Privacy Policy

POLÍTICA DE PRIVACIDADE
Site wedely.com e aplicação móvel Wedely
Última atualização: 29 de abril de 2026

1. Identidade do responsável pelo tratamento
A presente política aplica-se aos tratamentos de dados pessoais efetuados pela:

Wedely S.à r.l.
Sociedade por quotas de direito luxemburguês
Sede social: 5, rue Aldringen, L-1118 Luxemburgo
RCS Luxemburgo: B233559
NIF intracomunitário: LU31754380

Encarregado da Proteção de Dados (EPD): privacy@wedely.com

2. Quadro normativo
O tratamento de dados pessoais pela Wedely é regido:
  • pelo Regulamento (UE) 2016/679 de 27 de abril de 2016 (« RGPD »);
  • pela lei luxemburguesa de 1 de agosto de 2018 relativa à organização da Comissão Nacional para a Proteção de Dados e ao regime geral da proteção de dados;
  • pela lei alterada de 30 de maio de 2005 sobre as comunicações eletrónicas (em matéria de cookies e outros identificadores);
  • pelas linhas diretrizes e recomendações da autoridade de controlo luxemburguesa e do Comité Europeu para a Proteção de Dados (EDPB).
3. Dados tratados e finalidades
A Wedely trata os seus dados pessoais exclusivamente na medida necessária às finalidades indicadas. Os dados que tratamos provêm de:
  • O próprio utilizador: quando cria uma conta, efetua uma encomenda, deixa uma avaliação, contacta a assistência ou opta por aceder através de um serviço de autenticação externo (Google, Apple);
  • O seu dispositivo: quando utiliza o site ou a aplicação, recolhemos automaticamente algumas informações técnicas (endereço IP, tipo de dispositivo, navegador, sistema operativo, parâmetros de ligação, identificadores anónimos);
  • Serviços de terceiros que ligou explicitamente à sua conta: quando opta por registar-se ou aceder através de uma conta social, recebemos do fornecedor externo apenas as informações mínimas necessárias à autenticação (nome e e-mail). Não recuperamos nem conservamos outras informações que o fornecedor possa disponibilizar (como foto de perfil, contactos ou conteúdos partilhados).
De seguida as categorias de dados tratados com as respetivas finalidades, bases jurídicas e prazos de conservação:

Identificação
Finalidade: criação e gestão da sua conta de cliente
Base jurídica: execução do contrato (art. 6.1.b RGPD)   •   Conservação: duração da conta + 3 anos após a última atividade
Contactos (morada de entrega, número de telefone)
Finalidade: preparação, entrega e acompanhamento das encomendas
Base jurídica: execução do contrato (art. 6.1.b RGPD)   •   Conservação: 10 anos (obrigação contabilística)
Dados de transação (encomendas, faturas)
Finalidade: faturação, rastreabilidade, contabilidade
Base jurídica: obrigação legal fiscal e contabilística (art. 6.1.c RGPD)   •   Conservação: 10 anos a contar da fatura
Dados de pagamento
Finalidade: pagamento da encomenda — tratados pelo Stripe (certificado PCI-DSS); a Wedely não conserva os números de cartão
Base jurídica: execução do contrato (art. 6.1.b RGPD)   •   Conservação: de acordo com a política do prestador de pagamento
Endereço IP, identificador de dispositivo, registo de ligação
Finalidade: segurança, prevenção de fraude, registo
Base jurídica: interesse legítimo (art. 6.1.f RGPD)   •   Conservação: 12 meses
Avaliações e comentários
Finalidade: publicação das avaliações, melhoria dos serviços
Base jurídica: interesse legítimo (art. 6.1.f RGPD)   •   Conservação: enquanto o conteúdo for útil à finalidade
Dados de navegação e cookies
Finalidade: medição de audiência, marketing (com consentimento)
Base jurídica: consentimento para os cookies não essenciais (art. 6.1.a RGPD)   •   Conservação: máximo 13 meses
Endereço de e-mail (newsletter)
Finalidade: envio de informações comerciais
Base jurídica: consentimento (art. 6.1.a RGPD)   •   Conservação: até à retirada do consentimento
Dados do formulário de contacto
Finalidade: resposta às solicitações
Base jurídica: interesse legítimo (art. 6.1.f RGPD)   •   Conservação: 3 anos a contar do último contacto

O nosso site pode conter ligações para sites de terceiros. A presente política aplica-se exclusivamente aos dados tratados pela Wedely; convidamo-lo a consultar as políticas de privacidade desses sites.

4. Destinatários e subcontratantes
Para as finalidades acima indicadas, os seus dados podem ser comunicados:

Para efeitos de execução do contrato e entrega da sua encomenda:
  • Restaurante parceiro encarregado da preparação: recebe através do seu sistema de impressão o conteúdo da encomenda, o seu nome, a morada de entrega, o número de telefone, eventuais instruções de acesso (intercomunicador) e as notas que inseriu — informações necessárias para preparar corretamente a encomenda e contactar o utilizador em caso de necessidade.
  • Estafeta independente encarregado da entrega: recebe o seu nome, a morada de entrega (textual), o número de telefone, eventuais instruções de acesso e o conteúdo da encomenda, na medida estritamente necessária para entregar corretamente a encomenda.
A prestadores técnicos atuando como subcontratantes:
  • LeaseWeb Deutschland GmbH (Frankfurt, Alemanha — UE) — alojamento principal e infraestrutura técnica do site wedely.com;
  • Amazon Web Services (AWS, UE) — serviços acessórios de armazenamento em nuvem (por exemplo, para imagens e ficheiros);
  • Google LLC e Google Ireland Ltd. — serviços de produtividade (Google Workspace), cartografia (Google Maps Platform), medição de audiência (Google Analytics 4) e autenticação (Google Sign-In);
  • Apple Inc. (Estados Unidos) — autenticação através de « Sign in with Apple » (site e aplicação móvel) e, limitadamente à aplicação móvel, medição de atribuição das instalações provenientes da App Store;
  • Stripe Payments Europe Ltd. (Irlanda / Estados Unidos) — prestador de serviços de pagamento certificado PCI-DSS, atua como responsável autónomo para as funções de prevenção de fraude;
  • Brevo (ex-Sendinblue, França) — envio de e-mails transacionais e newsletter;
  • Twilio Inc. (Estados Unidos) — envio de SMS de notificação;
  • Meta Platforms Ireland Ltd. (Facebook, Estados Unidos) e Microsoft Ireland Operations Ltd. (Bing Ads, Estados Unidos) — serviços de publicidade em linha, ativados exclusivamente com o seu consentimento prévio aos cookies de marketing;
  • Hotjar Ltd. / Contentsquare (Estados Unidos / UE) — ferramentas de análise da experiência do utilizador, ativadas exclusivamente com o seu consentimento prévio aos cookies funcionais.
  • OpenAI Ireland Ltd. (Irlanda / Estados Unidos) — fornece o modelo de linguagem que alimenta o assistente de conversação de apoio ao cliente (cf. secção 9). Os dados que lhe enviamos são pseudonimizados previamente através da substituição do nome, apelido, telefone, morada, intercomunicador e notas de entrega por marcadores opacos: o assistente trabalha assim num contexto desprovido de identificadores diretos. A OpenAI Ireland Ltd. atua como subcontratante nos termos do art. 28.º RGPD ao abrigo do Acordo de Tratamento de Dados celebrado com a Wedely, não utiliza os dados da API para treinar os seus modelos e aplica uma conservação técnica máxima de 30 dias para fins de prevenção de abusos.
A lista atualizada dos subcontratantes e dos respetivos acordos DPA está disponível mediante pedido para privacy@wedely.com. A destinatários para fins legais:
  • Administração das contribuições luxemburguesa (DAC7 — Diretiva (UE) 2021/514);
  • Autoridades judiciais ou administrativas, mediante pedido legalmente fundamentado.
5. Transferências para fora da União Europeia
Alguns dos nossos prestadores técnicos estão estabelecidos ou podem tratar os seus dados em países terceiros à União Europeia, nomeadamente nos Estados Unidos (Google, Apple, Stripe, Twilio, Meta, Microsoft, Hotjar/Contentsquare). Nesse caso, a transferência é enquadrada:
  • pela decisão de adequação EU-US Data Privacy Framework (Decisão de Execução (UE) 2023/1795 de 10 de julho de 2023), quando o destinatário esteja validamente certificado;
  • ou pelas cláusulas contratuais-tipo adotadas pela Decisão de Execução (UE) 2021/914, complementadas, se necessário, por medidas adicionais de acordo com a jurisprudência Schrems II e as Recomendações 01/2020 do EDPB.
6. Cookies e rastreadores
Na sua primeira visita, um banner informa-o da presença de cookies e permite-lhe recusar, aceitar ou personalizar a sua escolha. Os cookies estritamente necessários são instalados sem consentimento; os cookies funcionais, de medição de audiência não isentos e de marketing são instalados apenas com o seu consentimento prévio.

Pode alterar as suas preferências a qualquer momento na página wedely.com/cookies_consent. A lista detalhada dos cookies está disponível na nossa Política de Cookies.

7. Os seus direitos
Nos termos dos artigos 15.º a 22.º do RGPD, dispõe dos seguintes direitos:
  • Direito de acesso aos seus dados e de obter uma cópia;
  • Direito de retificação dos dados inexatos ou incompletos;
  • Direito ao apagamento dos seus dados nos casos previstos no artigo 17.º do RGPD;
  • Direito à limitação do tratamento;
  • Direito à portabilidade dos seus dados num formato estruturado e legível por máquina;
  • Direito de oposição ao tratamento, em particular para efeitos de marketing direto;
  • Direito de retirar o seu consentimento a qualquer momento, sem que tal afete a licitude dos tratamentos anteriores;
  • Direito de não ser objeto de uma decisão baseada exclusivamente no tratamento automatizado que produza efeitos jurídicos ou o afete significativamente.
A Wedely pode utilizar ferramentas automatizadas para melhorar o serviço (por exemplo, para sugerir restaurantes relevantes, encaminhar a sua encomenda para o estafeta mais próximo, prevenir fraudes e abusos). Não tomamos decisões baseadas exclusivamente em tratamento automatizado que produzam efeitos jurídicos significativos: qualquer decisão que afete os seus direitos contratuais (por exemplo, a suspensão da conta ou a recusa de uma encomenda) é objeto de intervenção humana.

Para exercer os seus direitos, contacte o nosso EPD através de privacy@wedely.com indicando o seu nome, o endereço de e-mail associado à sua conta Wedely e o direito que pretende exercer. O seu pedido será tratado no prazo de um mês a contar da verificação da sua identidade, prorrogável por dois meses para pedidos complexos (art. 12.3 RGPD). Poderemos solicitar informações adicionais para confirmar a sua identidade por razões de segurança.

Se considerar que os seus direitos não são respeitados, pode apresentar reclamação à Commission nationale pour la protection des données (CNPD): https://cnpd.public.lu, 15 boulevard du Jazz, L-4370 Belvaux.

8. Marketing direto
Tem o direito de se opor a qualquer momento ao tratamento dos seus dados para fins de marketing direto, incluindo a eventual perfilagem orientada para o marketing. Pode fazê-lo:
  • clicando na ligação « Cancelar subscrição » no rodapé de cada e-mail comercial que receber;
  • atualizando as suas preferências nas definições da sua conta Wedely;
  • escrevendo para privacy@wedely.com.
A oposição ao marketing direto é gratuita e produz efeito imediato. Continuará a receber apenas as comunicações de serviço estritamente necessárias à execução das encomendas (confirmações, notificações de entrega, faturas).

8.1. Perfilagem e personalização
Para lhe oferecer uma experiência útil e relevante, a Wedely efetua os seguintes níveis de tratamento:
  • Personalização do site e da aplicação: utilizamos o seu histórico de encomendas e as suas interações para sugerir restaurantes relevantes e melhorar a experiência de navegação (base jurídica: interesse legítimo);
  • Segmentação das comunicações: se deu consentimento para a newsletter, podemos enviar-lhe ofertas selecionadas com base nos seus interesses e hábitos de encomenda (base jurídica: consentimento);
  • Rastreamento publicitário cross-site: se aceitou os cookies de marketing, os nossos parceiros publicitários (Meta, Google Ads, Microsoft Bing Ads) e os identificadores publicitários móveis (IDFA/AAID) permitem-nos medir a eficácia das nossas campanhas e mostrar-lhe anúncios relevantes noutros sites e aplicações que visita (base jurídica: consentimento aos cookies de marketing).
O que NÃO fazemos: não tomamos decisões automatizadas de alto risco (por exemplo, classificações sociais, credit scores, exclusão automática de conta, avaliações discriminatórias). Qualquer decisão que afete os seus direitos contratuais é sempre objeto de revisão humana.

Tem o direito de se opor a qualquer momento à perfilagem orientada para o marketing direto, pelas mesmas modalidades descritas acima (ligação cancelar subscrição nos e-mails, definições da conta, e-mail ao EPD).

9. Comunicações de assistência (chatbot e chat)
A Wedely coloca à sua disposição algumas ferramentas de assistência acessíveis no site e na aplicação:
  • Assistente de conversação (chatbot) baseado em inteligência artificial. Quando contacta a assistência no site ou na aplicação, as suas questões são processadas por um modelo de linguagem fornecido pela OpenAI Ireland Ltd. (modelo atualmente em uso: GPT da família o-mini, sujeito a atualizações). Para reduzir a exposição dos seus dados pessoais, antes do envio ao modelo aplicamos uma pseudonimização automática: nome, apelido, número de telefone, morada, nome do intercomunicador e notas de entrega são substituídos por marcadores opacos (por exemplo <<NOME>>, <<TELEFONE>>); o valor real é reinserido apenas na resposta que lê do lado da Wedely. O assistente recebe assim apenas as informações operacionais necessárias para lhe responder (código de encomenda, restaurante, estado de entrega, distância do estafeta, montantes, etc.) mas não os identificadores diretos de quem é. O chatbot fornece informações e não toma decisões com efeitos jurídicos nos seus termos ao abrigo do art. 22.º RGPD: reembolsos, cancelamentos e alterações de encomenda são sempre geridos por pessoal humano. Pode pedir a qualquer momento para falar com um operador escrevendo « humano » ou utilizando o formulário da página contactos.
  • Mensagens livres associadas a uma encomenda. Para assinalar um problema ou solicitar assistência, pode enviar uma breve mensagem livre (máximo 256 caracteres) associada a uma encomenda específica. A mensagem é conservada juntamente com a encomenda para fins de rastreabilidade e gestão de eventuais litígios e pode ser lida pelo nosso pessoal de assistência.
  • Chat com o estafeta durante a entrega. Desde o momento em que um estafeta aceita a sua encomenda até à entrega, pode comunicar consigo através de um chat in-app limitado à execução da entrega. O chat fica consultável por um breve período após a encomenda para gestão de eventuais contestações e não é processado por sistemas de inteligência artificial.
Base jurídica do chatbot de IA. Execução do contrato e medidas pré-contratuais (art. 6.1.b RGPD) para os pedidos associados a uma encomenda em curso, e interesse legítimo (art. 6.1.f RGPD) em prestar assistência escalável e reduzir os tempos de resposta, equilibrado com a pseudonimização automática e com a possibilidade de passar a qualquer momento para um operador humano. Transferências. Se a OpenAI Ireland Ltd. tratar os dados fora do Espaço Económico Europeu, a transferência é coberta pelo Data Privacy Framework e/ou pelas cláusulas contratuais-tipo (SCC) previstas no art. 46.º RGPD. Conservação. As conversações com o chatbot são conservadas nos nossos sistemas juntamente com a encomenda de referência pelo prazo de conservação correspondente; a OpenAI Ireland Ltd. conserva os dados da API por um máximo de 30 dias apenas para fins de prevenção de abusos e não os utiliza para treinar os seus modelos. Distinção em relação à secção 11. A integração opcional com assistentes de IA externos (Model Context Protocol) descrita na secção 11 é um canal separado que o utilizador ativa ao ligar um conector ao seu assistente de IA pessoal: não recebe nem lê o conteúdo das conversas de assistência aqui descritas.

10. Segurança
A Wedely adota medidas técnicas e organizacionais adequadas para garantir a segurança dos seus dados: cifragem das comunicações em trânsito, gestão rigorosa dos acessos, cópias de segurança regulares, registo das atividades, sensibilização do pessoal e testes de segurança periódicos.

Medidas de segurança e prevenção de fraudes. Para proteger o serviço contra abusos e acessos automatizados, a Wedely aplica controlos técnicos (CAPTCHA mais estrito, limitação da frequência de envio de SMS de verificação, verificação suplementar) cuja intensidade varia em função de indicadores estatísticos de risco — entre os quais a geolocalização aproximada do endereço IP, utilizada como sinal de risco e não como dado pessoal relativo à nacionalidade. Base jurídica: art. 6.1.f RGPD (interesse legítimo na prevenção de fraudes). Estes controlos não constituem uma decisão automatizada na aceção do art. 22 RGPD; em caso de bloqueio automático, garantimos a intervenção de um operador humano através de info@wedely.com. Pode opor-se ao tratamento ao abrigo do art. 21 RGPD em privacy@wedely.com. Os critérios de risco baseiam-se em dados estatísticos de abuso e não na nacionalidade enquanto tal.

11. Integração com assistentes de IA (Model Context Protocol)
A Wedely oferece uma integração opcional com assistentes de IA de terceiros através do Model Context Protocol (MCP). A integração é estritamente opt-in e só se ativa se ligar explicitamente a Wedely como conector personalizado dentro do seu assistente de IA.

Nenhum acesso à sua conta Wedely. A integração não lê nome, e-mail, telefone, moradas guardadas, métodos de pagamento, histórico de encomendas nem qualquer dado do seu perfil Wedely. Cada sessão de encomenda por IA é anónima do nosso ponto de vista, identificada apenas por um token aleatório opaco gerado para a tentativa de encomenda individual.

O que recebemos via MCP. O assistente de IA envia-nos exclusivamente os dados operacionais necessários para construir a encomenda, ou seja, os que o próprio utilizador digitou na conversa: morada de entrega (e respetivas coordenadas geocodificadas), conteúdo do carrinho, horário de entrega escolhido, um token de sessão aleatório e um identificador anónimo da plataforma de IA utilizada.

O que devolvemos. Em resposta às chamadas do assistente de IA, a Wedely fornece apenas informações públicas (nomes e moradas dos restaurantes, ementas, preços, horários, opções de entrega). Nenhum dado pessoal de qualquer utilizador é incluído nas respostas MCP.

Conservação. A sessão temporária de IA é conservada por um máximo de 2 horas de inatividade, após as quais expira automaticamente; as sessões expiradas são eliminadas no prazo de 24 horas. Se confirmar a encomenda em wedely.com, a encomenda é criada na sua conta nos termos da secção 3 da presente política. Se nenhuma encomenda for confirmada, a sessão e o conteúdo são eliminados à expiração e nunca passam a fazer parte de uma conta de utilizador.

Responsáveis separados e transferências internacionais. O fornecedor do assistente de IA é um responsável pelo tratamento autónomo para a conversa que mantiver com a sua ferramenta. A Wedely e o fornecedor do assistente de IA não são contitulares nem estão ligados por uma relação prevista no art. 28.º RGPD. Quando o fornecedor opera fora do Espaço Económico Europeu, os dados que digita no assistente de IA são tratados de acordo com a sua política de privacidade e os seus mecanismos de transferência (DPF, cláusulas contratuais-tipo). A Wedely não transfere os seus dados pessoais para o fornecedor do assistente de IA.

Base jurídica. Medidas pré-contratuais a seu pedido (art. 6.1.b RGPD) aliadas ao consentimento explícito (art. 6.1.a RGPD), prestado ao ligar o conector MCP. Pode revogar o consentimento a qualquer momento removendo o conector das definições do seu assistente de IA. Nenhuma tomada de decisão automatizada nos termos do art. 22.º RGPD: as encomendas são sempre confirmadas manualmente pelo utilizador em wedely.com.

12. Conteúdos gerados ou retocados com inteligência artificial
Algumas imagens ilustrativas publicadas no site e na aplicação — em particular as fotografias dos pratos e das categorias de cozinha — podem ser geradas ou retocadas com ferramentas de inteligência artificial. Estas imagens têm finalidade puramente ilustrativa: representam uma ideia visual do prato e não constituem uma fotografia exata do produto entregue, que pode diferir em apresentação, porcionamento, ingredientes ou disposição.

Controlo humano. Todas as imagens geradas ou retocadas com IA passam por uma revisão editorial humana da parte da equipa Wedely (ou do restaurante/estabelecimento parceiro) antes de serem publicadas.

Sem dados pessoais dos clientes. Para produzir estas imagens, a Wedely envia aos seus fornecedores de IA exclusivamente a descrição textual do prato, produto, cozinha ou estabelecimento e da cena fotográfica. Nenhum dado pessoal dos clientes é comunicado e nenhum rosto ou pessoa real é representado.

13. Alterações à presente política
A Wedely pode alterar a presente política para refletir uma evolução regulamentar, técnica ou organizacional. Qualquer alteração substancial é comunicada ao utilizador através de aviso no site ou por e-mail.

14. Contacto
Para qualquer questão relativa à presente política:
  • E-mail: privacy@wedely.com
  • Morada postal: Wedely S.à r.l. — EPD, 5, rue Aldringen, L-1118 Luxemburgo