POLÍTICA DE PRIVACIDADE

Bookxpert / Reserva System

Última atualização: 5 de junho de 2026

1. Objetivo

Esta Política de Privacidade descreve como a Fantastic Cuisine, NIF 514126809, com sede em FRAÇÃO F, 2615-382 Alverca do Ribatejo, Portugal ("Bookxpert" ou "Plataforma"), na qualidade de Responsável pelo Tratamento, recolhe, utiliza, armazena e protege os dados pessoais no contexto da prestação de serviços de gestão de reservas para restaurantes, designadamente através das páginas públicas de reserva dos restaurantes clientes, do painel administrativo e operacional da plataforma, disponível em https://www.bookxpert.pt, e das integrações técnicas relacionadas com a confirmação de reservas, lembretes e análise de desempenho.

2. Responsável pelo Tratamento e Subcontratante

O restaurante cliente atua, em regra, como responsável pelo tratamento dos dados dos seus clientes finais, determinando as finalidades e os meios do tratamento. O Bookxpert atua como subcontratante desse restaurante para a execução do serviço contratado, e como responsável autónomo pelo tratamento de dados que efetua para fins próprios, nomeadamente segurança da plataforma, auditoria e cumprimento das suas obrigações legais. A presente Política regula os tratamentos em que o Bookxpert atua como responsável autónomo. Para questões relativas a tratamentos efetuados por conta do restaurante, os titulares devem dirigir-se diretamente ao restaurante em causa.

3. Dados pessoais tratados

Conforme o uso da plataforma, podemos tratar as seguintes categorias de dados pessoais: dados de identificação, como o nome; dados de contacto, como o endereço de correio eletrónico e o número de telefone; dados de reserva, incluindo data, hora, número de pessoas, pedidos especiais, código de confirmação e estado da reserva; dados de consentimento, incluindo registos de consentimento para efeitos de marketing e cookies e respetivos registos temporais; dados técnicos, como endereço IP, utilizador-agente e registos de acesso e de auditoria; e dados de tracking e analytics, nomeadamente eventos de navegação e conversão, quando habilitado pelo restaurante e mediante consentimento prévio do titular.

Não tratamos deliberadamente dados pessoais de categorias especiais. Se o utilizador os inserir espontaneamente em campos de texto livre, como o campo de pedidos especiais, esses dados serão tratados apenas na medida estritamente necessária para a execução da reserva.

4. Finalidades e bases legais do tratamento

Recolhemos e tratamos dados pessoais para as seguintes finalidades, com os fundamentos legais indicados ao abrigo do artigo 6.º do Regulamento (UE) 2016/679, de 27 de abril de 2016 (RGPD), e da Lei n.º 58/2019, de 8 de agosto:

• a) A criação, gestão e confirmação de reservas e o envio de comunicações transacionais, como confirmações, lembretes e cancelamentos, baseiam-se na execução do contrato de prestação de serviços, nos termos da alínea b) do n.º 1 do artigo 6.º do RGPD.
• b) A prevenção de fraudes, duplicidades e abusos, a operação de funcionalidades de CRM e atendimento e a melhoria do serviço baseiam-se no interesse legítimo do Bookxpert, nos termos da alínea f) do n.º 1 do artigo 6.º do RGPD. Este interesse consiste na segurança e integridade da plataforma e na qualidade do serviço prestado, em termos proporcionados e com impacto mínimo para os titulares. O titular pode opor-se a qualquer destes tratamentos a qualquer momento, através do contacto indicado na Secção 11.
• c) O cumprimento de obrigações legais e regulatórias baseia-se no cumprimento de obrigação jurídica, nos termos da alínea c) do n.º 1 do artigo 6.º do RGPD.
• d) A medição de desempenho de campanhas e conversões, quando configurada pelo restaurante, e o envio de comunicações de marketing por correio eletrónico ou SMS baseiam-se no consentimento prévio e expresso do titular, nos termos da alínea a) do n.º 1 do artigo 6.º do RGPD.

5. Consentimento: marketing e cookies

O envio de comunicações de marketing por correio eletrónico, SMS ou meios equivalentes exige o consentimento prévio e expresso do titular dos dados. O consentimento é recolhido através de uma caixa de seleção não pré-marcada no momento da reserva. O titular pode retirar esse consentimento a qualquer momento, sem qualquer custo, através do link de cancelamento presente em cada comunicação ou mediante pedido enviado para geral@fantasticxpert.pt. A retirada do consentimento não afeta a licitude dos tratamentos realizados antes da mesma.

Quando o titular já for nosso cliente e nos tiver fornecido o seu contacto eletrónico no âmbito de uma reserva anterior, poderemos, na medida em que a lei o permita, enviar-lhe comunicações sobre os nossos próprios serviços análogos aos utilizados, garantindo sempre a possibilidade de recusa fácil e gratuita em qualquer mensagem.

No que respeita a cookies e tecnologias similares, a plataforma pode utilizá-los para funcionamento essencial, para medição de performance e conversão, e para atribuição de campanhas. Os cookies de funcionamento essencial não requerem consentimento, uma vez que são indispensáveis à prestação do serviço solicitado. Todos os demais cookies requerem o consentimento prévio e expresso do titular, que pode gerir e alterar as suas preferências a qualquer momento através de https://app.bookxpert.pt/preferencias-de-cookies (ou o link equivalente no domínio em utilização).

6. Partilha de dados

Podemos partilhar dados com:

• a) o restaurante responsável pela reserva, enquanto destinatário dos dados dos seus clientes finais;
• b) prestadores de serviços, vinculados por contratos de tratamento de dados que lhes impõem obrigações de confidencialidade e segurança em conformidade com o artigo 28.º do RGPD, nomeadamente:
  • Amazon Web Services EMEA SARL (AWS), para alojamento cloud, bases de dados, armazenamento e serviços de infraestrutura associados, com tratamento na região europeia Paris (França, eu-west-3);
  • Google Ireland Limited (Gmail / Google Workspace), para envio de correio eletrónico transacional e de marketing através de protocolo SMTP com encriptação TLS (smtp.gmail.com);
  • Twilio Inc., para envio de SMS e WhatsApp, quando aplicável;
• c) plataformas de medição e publicidade configuradas pelo restaurante, como Meta, Google ou TikTok, apenas quando o titular tiver prestado consentimento; e com autoridades públicas, mediante obrigação legal.

O Bookxpert não vende dados pessoais a terceiros.

7. Conservação

Os dados são mantidos pelo período necessário para cumprir as finalidades desta Política, as obrigações legais e a defesa de direitos:

• a) Dados de reserva e de identificação do cliente: enquanto existir relação ativa com o restaurante ou com a Plataforma; após a última interação (última reserva ou contacto), durante 2 (dois) anos, findo o qual os dados pessoais de clientes inativos podem ser anonimizados de forma irreversível;
• b) Dados da lista de espera: até conclusão do serviço ou cancelamento da entrada, e no máximo 90 dias após a data do serviço;
• c) Registos de consentimento (marketing, cookies, privacidade): enquanto o consentimento estiver ativo e, após revogação ou término da finalidade, durante 5 (cinco) anos para efeitos de prova de conformidade;
• d) Logs de auditoria, segurança e acesso: 12 (doze) meses;
• e) Dados de analytics e tracking (quando consentidos): até 13 (treze) meses ou até retirada do consentimento, o que ocorrer primeiro;
• f) Dados necessários ao cumprimento de obrigações legais: pelo prazo legalmente exigido.

Decorrido o prazo aplicável, os dados são excluídos de forma segura, anonimizados de forma irreversível, ou mantidos com acesso restrito para cumprimento de obrigação legal remanescente.

8. Segurança da informação

Adotamos medidas técnicas e organizacionais adequadas ao risco para proteger os dados pessoais, em conformidade com o artigo 32.º do RGPD, incluindo controlo de acesso por perfil, encriptação de dados em trânsito (TLS/HTTPS), registos de auditoria e monitorização, segregação por restaurante cliente, boas práticas de desenvolvimento e manutenção, e infraestrutura alojada na Amazon Web Services (AWS) na região Paris (França, eu-west-3), com encriptação de dados em repouso nos serviços cloud utilizados, backups periódicos e restrição de acessos administrativos.

Em caso de violação de dados pessoais que possa colocar em risco os direitos e liberdades dos titulares, o Bookxpert notificará a autoridade de controlo competente nos prazos legais e, quando legalmente exigível, comunicará o facto aos titulares afetados, em cumprimento dos artigos 33.º e 34.º do RGPD. Se suspeitar de um incidente de segurança envolvendo os seus dados, contacte-nos através do endereço indicado na Secção 11.

9. Direitos dos titulares

O titular poderá exercer os seguintes direitos ao abrigo do RGPD: o direito de acesso aos seus dados; o direito de retificação de dados inexatos ou incompletos; o direito de apagamento, nos casos previstos no artigo 17.º do RGPD; o direito de limitação do tratamento, nos casos previstos no artigo 18.º do RGPD; o direito de portabilidade, quando aplicável; o direito de oposição ao tratamento baseado em interesse legítimo ou para fins de marketing direto; e o direito de retirar o consentimento a qualquer momento, sem prejuízo da licitude do tratamento efetuado antes dessa retirada.

O Bookxpert não adota decisões baseadas exclusivamente em tratamento automatizado de dados pessoais, incluindo definição de perfis, que produzam efeitos jurídicos ou que afetem significativamente os titulares. A Plataforma utiliza regras técnicas automatizadas apenas para apoiar a operação do serviço — como verificação de disponibilidade de horários, prevenção de reservas duplicadas e gestão da fila de espera —, sem substituir a decisão final do restaurante sobre a aceitação, confirmação ou recusa de reservas.

O titular tem ainda o direito de apresentar reclamação à Comissão Nacional de Proteção de Dados, disponível em www.cnpd.pt.

10. Transferência internacional

A infraestrutura principal da plataforma (alojamento, base de dados e armazenamento) está localizada na região AWS Paris (França, eu-west-3), dentro do Espaço Económico Europeu. Para estes tratamentos não há transferência internacional de dados para países terceiros.

Alguns prestadores adicionais utilizados na prestação do serviço — nomeadamente envio de correio eletrónico (Google / SMTP), envio de SMS/WhatsApp (Twilio) e, quando o titular consentir, plataformas de publicidade e analytics (Meta, Google, TikTok) — podem processar dados fora do EEE. Nesses casos, adotamos salvaguardas adequadas ao abrigo do Capítulo V do RGPD, nomeadamente Cláusulas Contratuais Tipo (SCC) aprovadas pela Comissão Europeia e/ou decisões de adequação aplicáveis. O contrato de tratamento de dados (DPA) da AWS está disponível através do AWS Artifact. Pode solicitar mais informação sobre as garantias aplicáveis através do contacto indicado na Secção 11.

11. Como exercer direitos e contacto

Para assuntos de privacidade e proteção de dados, ou para exercer qualquer dos direitos acima indicados, contacte-nos através do endereço de correio eletrónico geral@fantasticxpert.pt ou pelo correio postal para FRAÇÃO F, 2615-382 Alverca do Ribatejo, Portugal, com a menção "Proteção de Dados". Também pode utilizar a página Exercer direitos. Podemos solicitar informações adicionais para validação de identidade antes de concluir o pedido.

Responderemos no prazo de um mês a contar da receção do pedido. Em casos de especial complexidade, esse prazo pode ser prorrogado por mais dois meses, sendo o titular informado da prorrogação e dos seus fundamentos dentro do primeiro mês.

12. Alterações desta Política

Esta Política pode ser atualizada a qualquer momento para refletir melhorias do produto ou alterações legais ou operacionais. Em caso de alterações que afetem materialmente os direitos dos titulares ou os tratamentos baseados em consentimento, os titulares serão notificados através de correio eletrónico e/ou notificação na plataforma antes da entrada em vigor das alterações. A versão em vigor estará sempre disponível em https://www.bookxpert.pt/politica-de-privacidade com a data da última atualização.