estão contratualmente obrigados a tratar dados apenas de acordo com as nossas instruções e a manter medidas de segurança adequadas.

6. Transferências Internacionais de Dados

Uma vez que a Elite Digital Services, LLC está sediada nos Estados Unidos, os seus dados podem ser transferidos para e tratados nos EUA. Garantimos que são implementadas salvaguardas adequadas para tais transferências em conformidade com o Capítulo V do GDPR, incluindo Cláusulas Contratuais-Tipo (CCTs) adotadas pela Comissão Europeia nos termos da Decisão de Execução (UE) 2021/914 de 4 de junho de 2021. Para transferências para subcontratantes ulteriores, são aplicadas CCTs do Módulo Dois (responsável pelo tratamento para subcontratante) ou Módulo Três (subcontratante para subcontratante), conforme aplicável. Realizamos Avaliações de Impacto de Transferência para cada subcontratante ulterior para avaliar o enquadramento legal do país de destino. Cópias das CCTs assinadas estão disponíveis mediante pedido. A nossa infraestrutura de alojamento (DigitalOcean) opera centros de dados na UE para utilizadores europeus.

7. Conservação de Dados

Conservamos dados pessoais apenas pelo tempo necessário para as finalidades para as quais foram recolhidos:

• Dados de conta: durante a vigência do Acordo mais 30 dias para exportação de dados;
• Dados de faturação e transações: pelo período exigido pela legislação fiscal e contabilística aplicável (tipicamente 5-10 anos);
• Registos de comunicação: durante 3 anos após a última comunicação;
• Dados analíticos: conservados para fins estatísticos em forma anonimizada; dados identificáveis eliminados após 26 meses;
• Dados de encomenda de clientes finais: conforme determinado pelo parceiro restaurante (responsável pelo tratamento). O parceiro restaurante pode configurar definições de conservação de dados na plataforma. O FoxiFood trata e elimina dados de clientes finais estritamente de acordo com as instruções do parceiro restaurante. Após cessação do Acordo do parceiro restaurante, os dados são eliminados no prazo de 30 dias;
• Dados da conta FOXI ID: enquanto o cliente final mantiver uma conta FOXI ID ativa. Após pedido de eliminação de conta, os dados FOXI ID são eliminados no prazo de 30 dias. As contas FOXI ID inativas (sem atividade de acesso durante 36 meses) são automaticamente agendadas para eliminação com notificação prévia de 30 dias para o endereço de e-mail registado do cliente final.

O parceiro restaurante, enquanto responsável pelo tratamento dos dados de encomenda dos seus clientes finais, permanece exclusivamente responsável pelo cumprimento de todas as obrigações legais, fiscais e contabilísticas de conservação de dados aplicáveis na sua jurisdição. A conservação dos dados da conta FOXI ID é gerida pelo Prestador conforme descrito na Secção 2.3.

Após o termo dos períodos de conservação, os dados são irreversivelmente eliminados ou anonimizados.

8. Segurança dos Dados

Em conformidade com o Artigo 32.º do GDPR e o princípio da proteção de dados desde a conceção e por defeito (Artigo 25.º GDPR), implementamos medidas técnicas e organizativas adequadas para proteger os dados pessoais, incluindo:

• Encriptação de todos os dados em trânsito utilizando TLS/SSL;
• Armazenamento encriptado de dados sensíveis em repouso;
• Hashing de palavras-passe utilizando algoritmos de padrão industrial;
• Controlos de acesso e permissões baseadas em funções;
• Atualizações de segurança regulares e monitorização de vulnerabilidades;
• Cópias de segurança automatizadas diárias com retenção de 30 dias;
• Payment card data handled exclusively by the PCI DSS Level 1 certified payment processor — we never store card numbers;
• Procedimentos de resposta a incidentes e protocolos de notificação de violações.Procedimentos de resposta a incidentes e protocolos de notificação de violações.

9. Os Seus Direitos (GDPR)

Ao abrigo do GDPR e da legislação de proteção de dados aplicável, possui os seguintes direitos:

• Direito de acesso — solicitar uma cópia dos seus dados pessoais que detemos;
• Direito de retificação — solicitar a correção de dados inexatos ou incompletos;
• Direito ao apagamento — solicitar a eliminação dos seus dados ('direito a ser esquecido'), sujeito a obrigações legais de conservação;
• Direito à limitação do tratamento — solicitar a limitação do tratamento em determinadas circunstâncias;
• Direito à portabilidade dos dados — receber os seus dados num formato estruturado e de leitura automática;
• Direito de oposição — opor-se ao tratamento baseado em interesse legítimo;
• Direito de retirar o consentimento — retirar o consentimento a qualquer momento quando o tratamento se baseia no consentimento;
• Direito de apresentar reclamação — apresentar reclamação junto de uma autoridade de controlo no seu país de residência. As autoridades de controlo relevantes incluem: Úřad pro ochranu osobních údajů (ÚOOÚ) na República Checa, Úrad na ochranu osobných údajov na Eslováquia e Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) na Hungria. Consulte a nossa página GDPR para detalhes completos de contacto das autoridades de controlo.

Para exercer qualquer destes direitos, contacte-nos em: support@foxi.food. Responderemos ao seu pedido no prazo de 30 dias. Pode também contactar o nosso representante na UE (Euro business company Kft.) — consulte a nossa página GDPR para mais detalhes.

10. Cookies

Utilizamos cookies essenciais para a funcionalidade do site e cookies analíticos opcionais com o seu consentimento. Para informações detalhadas sobre os cookies que utilizamos e como gerir as suas preferências, consulte a nossa Política de Cookies separada.

A infraestrutura partilhada de identidade de cliente FOXI ID utiliza os seguintes cookies:

• Cookie de sessão no domínio .foxi.food — mantém a sessão autenticada do cliente final no restaurante onde está atualmente a efetuar uma encomenda. Classificado como estritamente necessário para o funcionamento do serviço de encomendas (não requer consentimento);
• Persistência de autenticação entre restaurantes — permite ao cliente final manter-se autenticado ao visitar outros restaurantes na plataforma. Classificado como cookie funcional. Nos websites de encomendas de restaurantes, este cookie é apresentado através do mecanismo de consentimento de cookies, e o cliente final pode recusá-lo sem afetar a capacidade de efetuar encomendas (será necessário autenticação manual em cada restaurante);
• Redirecionamento SSO para domínios personalizados — para restaurantes que utilizam o seu próprio domínio personalizado, um cookie de redirecionamento de curta duração facilita a autenticação. Classificado como estritamente necessário para o processo de autenticação em domínios personalizados (não requer consentimento).

O FOXI ID não utiliza quaisquer cookies de terceiros, cookies de rastreio ou mecanismos de rastreio entre domínios. Todos os cookies FOXI ID servem exclusivamente a finalidade técnica de autenticação.

11. Privacidade de Menores

O Serviço FoxiFood é uma plataforma B2B destinada a empresas. Não recolhemos conscientemente dados pessoais de menores de 16 anos de idade. Se tomarmos conhecimento de que recolhemos dados de um menor, eliminá-los-emos prontamente.

12. Alterações à Presente Política de Privacidade

Poderemos atualizar a presente Política de Privacidade periodicamente. Notificá-lo-emos de alterações materiais com pelo menos 30 dias de antecedência por e-mail ou notificação no Serviço. A data da última atualização é indicada no topo do presente documento. A continuação da utilização do Serviço após a entrada em vigor das alterações constitui aceitação da Política de Privacidade atualizada.

13. Contacto

Para consultas relacionadas com privacidade, pedidos de titulares dos dados ou reclamações, contacte-nos em: support@foxi.food

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA