LEGAL
Política de privacidade.
Última atualização: julho de 2026
1. Responsável pelo tratamento
O responsável pelo tratamento dos dados pessoais é O Meu Dia (doravante «O Meu Dia», «nós» ou «plataforma»), contactável através do endereço .
Nesta fase, O Meu Dia é o nome comercial sob o qual o serviço é operado. A identificação fiscal completa (denominação social e NIF/NIPC) será acrescentada a esta política assim que a entidade for formalmente constituída.
Tratamos os dados pessoais em conformidade com o Regulamento (UE) 2016/679 (RGPD) e a legislação nacional aplicável.
No modelo B2B2C da plataforma, O Meu Dia atua como responsável pelo tratamento dos dados dos organizadores (ex.: noivos, padrinhos). Relativamente aos dados dos convidados, O Meu Dia atua frequentemente como subcontratante em nome do organizador, que determina os fins da recolha e é o principal responsável perante os seus convidados. Os Termos e Condições para organizadores formalizam esta relação e as obrigações de cada parte.
2. Dados que recolhemos e finalidades
Recolhemos apenas os dados estritamente necessários para cada finalidade:
| Categoria | Dados | Finalidade | Base legal |
|---|---|---|---|
| Convidados | Email, nome | Acesso ao evento, confirmação de presença, comunicados | Interesse legítimo do organizador; contrato |
| Restrições alimentares / alergias (opcional) | Alergias, intolerâncias, preferências de menu declaradas pelo convidado | Adequação do menu do evento pelo organizador | Consentimento explícito (Art.º 9.º RGPD) — caixa de seleção não pré-marcada na confirmação de presença |
| Fotografias e média | Imagens carregadas por convidados ou organizadores no álbum do evento | Memória partilhada do evento | Consentimento explícito no momento do carregamento |
| Livro de honra | Mensagens de texto deixadas pelo convidado no livro de honra do evento | Memória partilhada do evento | Consentimento explícito no momento da publicação |
| Notificações push (opcional) | Identificador técnico de subscrição (endpoint push) gerado ao ativar “Guardar no telemóvel” | Envio de notificações e comunicados do evento | Consentimento — eliminável a qualquer momento ao desativar as notificações |
| Contacto para notificações (opcional) | Email ou número de telemóvel do convidado, fornecido pelo organizador (lista de convidados) ou pelo próprio convidado ao escolher como quer ser notificado | Envio de notificações logísticas do evento por email ou SMS: lembretes de confirmação, comunicados do organizador e aviso de fotos | O convidado escolhe um único canal (email ou SMS); guardar o contacto é o consentimento explícito (Art.º 6.º n.º 1 a) RGPD) e só esse canal é usado. Um número importado pelo organizador é guardado ao abrigo do interesse legítimo (logística do evento), mas os SMS só são enviados depois de o convidado confirmar. Cancelável a qualquer momento na página “Notificações do evento” do convite |
| Organizadores | Email, nome, dados do evento | Gestão da plataforma, faturação | Execução de contrato |
| Pedidos de orçamento | Nome, email, telefone, detalhes do evento | Resposta ao pedido, proposta comercial | Medidas pré-contratuais |
| Técnicos | Tokens de sessão, endereço IP | Autenticação, segurança, prevenção de fraude, limitação automática de pedidos (anti-abuso) | Interesse legítimo; obrigação legal |
Mediante consentimento, utilizamos cookies de análise (Google Analytics) exclusivamente para perceber como o site é visitado e melhorar a experiência. Não criamos perfis comportamentais individuais nem tomamos decisões automatizadas com efeitos jurídicos significativos.
Dados de menores: a submissão de dados de menores (por exemplo, nome e grupo etário para confirmação de presença) deve ser feita exclusivamente pelos respetivos pais ou tutores legais, que assumem a responsabilidade pelo consentimento aplicável.
Jornada física→digital: como a experiência começa num convite em papel e transita para a plataforma digital via QR code, o primeiro ecrã da aplicação apresenta um link visível para esta Política de Privacidade antes de o convidado introduzir qualquer dado.
3. Subcontratantes (processadores de dados)
Recorremos a terceiros para operar a plataforma. Todos celebraram connosco um acordo de tratamento de dados e oferecem garantias suficientes de conformidade com o RGPD:
- Supabase — base de dados, autenticação e armazenamento de ficheiros. Dados alojados na União Europeia (região EU West).
- Cloudflare — alojamento, CDN e verificação de segurança (Turnstile). Empresa sediada nos EUA; transferências ao abrigo de Cláusulas Contratuais Padrão (CCS).
- Resend — envio de emails transacionais (OTP, confirmações, comunicados). Empresa sediada nos EUA; transferências ao abrigo de CCS.
- Twilio (Twilio Inc., EUA) — envio de SMS com notificações do evento (lembretes, comunicados, fotos). O número de telemóvel e o conteúdo da mensagem são transmitidos à Twilio para entrega; não guardamos o conteúdo das mensagens nos nossos sistemas. Transferências ao abrigo de CCS.
- Upstash — armazenamento em memória para limitação automática de pedidos (rate limiting anti-abuso). Os endereços IP são processados temporariamente durante a janela de controlo (máximo 15 minutos) e não são persistidos para outros fins. Empresa sediada nos EUA; transferências ao abrigo de CCS.
- Sentry (Functional Software, Inc., EUA) — monitorização de erros e gravação de sessão (session replay) para diagnóstico técnico. As gravações mascaram todo o texto visível e bloqueiam imagens e média, e só são ativadas após consentimento de análise. Transferências ao abrigo de CCS.
- Google Analytics (Google LLC, EUA) — análise de tráfego e comportamento no site. Ativado apenas após consentimento explícito. Transferências ao abrigo de CCS.
- Meta Platforms, Inc. (EUA) — pixel de medição de campanhas publicitárias. Ativado apenas após consentimento explícito. Transferências ao abrigo de CCS.
Nunca vendemos nem cedemos dados pessoais a terceiros para fins comerciais.
4. Cookies e tecnologias semelhantes
Utilizamos dois tipos de cookies: os estritamente necessários para o funcionamento do serviço (sem necessidade de consentimento) e os cookies de análise e marketing (ativados apenas com o teu consentimento explícito).
4.1 Cookies estritamente necessários
- Cookies de sessão Supabase — guardam o token de autenticação para manter a sessão ativa. Expiram quando feches o browser ou ao fim do período de sessão.
- Cloudflare Turnstile — verifica que o pedido é humano (formulários de contacto). Não armazena dados pessoais identificáveis.
Por se tratarem de cookies estritamente necessários, o seu uso não requer consentimento prévio nos termos da Diretiva ePrivacy.
4.2 Cookies de análise (com consentimento)
- Google Analytics 4 (Google LLC, EUA) — recolhe métricas de visitas anónimas (páginas visitadas, origem do tráfego, duração). Ativado apenas após consentimento. Base legal: Art.º 6.º n.º 1 a) RGPD (consentimento). Transferências para os EUA ao abrigo de CCS.
4.3 Cookies de marketing (com consentimento)
- Meta Pixel (Meta Platforms, Inc., EUA) — mede a eficácia de eventuais campanhas publicitárias. Ativado apenas após consentimento. Base legal: Art.º 6.º n.º 1 a) RGPD (consentimento). Transferências para os EUA ao abrigo de CCS.
4.4 Gestão do consentimento
Ao acederes ao site pela primeira vez, é apresentado um aviso de cookies onde podes aceitar todos os cookies ou escolher apenas os estritamente necessários. Podes retirar o teu consentimento a qualquer momento limpando os dados de navegação do browser (localStorage) ou ajustando as definições do teu browser. A retirada do consentimento não afeta a licitude do tratamento efetuado antes dessa retirada.
5. Retenção de dados
- Dados de convidados — conservados durante a duração do evento e eliminados 12 meses após a data do mesmo, salvo pedido de eliminação antecipado.
- Dados de organizadores — conservados durante a vigência do contrato de serviço e por mais 3 anos após o seu término (obrigações legais e fiscais).
- Pedidos de orçamento — conservados por 3 anos a partir da data do pedido.
- Dados técnicos (logs) — conservados por no máximo 90 dias.
- Dados de limitação de pedidos (Upstash) — endereços IP conservados automaticamente apenas durante a janela de controlo, no máximo 15 minutos.
6. Transferências internacionais
Alguns dos nossos subcontratantes estão sediados fora do Espaço Económico Europeu (EEE), nomeadamente nos EUA. Nestes casos, as transferências são realizadas ao abrigo de Cláusulas Contratuais Padrão (CCS) aprovadas pela Comissão Europeia, que oferecem salvaguardas equivalentes às exigidas pelo RGPD.
7. Os teus direitos (RGPD)
Tens os seguintes direitos relativamente aos teus dados pessoais:
- Acesso — solicitar uma cópia dos dados que guardamos sobre ti.
- Retificação — corrigir dados inexatos ou incompletos.
- Eliminação — pedir a eliminação dos teus dados («direito ao esquecimento»).
- Portabilidade — receber os teus dados num formato estruturado e legível por máquina.
- Oposição — opor-te ao tratamento baseado em interesses legítimos.
- Limitação — solicitar a suspensão do tratamento em certas circunstâncias.
Para exercer qualquer destes direitos, envia um email para privacidade@omeudia.pt. Respondemos no prazo máximo de 30 dias. Tens ainda o direito de apresentar reclamação junto da CNPD (Comissão Nacional de Proteção de Dados).
8. Segurança
Adotamos medidas técnicas e organizativas adequadas para proteger os dados pessoais contra acesso não autorizado, alteração, divulgação ou destruição, incluindo encriptação em trânsito (TLS), controlo de acesso por funções (RLS) e armazenamento seguro de credenciais.
9. Alterações a esta política
Podemos atualizar esta política periodicamente. Em caso de alterações significativas, notificaremos os utilizadores registados por email com pelo menos 30 dias de antecedência. A data da última atualização está indicada no topo desta página.
10. Contacto
Para qualquer questão relacionada com privacidade ou proteção de dados, contacta-nos em privacidade@omeudia.pt.