PrattoVoltar à página inicial

    Documento legal

    Política de Privacidade

    Como tratamos os seus dados — em linguagem simples e em conformidade com a LGPD (Lei nº 13.709/2018).

    Última atualização: 27 de Abril de 2026

    Esta Política descreve como o Pratto trata dados pessoais de donos de restaurante (OWNER), administradores (ADMIN), membros da equipa e clientes finais que usam a vitrine pública ou são contactados via WhatsApp do estabelecimento. Onde houver conflito, prevalece a legislação aplicável.

    1. Quem é o controlador

    Para os dados de donos, administradores e equipa do Pratto, o controlador é o próprio Pratto. Para os dados dos clientes finais (nome, telefone, endereço, histórico de pedidos, mensagens trocadas via WhatsApp), o controlador é o estabelecimento — o Pratto atua como operador, processando esses dados sob instrução do estabelecimento, conforme os Termos de Uso.

    2. Que dados tratamos

    2.1. Dados de cadastro e operação

    • Nome completo, email, palavra-passe (armazenada em hash bcrypt).
    • Dados do estabelecimento: nome, slug, endereço, telefone, logótipo, capa, configurações de funcionamento.
    • Dados de utilização: timestamps de login, eventos do painel em tempo real, IP de origem (apenas para segurança e métricas agregadas).

    2.2. Dados de pedidos

    • Itens, quantidades, totais, descontos, cupons, observações.
    • Dados do cliente final fornecidos no checkout: nome, telefone, email opcional.
    • Estado do pedido, registos de aceite e tempo estimado de preparação.

    2.3. Dados do canal WhatsApp

    • Número conectado ao restaurante, nome de exibição da conta, estado da sessão (conectado, QR, desconectado).
    • JID dos contactos, prévias e corpo das mensagens trocadas, anexos enviados/recebidos, status de entrega.
    • Credenciais de sessão Baileys (auth state), guardadas em ficheiro isolado por estabelecimento. Nunca partilhamos essas credenciais com terceiros.

    2.4. Cookies e armazenamento local

    Usamos localStorage para guardar o token JWT de sessão no navegador do utilizador autenticado. Não usamos cookies de rastreamento publicitário nem partilhamos dados de navegação com redes de anúncios.

    3. Bases legais (LGPD, art. 7º e 11º)

    • Execução de contrato — para criar conta, processar pedidos, conectar WhatsApp e emitir comandas.
    • Legítimo interesse — para segurança, prevenção de fraude e melhoria de produto, sempre com testes de balanceamento.
    • Cumprimento de obrigação legal — para responder a autoridades quando legalmente requerido.
    • Consentimento — para notificações push do navegador (cliente final pode aceitar ou recusar) e marketing por email.

    4. Como usamos os dados

    • Operar o painel: receber pedidos em tempo real, mostrar conversas WhatsApp, calcular relatórios.
    • Enviar mensagens automáticas de status (pedido recebido, em preparo, saiu para entrega) ao cliente final, em nome do estabelecimento.
    • Suporte técnico: responder dúvidas, diagnosticar bugs e auditar acessos.
    • Segurança e prevenção de fraude: bloquear tentativas de força bruta, abuso de API e padrões suspeitos.
    • Melhoria de produto: estatísticas agregadas e anonimizadas (nunca partilhamos conteúdo de mensagens com terceiros para treino de IA ou similares).

    5. Com quem partilhamos

    Partilhamos apenas o estritamente necessário, com prestadores que tratam os dados conforme as nossas instruções:

    • Provedor de cloud — para hospedar a aplicação e a base de dados PostgreSQL.
    • WhatsApp / Meta — necessário ao funcionamento do canal: conteúdo das mensagens trafega pela infraestrutura do WhatsApp, fora do nosso controlo.
    • Provedor de email transacional — para confirmações de cadastro, recuperação de palavra-passe e notificações operacionais.
    • Autoridades públicas — apenas mediante ordem legal válida.

    Não vendemos dados pessoais a terceiros, nunca.

    6. Onde os dados ficam

    A nossa base de dados e os ficheiros de sessão Baileys estão hospedados em servidores localizados primariamente no Brasil ou em regiões da nuvem com nível adequado de proteção. Eventuais transferências internacionais de dados respeitam as garantias previstas na LGPD (ex.: cláusulas contratuais padrão).

    7. Por quanto tempo guardamos

    • Conta ativa: enquanto a conta estiver ativa.
    • Pedidos: enquanto úteis ao histórico do estabelecimento ou exigidos por obrigação fiscal/civil.
    • Mensagens WhatsApp: enquanto a conversa não for explicitamente apagada pelo dono no painel (existe a opção de limpar mensagens ou eliminar conversas inteiras).
    • Logs de segurança: até 12 meses, salvo se necessários para investigação ativa.
    • Dados após encerramento da conta: até 30 dias para eventual reativação; depois disso, anonimizados ou eliminados.

    8. Os seus direitos (LGPD, art. 18)

    O titular dos dados pode, a qualquer momento e gratuitamente:

    • Confirmar a existência de tratamento e aceder aos seus dados.
    • Corrigir dados incompletos, inexatos ou desatualizados.
    • Solicitar anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
    • Pedir portabilidade dos dados a outro prestador.
    • Revogar o consentimento e ser informado sobre as consequências da recusa.
    • Opor-se a tratamentos baseados em legítimo interesse.

    Para exercer estes direitos, escreva para privacidade@pratto.app indicando o pedido e prova razoável de identidade. Respondemos em até 15 dias.

    9. Segurança

    • Palavras-passe armazenadas com bcrypt (sal único por utilizador).
    • Acessos autenticados por JWT com expiração configurada.
    • Comunicação cifrada por TLS em produção.
    • Isolamento por estabelecimento (multi-tenant) ao nível das queries Prisma e dos canais WebSocket.
    • Backups regulares da base de dados e revisão periódica de dependências (auditoria de pacotes).

    Em caso de incidente de segurança que envolva risco relevante, comunicamos os titulares afetados e a ANPD nos prazos exigidos pela LGPD.

    10. Crianças e adolescentes

    O Pratto não se destina a menores de 18 anos. Se identificarmos dados de menores fornecidos sem consentimento responsável, eliminaremos esses dados assim que tomarmos conhecimento.

    11. Atualizações desta Política

    Podemos atualizar esta Política para refletir mudanças legais ou novas funcionalidades. A data de “Última atualização” aparece no topo da página. Mudanças relevantes são também comunicadas por email aos titulares de conta ativa.

    12. Encarregado pelo Tratamento de Dados (DPO)

    Para falar com o nosso DPO, escreva para dpo@pratto.app. Pedidos relacionados a direitos de titulares têm prioridade na fila.

    Dúvidas, pedidos ou correções?

    Escreve-nos para contato@pratto.app que respondemos no prazo indicado em cada documento.