Política de Privacidade da Evnyo

Bem-vindos à plataforma Evnyo, uma solução SaaS pay-per-event destinada às PME europeias para a gestão dos seus eventos. A proteção dos vossos dados pessoais é a nossa prioridade absoluta. Esta política de privacidade explica de forma transparente como a Evnyo trata os vossos dados, em total conformidade com o Regulamento (UE) 2016/679 (RGPD) e as leis nacionais aplicáveis. Redigida com o mais alto nível de exigência jurídica, esta política reflete o nosso compromisso em matéria de privacidade e segurança. Detalhamos as finalidades dos tratamentos de dados, as nossas bases legais, os subcontratantes que utilizamos, as medidas de segurança implementadas, os vossos direitos e como os exercer.

A Evnyo compromete-se a respeitar os princípios de licitude, lealdade, transparência, minimização de dados e limitação das finalidades previstos pelo RGPD. Asseguramos também a responsabilização (accountability) documentando rigorosamente a nossa conformidade. Ao utilizar a nossa plataforma, mantêm o controlo dos vossos dados: apenas os utilizamos para as finalidades explícitas descritas abaixo e nunca os comercializamos.

O responsável pelo tratamento dos dados recolhidos através da plataforma Evnyo é MACK, sociedade de responsabilidade limitada francesa com capital social de 246 389,00 €, sede social APPARTEMENT 6 2 ALL SAINT MICHEL 59890 QUESNOY SUR DEULE, registada no Registo Comercial e das Sociedades de Lille Métropole sob o número 852 895 747, SIRET 85289574700032 (doravante "Evnyo" ou "nós"). Enquanto responsável pelo tratamento, determinamos as finalidades e os meios dos tratamentos relativos à gestão do site e das contas de clientes. Além disso, quando tratamos dados de participantes por conta dos nossos clientes (organizadores de eventos), atuamos na qualidade de subcontratante em conformidade com o artigo 28.º do RGPD (ver secção "Subcontratação" abaixo).

Designação de um Referente de Proteção de Dados: Enquanto PME, a Evnyo não tem a obrigação legal de designar um DPO no sentido do artigo 37.º do RGPD e das legislações nacionais equivalentes, pois a nossa atividade principal não consiste num tratamento em grande escala que exija um acompanhamento regular e sistemático dos titulares dos dados, nem num tratamento em grande escala de categorias especiais de dados. Esta avaliação foi efetuada em conformidade com as orientações do Comité Europeu para a Proteção de Dados (CEPD) e das autoridades nacionais. No entanto, por transparência e melhoria contínua das nossas práticas, escolhemos designar um referente de proteção de dados. Este referente não possui o estatuto de DPO no sentido do artigo 37.º do RGPD.

Autoridades de controlo competentes: Dependendo do vosso local de residência, a autoridade de controlo competente é:

• França: Commission Nationale de l'Informatique et des Libertés (CNIL)
• Reino Unido: Information Commissioner's Office (ICO)
• Alemanha: Autoridades de proteção de dados dos Länder e Bundesbeauftragte für den Datenschutz
• Espanha: Agencia Española de Protección de Datos (AEPD)
• Itália: Garante per la protezione dei dati personali
• Portugal: Comissão Nacional de Proteção de Dados (CNPD)
• Polónia: Urząd Ochrony Danych Osobowych (UODO)
• Roménia: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
• Países Baixos: Autoriteit Persoonsgegevens (AP)
• Bélgica: Autorité de protection des données (APD/GBA)
• Áustria: Datenschutzbehörde (DSB)

Para qualquer questão relativa a esta política ou para exercer os vossos direitos (detalhados abaixo), podem contactar o nosso referente de proteção de dados:

• Dominique PRASIVORAVONG – Referente de Proteção de Dados da Evnyo
• Contacto: privacy@evnyo.com (ou por correio para o endereço da nossa sede, à atenção do referente de proteção de dados)

Recolhemos e tratamos dados pessoais apenas para finalidades determinadas, explícitas e legítimas. Abaixo encontram a lista detalhada das nossas finalidades de tratamento, bem como a base legal correspondente para cada uma delas, em conformidade com o artigo 6.º do RGPD:

• Envio de convites e lembretes para eventos: A Evnyo permite aos organizadores enviar convites por email (através do Postmark) e SMS (através do Twilio) aos participantes, fazer seguimento às pessoas que não responderam ou enviar-lhes lembretes antes do evento. Este tratamento é necessário para a execução do contrato que nos liga aos nossos clientes organizadores (artigo 6.º, n.º 1, alínea b) do RGPD) – atuamos sob instruções dos nossos clientes para contactar os convidados no âmbito da organização do evento. O organizador, enquanto responsável pelos convites, assegura-se de dispor de uma base legal adequada (por exemplo, o seu interesse legítimo em convidar os seus contactos profissionais).

• Acompanhamento da participação e gestão do check-in: A nossa plataforma trata as respostas dos convidados (participação confirmada, recusa, etc.), assegura o acompanhamento das inscrições e gere o acesso ao evento. Estes dados permitem ao organizador acompanhar em tempo real a afluência e gerir a presença dos participantes no dia do evento. O tratamento é efetuado no âmbito do serviço prestado (gestão do evento), numa base contratual (artigo 6.º, n.º 1, alínea b)).

• Importação de contactos: A Evnyo oferece uma funcionalidade de importação de contactos para ajudar os nossos clientes a integrar facilmente as suas listas de convidados (por exemplo, a partir de um livro de endereços). Esta operação, ativada a pedido do utilizador, implica o tratamento de dados de contacto (ex. nomes, emails, números) dos vossos contactos para os adicionar como convidados. O uso de dados brutos ou derivados de usuários recebidos das APIs do Workspace estará em conformidade com a Política de Dados do Usuário do Google, incluindo os requisitos de Uso Limitado. A base legal é a execução do contrato e o interesse legítimo do organizador em simplificar a adição de participantes (artigo 6.º, n.º 1, alínea b) ou f) dependendo dos casos). O cliente compromete-se a importar apenas contactos que está autorizado a utilizar e a ter informado essas pessoas se necessário.

• Correção de dados e geração de imagens por IA: Para melhorar a experiência do utilizador, oferecemos funcionalidades assistidas por inteligência artificial. Concretamente, a Evnyo pode enviar à OpenAI excertos de dados fornecidos pelo cliente (por exemplo, um ficheiro CSV mal estruturado ou uma lista de participantes copiada e colada) para corrigir o formato ou gerar automaticamente uma imagem (visual do evento) a pedido. Estes tratamentos têm como finalidade facilitar a preparação do evento (dados uniformizados, visuais atrativos). A base legal baseia-se na execução do contrato – estas funcionalidades sendo ativadas apenas a vosso pedido para vos servir. Nota: Os dados transmitidos à OpenAI são limitados ao estritamente necessário (princípio da minimização) e sujeitos a tratamento automatizado. Em conformidade com os termos de uso da OpenAI, os dados submetidos através da sua API não são utilizados para treinar os seus modelos (exceto opt-in explícito da nossa parte, o que não fazemos) e são automaticamente eliminados dos seus sistemas num prazo máximo de 30 dias após o tratamento. Importante: Os dados de contactos do Google Workspace são utilizados exclusivamente para convites de eventos. Nenhum modelo de IA ou aprendizagem automática utiliza dados das APIs do Google Workspace. As nossas funcionalidades de IA operam de forma totalmente independente das fontes de dados Google.

• Estatísticas anonimizadas: A Evnyo pode elaborar estatísticas globais e anonimizadas a partir dos dados dos eventos (ex. taxa média de resposta, número total de participantes, etc.) para fornecer aos organizadores indicadores sobre o sucesso dos seus eventos e melhorar os nossos serviços. Nenhum dado pessoal aparece nestas estatísticas (os resultados são agregados de forma irreversível). A produção de tais estatísticas não tendo impacto na privacidade (dados não identificativos), pode ser efetuada com base no nosso interesse legítimo em avaliar e melhorar os nossos serviços (artigo 6.º, n.º 1, alínea f) do RGPD).

• Processamento de pagamentos e faturação: A Evnyo utiliza o Stripe para processar pagamentos dos nossos clientes organizadores pela utilização da nossa plataforma pay-per-event, bem como para gerir a faturação recorrente e subscrições. Esta função inclui o processamento seguro de dados bancários, validação de pagamentos, gestão de cronogramas de faturação e rastreamento de transações. A base legal para este tratamento é a execução do contrato que nos liga aos nossos clientes (Artigo 6(1)(b) RGPD) – estes dados de pagamento são essenciais para fornecer o nosso serviço pago e cumprir as nossas obrigações contratuais de faturação.

• Gestão de cookies e consentimentos: No nosso website, utilizamos cookies e rastreadores em conformidade com os requisitos da Diretiva ePrivacy (2002/58/CE) e das suas transposições nacionais, particularmente as rigorosas regulamentações alemãs e francesas em matéria de cookies. Os cookies não essenciais (por exemplo, para medições de audiência ou funcionalidades de personalização) são apenas colocados após obter o vosso consentimento prévio, livre, específico, informado e inequívoco através do nosso banner de consentimento gerido pelo CookieYes. Este consentimento é registado e documentado em conformidade com os padrões mais rigorosos. A base legal para o uso de cookies não essenciais é o vosso consentimento explícito (artigo 6.º, n.º 1, alínea a) do RGPD). Relativamente aos cookies estritamente necessários para o funcionamento do serviço (ex. para permanecer ligado à vossa conta), baseiam-se no nosso interesse legítimo ou na necessidade técnica ligada à execução do serviço solicitado (artigo 6.º, n.º 1, alínea b) ou f)). Podem gerir as vossas preferências de cookies a qualquer momento através da ferramenta de consentimento (CMP) e retirar o vosso consentimento tão facilmente como o deram. (Ver secção "Cookies" abaixo.)

• Documentação de consentimentos e obrigações legais: Para demonstrar a nossa conformidade regulamentar em todos os países onde operamos, conservamos a prova de qualquer consentimento que possam ter dado (por exemplo, o vosso consentimento aos cookies através do CookieYes, ou para receber comunicações se aplicável). Em virtude do RGPD e das leis nacionais equivalentes, o responsável pelo tratamento deve poder fornecer a qualquer momento a prova de que a pessoa consentiu em condições válidas. Documentamos, portanto, as condições de recolha de consentimentos e mantemos um registo de consentimentos em conformidade com as recomendações das autoridades europeias de proteção de dados. Este tratamento é necessário para o cumprimento de uma obrigação legal que recai sobre nós (artigo 6.º, n.º 1, alínea c) do RGPD, art. 7.º, n.º 1 do RGPD – capacidade de provar o consentimento). Por exemplo, o registo de consentimentos recolhidos através do CookieYes (incluindo o histórico das escolhas de cada utilizador, um identificador, data/hora e endereço IP anonimizado) é conservado de forma segura para constituir uma prova em caso de controlo ou contestação.

Em todas as circunstâncias, a Evnyo trata os vossos dados pessoais apenas para as finalidades mencionadas e nunca procederá a tratamentos posteriores incompatíveis com essas finalidades sem vos informar e, se for o caso, obter novamente o vosso consentimento. Além disso, nenhuma tomada de decisão automatizada ou definição de perfis no sentido do artigo 22.º do RGPD é implementada através dos nossos serviços.

No âmbito das finalidades acima, a Evnyo pode recolher diferentes categorias de dados pessoais:

• Dados de identificação e contacto: nome, apelido, endereço de email, número de telefone dos participantes convidados para um evento (fornecidos pelo organizador ou pelo próprio participante durante a inscrição). Para os utilizadores clientes (organizadores), recolhemos nomes, apelidos, dados de contacto profissionais, função/título, bem como informações relativas à empresa (razão social, endereço, NIF se aplicável) durante a criação da conta e faturação.

• Dados relativos ao evento: informações ligadas ao convite e à participação das pessoas – ex. estado do convite (enviado/aberto), resposta (sim/não/pendente), número de acompanhantes, preferências expressas (ex. escolha de horário ou regime alimentar, se o organizador o solicitar), presença efetiva durante o check-in. Estes dados permitem o acompanhamento logístico do evento.

• Dados importados: se o organizador utilizar a função de importação de contactos, a Evnyo tratará dados do seu livro de endereços de terceiros (ex. contactos Gmail, Outlook) que tenha selecionado – tipicamente nome, email, empresa, telefone dos contactos a convidar. Importante: esta importação é realizada apenas por iniciativa do utilizador e com a sua autorização explícita para aceder a esses contactos através do serviço de terceiros (que pode solicitar a autorização OAuth correspondente). A Evnyo não utiliza estes dados além da constituição da lista de convidados.

• Conteúdos fornecidos: qualquer conteúdo livre que possam introduzir na plataforma, por exemplo, a mensagem personalizada do convite, o logo ou visual do evento (que pode conter uma imagem, potencialmente o rosto de uma pessoa se a carregarem, etc.), ou ficheiros que anexem (ex. programa PDF do evento). Estes conteúdos são utilizados apenas no âmbito do evento (distribuição do convite, disponibilização aos participantes, etc.). Quando a Evnyo recorre à OpenAI para gerar uma imagem ou reformatar um texto fornecido, o prompt e/ou os dados enviados à IA podem incluir certos elementos destes conteúdos fornecidos (ex. texto bruto contendo nomes). No entanto, asseguramo-nos de não enviar informações supérfluas ou altamente sensíveis a estes serviços externos.

• Dados técnicos e de navegação: durante a vossa utilização da plataforma ou consulta do site, podemos recolher certos dados técnicos: endereço IP (anonimizado para as medições de audiência), informações do dispositivo e navegador, preferências de idioma, logs de ligação (datas/horas) e cookies (ver secção dedicada). Estes dados são principalmente utilizados para a segurança, fornecimento do serviço (ex. manter a vossa sessão aberta) e estatísticas agregadas. Podem também servir para detetar e prevenir usos abusivos da plataforma.

Todos os dados recolhidos são obtidos diretamente de vós (utilizador organizador ou convidado) ou provêm da vossa utilização dos serviços (ex. estado de participação). Nos raros casos em que os dados nos são transmitidos por um terceiro autorizado (ex. um colega vos inscreve num evento através da Evnyo), o organizador compromete-se a ter obtido as autorizações necessárias. Pedimos aos nossos clientes-organizadores que se assegurem de informar corretamente os participantes da utilização da plataforma Evnyo para gerir os convites, em conformidade com o artigo 14.º do RGPD se aplicável.

Os vossos dados pessoais são acessíveis ao pessoal autorizado da Evnyo na estrita medida do necessário (princípio de acesso limitado – por exemplo, a nossa equipa de apoio pode aceder às informações da vossa conta para vos assistir). Além destes acessos internos protegidos por compromissos de confidencialidade, a Evnyo não comunica os vossos dados a terceiros, exceto aos seus prestadores técnicos devidamente autorizados, listados abaixo. Estes prestadores atuam em nosso nome e por nossa conta como subcontratantes, segundo as nossas instruções e respeitando esta política.

Selecionamos os nossos subcontratantes com o maior cuidado, assegurando-nos de que apresentam garantias suficientes em matéria de proteção de dados (experiência, medidas de segurança, conformidade com o RGPD). Importante: A Evnyo assegura-se de que todos os seus subcontratantes fora da UE dispõem de mecanismos de transferência validados (BCR, CCT, decisão de adequação). Os DPA padrão utilizados respeitam as exigências do artigo 28.º do RGPD. Estes DPA padrão definem o objeto e a duração do tratamento, a natureza das operações realizadas, os tipos de dados e pessoas em causa, bem como as obrigações de confidencialidade, segurança e assistência que lhes incumbem. Os nossos subcontratantes nunca utilizarão os vossos dados para outros fins que não aqueles que lhes especificámos segundo os seus termos gerais de utilização. Aqui está a lista completa dos nossos prestadores e o seu papel exato:

• CookieYes – Consent Management Platform (CMP): ferramenta de gestão de consentimentos de cookies. O CookieYes implementa o banner de cookies no nosso site e regista as escolhas de cada utilizador relativamente aos cookies. Papel: garantir que os rastreadores não essenciais só são ativados com consentimento, e conservar a prova do consentimento ou recusa do utilizador. Localização: CookieYes Limited é uma empresa registada no Reino Unido. As preferências de consentimento podem ser armazenadas localmente (através de um cookie técnico no vosso navegador) e/ou nos servidores do CookieYes. Estes dados (identificador anónimo de consentimento, data, tipo de consentimento) são puramente técnicos e utilizados para provar o cumprimento das vossas escolhas.

• Declaração sobre uso de dados da API do Google: O uso pela Evnyo das informações recebidas das API do Google cumpre a Política de Dados do Utilizador dos Serviços API do Google, incluindo os requisitos de Uso Limitado. Para mais informações sobre estes requisitos pode visitar: Google Workspace API User Data Policy e Google API Services User Data Policy .

• OpenAI – Inteligência Artificial (IA): serviço de IA avançada que utilizamos através de API para funcionalidades específicas (ex: correção de dados mal formatados, geração de imagens a pedido). Papel: tratamento algorítmico do conteúdo que lhe submetemos para produzir um resultado (ficheiro corrigido ou imagem gerada) devolvido à Evnyo. Localização: Estados Unidos (OpenAI, Inc.). Dados transmitidos: excertos de texto ou instruções que nos fornecem para uso da IA (que podem conter dados pessoais se os tiverem incluído). Garantias: Em conformidade com os termos de uso da API da OpenAI (OpenAI API Data Processing Terms), os dados que transmitimos não são utilizados pela OpenAI para treinar os seus modelos de IA (exceto opt-in explícito da nossa parte, o que não fazemos) e são automaticamente eliminados dos seus sistemas num prazo máximo de 30 dias após tratamento. A OpenAI compromete-se contratualmente a não utilizar estes dados para outros fins que não o fornecimento do serviço solicitado.

• Supabase – Base de dados & Alojamento de ficheiros: O Supabase é o nosso fornecedor de infraestrutura aplicacional. Papel: alojamento da base de dados PostgreSQL contendo os dados da Evnyo (contas, eventos, convites, respostas, etc.), e armazenamento dos ficheiros associados (ex. imagens dos vossos eventos) num espaço dedicado (bucket). Localização: União Europeia. Utilizamos os servidores europeus do Supabase (região UE) para que todos os dados e ficheiros sejam alojados exclusivamente na Europa. Note-se que o Supabase baseia-se em centros de dados certificados (utilizam nomeadamente infraestruturas Cloud regionais conformes ao RGPD). Os dados armazenados na base ou no bucket estão encriptados em repouso (ver secção Segurança) e são apenas acessíveis às aplicações Evnyo e aos nossos administradores autorizados. O Supabase não acede aos dados em texto claro e não os utiliza de outra forma que não para as necessidades técnicas do armazenamento.

• Vercel – Alojamento front-end: O Vercel é a plataforma de alojamento do front-end da nossa aplicação (website e interface de utilizador da Evnyo). Papel: distribuição da aplicação web e conteúdos estáticos aos utilizadores finais, através de uma rede mundial de distribuição de conteúdos (CDN) para desempenho ótimo. Localização: principalmente nos Estados Unidos (Vercel Inc.), com uma CDN em todo o mundo (incluindo servidores na Europa) para aproximar o conteúdo do utilizador. Garantias de transferência: O Vercel está certificado para o EU-US Data Privacy Framework e oferece um Data Processing Addendum padrão conforme ao RGPD. Dados em causa: essencialmente dados técnicos de navegação. Quando utilizam a Evnyo, o vosso navegador liga-se aos servidores do Vercel para carregar a interface; o Vercel pode registar dados técnicos (ex. endereço IP, data, recurso solicitado) para necessidades de log e cache, mas não trata nenhum dado pessoal aplicacional armazenado (a base de dados permanece no Supabase). Os logs do Vercel são apenas utilizados para fins de resolução de problemas e são purgados regularmente.

• Postmark – Envio de emails transacionais: serviço de email (oferecido pela Wildbit/ActiveCampaign) utilizado para encaminhar os emails gerados pela Evnyo. Papel: envio fiável de emails transacionais relacionados com eventos (ex. convites, confirmações de inscrição, lembretes, seguimentos pós-evento) em nome do organizador. Localização: principalmente nos Estados Unidos (servidores de envio Postmark), com infraestruturas redundantes. Garantias de transferência: O Postmark oferece um Data Processing Addendum (DPA) padrão conforme aos requisitos do RGPD e garantias contratuais para transferências internacionais. Dados transmitidos: endereço de email do destinatário, conteúdo do convite ou mensagem (incluindo possivelmente o nome do convidado, detalhes do evento, etc.). O Postmark atua como simples vetor de envio e armazena temporariamente informações de envio (log de emails, estado de entrega) para fins de acompanhamento e prova de envio. Estes logs são conservados por um tempo limitado e depois eliminados segundo a sua política de retenção. O Postmark está contratualmente obrigado a respeitar a confidencialidade dos dados transmitidos.

• Twilio – Envio de SMS transacionais: plataforma utilizada para o envio de SMS (por exemplo, convites ou lembretes SMS, ou mensagens de verificação) aos participantes que forneceram um número de telefone. Papel: encaminhar SMS para os operadores telefónicos dos vossos contactos. Localização: A Twilio Inc. é uma empresa americana, mas tem pontos de presença na UE. Por defeito, os pedidos SMS da Evnyo são encaminhados através de servidores situados na UE. No entanto, em caso de sobrecarga ou necessidade de encaminhamento internacional, pode acontecer que a mensagem seja processada por um servidor fora da UE (ex. nos Estados Unidos) para garantir a entregabilidade – este é o "fallback" internacional. Garantias de transferência: A Twilio dispõe de Regras Empresariais Vinculativas (BCR) aprovadas pelas autoridades europeias de proteção de dados e oferece um Data Processing Addendum conforme ao RGPD. Dados transmitidos: número de telefone do destinatário, conteúdo textual do SMS (incluindo possivelmente o nome do evento ou um link de confirmação). A Twilio conserva estes dados apenas para o registo e faturação (detalhes das mensagens) e elimina-os segundo prazos conformes às regulamentações telecom.

• Stripe – Processamento de pagamentos: plataforma de pagamentos utilizada para processar pagamentos dos nossos clientes organizadores de eventos e faturação dos nossos serviços. Função: processamento seguro de pagamentos com cartão de crédito, transferências bancárias e outros métodos de pagamento, bem como gestão de faturação e subscrições. Localização: Stripe Europe, Ltd. (Irlanda) para clientes europeus, com infraestrutura distribuída na Europa e conformidade SEPA. Garantias de transferência: Stripe possui certificações RGPD abrangentes e aplica Cláusulas Contratuais Padrão (SCC) para qualquer transferência fora da UE. Dados transmitidos: detalhes de faturação do organizador (nome, morada, email, informações de pagamento), montantes das transações, histórico de faturação. Stripe atua como responsável pelo tratamento para aspectos relacionados com pagamentos e como subcontratante para dados que lhe transmitimos como parte do nosso serviço. Os dados de pagamento são encriptados e seguros de acordo com as normas PCI DSS. Stripe conserva dados de transação de acordo com as suas próprias políticas de retenção e obrigações regulamentares financeiras.

• OVH – Gestão do nome de domínio & DNS: A OVHcloud é o nosso registador e anfitrião DNS para o domínio evnyo.com. Papel: gestão técnica do nome de domínio, registos DNS (nomeadamente os ligados ao envio de emails, como SPF/DKIM), e alojamento de certas funções auxiliares (ex. redirecionamento do site para o Vercel). Localização: França (OVH, empresa francesa). Dados pessoais: muito poucos dados na realidade – a OVH trata essencialmente dados técnicos (consultas DNS dos visitantes, que não contêm dados pessoais identificáveis per se exceto possivelmente o IP de quem faz a consulta). Por transparência, mencionamos a OVH porque é um prestador de serviços na nossa cadeia técnica, mas não explora nenhum dado de utilizador final.

Cada prestador de serviços mencionado acima atua apenas sob instruções da Evnyo e nunca por conta própria. Mantemos o controlo dos vossos dados. Se no futuro tivéssemos de recorrer a novos prestadores de serviços ou mudar um deles, atualizaríamos esta lista e, se for o caso, informar-vos-íamos previamente se isso impactar os vossos dados. Conservam naturalmente os vossos direitos (ver secção "Os Vossos Direitos") incluindo sobre os dados tratados através destes subcontratantes: a Evnyo permanece o vosso único ponto de contacto.

A Evnyo assegura-se de que todos os seus subcontratantes oferecem garantias contratuais robustas em matéria de proteção de dados, em conformidade com o artigo 28.º do RGPD. Isto significa nomeadamente que:

• Autorizamos os nossos subcontratantes a tratar os dados apenas para fins específicos e documentados, em relação às nossas instruções. Um subcontratante não pode em caso algum reutilizar os vossos dados para seu próprio uso (ex. marketing) ou transmiti-los a terceiros sem autorização.

• Cada subcontratante está vinculado por uma cláusula de confidencialidade rigorosa relativamente aos dados a que possa ter acesso. O pessoal dos nossos prestadores de serviços autorizado a manusear os vossos dados está sujeito a um dever de confidencialidade legal ou contratual.

• Os nossos contratos exigem que estes prestadores de serviços implementem todas as medidas de segurança requeridas pelo artigo 32.º do RGPD (ver detalhes na secção Segurança abaixo), e nos assistam para permitir o exercício dos vossos direitos (ex: se solicitassem a eliminação dos vossos dados, o subcontratante deve cooperar para os eliminar dos seus sistemas).

• Nenhum subcontratante ulterior (chamado "sub-subcontratante") pode ser contratado sem a nossa autorização escrita prévia. Se um dos nossos prestadores de serviços desejar recrutar outro para executar parte do tratamento, deve informar-nos previamente e contratar com ele obrigações idênticas. Em qualquer caso, o prestador de serviços inicial permanece plenamente responsável perante a Evnyo por qualquer falta do seu sub-subcontratante (princípio da responsabilidade em cascata, art. 28.º, n.º 4 do RGPD).

• No final da prestação, os nossos contratos estipulam que os subcontratantes devem, à escolha da Evnyo, eliminar todos os dados pessoais ou devolvê-los e destruir qualquer cópia existente (exceto obrigação legal contrária). Por exemplo, se eliminarem um evento e solicitarem a eliminação dos dados dos participantes, assegurar-nos-emos de que esta informação também seja eliminada dos sistemas dos nossos prestadores de serviços (Supabase, backups, etc.).

• Finalmente, os nossos subcontratantes devem fornecer-nos todas as informações necessárias para demonstrar a conformidade com os requisitos do RGPD e permitir a realização de auditorias eventuais. A Evnyo efetua diligências regulares (revisão de certificações, auditorias de terceiros, relatórios de segurança) para assegurar o cumprimento contínuo destas obrigações.

Trabalhando assim com um ecossistema de prestadores de serviços conformes e contratualmente comprometidos, a Evnyo garante que a subcontratação de certas operações não enfraquece de forma alguma o nível de proteção aplicado aos vossos dados.

A Evnyo atribui particular importância à soberania e localização dos dados. Todos os vossos ficheiros e dados estão alojados exclusivamente dentro da União Europeia através do nosso parceiro tecnológico Supabase, cuja infraestrutura europeia garante uma localização rigorosa dos dados em território da UE. Esta abordagem europeia permite-nos manter um controlo jurídico ótimo sobre as vossas informações, com os documentos que importam e as listas de participantes permanecendo fisicamente em servidores europeus, sujeitos à regulamentação europeia. Os benefícios são duplos: latências reduzidas graças à proximidade geográfica com os vossos participantes europeus, e um melhor controlo jurídico, com os vossos dados não expostos às legislações extraterritoriais de países terceiros. Em resumo, a Evnyo privilegia o alojamento europeu conforme aos requisitos de soberania digital, garantindo segurança reforçada e conformidade RGPD reforçada.

A Evnyo procura na medida do possível evitar as transferências de dados fora do Espaço Económico Europeu (EEE). A regra geral é que os dados sejam tratados e armazenados dentro da UE. No entanto, alguns dos nossos subcontratantes ou ferramentas estando baseados fora da UE, podem ocorrer transferências internacionais de dados de forma limitada. Detalhamos abaixo estes casos e as garantias postas em prática:

• Nenhuma transferência sem enquadramento: Nenhuma transferência de dados pessoais é efetuada para um país não membro do EEE sem proteção. Todos os nossos fluxos internacionais são enquadrados para assegurar um nível de proteção de dados essencialmente equivalente ao da UE. Na prática, isto significa que se os vossos dados tiverem de deixar solo europeu, a Evnyo apoia-se num dos mecanismos previstos pelo RGPD: por exemplo, a existência de uma decisão de adequação da Comissão Europeia para o país destinatário, ou a assinatura de Cláusulas Contratuais Tipo (CCT) quando se trata de uma transferência para um prestador de serviços situado num país sem adequação.

• Prestadores de serviços situados fora da UE: Entre os nossos subcontratantes listados, alguns estão estabelecidos nos Estados Unidos (ex. OpenAI, Postmark, Twilio, Vercel) ou na Irlanda (Stripe). Como tal, os dados que lhes são transmitidos no âmbito da sua missão constituem transferências fora da UE continental. Importante: A Evnyo assegura-se de que todos os seus subcontratantes fora da UE dispõem de mecanismos de transferência validados (BCR, CCT, decisão de adequação). Os DPA padrão utilizados respeitam as exigências do artigo 28.º do RGPD. Concretamente:
• Stripe: basado en Irlanda (UE) para clientes europeus, dispõe de certificações GDPR completas e aplica Standard Contractual Clauses (SCC) para qualquer transferência fora da UE
• Twilio: dispõe de Regras Empresariais Vinculativas (BCR) aprovadas pelas autoridades europeias e adere às condições do seu Data Processing Addendum padrão
• Postmark: oferece um Data Processing Addendum (DPA) padrão conforme aos requisitos do RGPD
• Vercel: certificado para o EU-US Data Privacy Framework e oferece um DPA padrão
• OpenAI: aplica os termos padrão OpenAI API Data Processing Terms (retenção ≤ 30 dias, sem treino sem opt-in)

Estes mecanismos, embora não negociados individualmente pela Evnyo, oferecem garantias legais equivalentes às CCT para proteger os vossos dados durante transferências internacionais.

• Reino Unido: O prestador de serviços CookieYes estando baseado no Reino Unido, há que notar que o Reino Unido beneficia de uma decisão de adequação da Comissão Europeia desde 28 de junho de 2021, permitindo transferências de dados nas mesmas condições que para o EEE (em conformidade com o artigo 45.º do RGPD). No entanto, o Reino Unido aplica agora o UK GDPR e o Data Protection Act 2018, que podem apresentar divergências do RGPD europeu. A Evnyo monitoriza a evolução desta decisão de adequação e das regulamentações britânicas, e tomará as medidas necessárias se a situação mudar (ex: conclusão de um UK Addendum às CCT, etc.).

• Caso particular da Twilio (SMS): Como mencionado, a Twilio dispõe de mecanismos legalmente aprovados. A Twilio implementou nomeadamente Regras Empresariais Vinculativas (BCR) internas validadas pelas autoridades europeias, que constituem o seu principal instrumento de transferência. Além disso, a Twilio adere às CCT para países terceiros não cobertos pelas suas BCR. Assim, a utilização da Twilio para enviar SMS (incluindo se estes forem encaminhados fora da UE) permanece conforme aos requisitos europeus.

• Avaliação dos riscos de transferência: Antes de utilizar qualquer prestador de serviços situado fora da UE, a Evnyo avalia os riscos ligados à transferência de dados pessoais tendo em conta:
• A natureza e sensibilidade dos dados transferidos (minimização ao estritamente necessário)
• A finalidade e duração do tratamento
• As garantias contratuais oferecidas pelo prestador de serviços (DPA, BCR, certificação Data Privacy Framework)
• A legislação do país de destino e riscos de acesso governamental
• Medidas de segurança técnicas adicionais (encriptação, pseudonimização)

Esta avaliação permite-nos assegurar que cada transferência beneficie de um nível de proteção adequado, mesmo sem negociação de CCT personalizadas.

Em resumo, nenhuma transferência dos vossos dados fora do EEE tem lugar sem enquadramento rigoroso. A Evnyo permanece atenta às evoluções jurisprudenciais (acórdão "Schrems II", etc.) e recomendações das autoridades para ajustar se necessário os seus mecanismos de transferências internacionais. O nosso objetivo é que os vossos dados beneficiem onde quer que estejam de um nível de confidencialidade e segurança conforme aos padrões europeus.

A Evnyo conserva os vossos dados pessoais apenas por períodos limitados, proporcionais às finalidades para as quais foram recolhidos, e em conformidade com os requisitos legais. Aqui estão as nossas principais políticas de retenção:

• Dados ligados a eventos e participantes: Os dados pessoais de convidados/participantes (nomes, contactos, estado, etc.) são conservados durante a duração de vida do evento e a sua gestão ativa, depois eliminados ou anonimizados 90 dias após o fim do evento ou a rescisão do contrato, consoante a primeira dessas situações. Na prática, assim que um evento passou e é fechado pelo organizador, inicia-se um contador de retenção. Após 90 dias, purgamos da nossa base todos os detalhes identificativos relativos a este evento (lista dos participantes com as suas informações). Este período de 3 meses após o evento permite ao organizador aceder ainda aos relatórios e estatísticas, efetuar seguimentos pós-evento (agradecimentos, relatórios anonimizados) e gerir eventuais reclamações (ex. pedido de certificado de participação) antes da eliminação. Passado este prazo, o organizador já não tem acesso aos dados nominativos dos participantes na Evnyo, sendo estes eliminados definitivamente ou conservados sob forma agregada/anonimizada para as estatísticas globais. (Exemplo: uma taxa de participação de 80% poderá ser conservada sem qualquer menção de quem participou ou não.)

• Dados de conta cliente (organizador): As informações relativas à vossa conta Evnyo (perfil de utilizador, informações da empresa cliente, histórico de faturação) são conservadas enquanto utilizarem os nossos serviços e forem um cliente ativo. Se decidirem fechar a vossa conta ou em caso de rescisão do contrato, eliminaremos ou anonimizaremos os dados do vosso perfil e eventos passados no máximo 30 dias após o fim do contrato, exceto aqueles que devemos guardar mais tempo para cumprir as nossas obrigações legais ou estabelecer a prova de um direito. Por exemplo, os dados de faturação (faturas emitidas, informações de pagamento) serão conservados em conformidade com as obrigações contabilísticas e fiscais durante a duração legal (em Portugal, 10 anos para os documentos contabilísticos). Serão depois eliminados. Da mesma forma, as trocas contratuais que possam ter valor jurídico poderão ser arquivadas pelo tempo das prescrições legais aplicáveis.

• Logs técnicos e dados de navegação: Os registos de atividade do sistema (ligações, ações realizadas) são conservados para a segurança e rastreabilidade durante uma duração de 12 meses rotativos, exceto exigência legal diferente. Os logs mais sensíveis (ex. logs de acesso de administrador) podem ser guardados até 2 anos. Os endereços IP recolhidos para fins de segurança ou registo são geralmente conservados 3 meses (exceto IPs associados aos logs de administração, conservados 2 anos). Os dados de navegação recolhidos para fins estatísticos (via cookies analíticos) são agregados e anonimizados imediatamente, mas os dados brutos associados aos cookies (ex. identificador de cookie) podem ser conservados no máximo 13 meses em conformidade com as recomendações das autoridades europeias de proteção de dados, nomeadamente as exigências rigorosas da CNIL francesa e das autoridades alemãs.

• Consentimentos: Os registos de consentimento (ex. logs CMP do CookieYes, prova de opt-in) serão conservados pelo tempo necessário para poder provar a conformidade em todos os países onde operamos. Assim, os logs de consentimento de cookies são arquivados durante 6 meses a 13 meses (conforme o utilizador mantenha as suas escolhas ou as renove), em linha com as regulamentações nacionais mais rigorosas em matéria de cookies. As provas de consentimento para receber comunicações (se a Evnyo oferecer uma newsletter ou outro) seriam conservadas até cessação do envio + 3 anos (duração de prescrição). De forma geral, não apagamos uma prova de consentimento enquanto o tratamento em causa estiver em curso e não for contestado. Em caso de retirada de consentimento, podemos conservar a informação de que se opuseram (lista de oposição) pelo tempo necessário para não vos solicitar de forma indevida.

• Backups: O nosso sistema realiza backups regulares encriptados da base de dados para assegurar a continuidade do serviço. Estes backups podem conter dados pessoais e são conservados em geral durante 30 dias rotativos antes de serem sobrescritos por novos backups. Assim, mesmo após eliminação de dados na base principal, pode subsistir uma cópia num backup até ao seu termo. Passados 30 dias, os backups contendo estes dados obsoletos são automaticamente destruídos. Os backups são apenas acessíveis para fins de restauração pelos nossos administradores e estão sujeitos às mesmas medidas de segurança e confidencialidade.

No termo das durações acima, os dados são eliminados de forma segura ou tornados anónimos de maneira irreversível. Quando os dados são anonimizados, saem do âmbito do RGPD (nenhuma pessoa é mais identificável) e podem ser conservados mais tempo sem limite particular, por exemplo, para alimentar as nossas estatísticas globais ou análises internas.

Exceções particulares: Pode acontecer que tenhamos de conservar certos dados mais tempo em caso de contencioso ou inquérito (ex. congelamento de dados a pedido de uma autoridade, ou conservação até resolução de um litígio). Neste caso, bloquearemos o acesso aos dados em causa e conservá-los-emos pelo tempo necessário à ação judicial ou administrativa. Os vossos dados podem também ser conservados mais tempo se a lei o exigir (ex. no âmbito de uma obrigação legal de conservação ou arquivo público).

Reavaliamos regularmente as nossas políticas de conservação para evitar armazenar dados pessoais mais tempo que o necessário. Se considerarem que um dos vossos dados é conservado indevidamente, não hesitem em exercer o vosso direito ao apagamento (ver abaixo "Os Vossos Direitos"), analisaremos o vosso pedido com atenção respeitando o RGPD.

A Evnyo implementa medidas de segurança técnicas e organizacionais rigorosas para proteger os vossos dados contra os riscos de perda, alteração, divulgação ou acesso não autorizado, em conformidade com o artigo 32.º do RGPD. A nossa abordagem de segurança baseia-se nas melhores práticas do setor e numa avaliação contínua dos riscos. Entre as medidas implementadas:

• Encriptação das trocas (TLS): Todas as comunicações entre o vosso navegador/dispositivo e a plataforma Evnyo estão protegidas por encriptação TLS 1.3 (https) ponta-a-ponta. Isto garante que os dados que transmitem ou consultam na Evnyo não possam ser intercetados ou lidos por um terceiro durante o trânsito. Podem verificar a presença do cadeado de segurança no vosso navegador durante a utilização do serviço.

• Encriptação dos dados em repouso: Os dados pessoais armazenados na nossa base de dados bem como os ficheiros importados no bucket Supabase estão encriptados em repouso utilizando algoritmos de vanguarda (AES-256 por exemplo). A encriptação em repouso significa que mesmo em caso de acesso físico ou roubo dos suportes de armazenamento, os dados permanecem ilegíveis sem as chaves de desencriptação apropriadas. Estas chaves de encriptação são mantidas secretas e protegidas em módulos seguros.

• Controlo de acesso e autenticação reforçada: Internamente, o acesso aos dados pessoais está estritamente reservado às pessoas que dele necessitam para as suas funções (princípio do need-to-know). Utilizamos uma gestão fina de acessos por papéis (RBAC – Role-Based Access Control) para segmentar as permissões dentro da nossa equipa. Por exemplo, um técnico de apoio pode ver certos dados da vossa conta para vos ajudar, mas não terá acesso aos dados financeiros ou às listas de convidados de outros clientes. Além disso, todas as nossas contas de administrador e sensíveis estão protegidas por autenticação multi-fator (MFA) obrigatória, reduzindo o risco de intrusão via roubo de palavra-passe. A autenticação dos utilizadores clientes também suporta padrões de segurança (palavras-passe com hash e salt, exigências de complexidade, possibilidade de 2FA se o desejarem, etc.).

• Testes, auditorias e manutenção de segurança: Realizamos regularmente testes de penetração e análises de vulnerabilidades na nossa plataforma para identificar eventuais falhas. Qualquer componente ou dependência de software é atualizado prontamente quando um patch de segurança está disponível. Seguimos as recomendações do OWASP Top 10 para prevenir vulnerabilidades aplicacionais comuns (injeções, XSS, CSRF, etc.). Além disso, os nossos subcontratantes críticos (ex. Supabase, Vercel) estão certificados ou auditados (certificações ISO 27001, SOC 2 Type II, etc.), assegurando um alto nível de segurança da infraestrutura.

• Integridade e resiliência: Os nossos sistemas integram mecanismos que garantem a confidencialidade, integridade, disponibilidade e resiliência dos vossos dados. Por exemplo, duplicamos os dados em vários servidores redundantes para prevenir a perda em caso de avaria (com backups regulares como mencionado). O acesso aos dados em produção é registado e monitorizado permanentemente. Qualquer anomalia (tentativa de acesso injustificada, pico de tráfego suspeito, etc.) desencadeia alertas de segurança em tempo real. Temos também procedimentos de restauração de emergência testados regularmente para restabelecer rapidamente o serviço e o acesso aos dados em caso de incidente maior (plano de continuidade de atividade / plano de recuperação após sinistro).

• Segurança dos desenvolvimentos: As nossas equipas integram a segurança desde a conceção das novas funcionalidades (privacy by design & by default, art. 25.º do RGPD). Os ambientes de teste estão isolados dos dados reais (utilizamos conjuntos de dados fictícios para o desenvolvimento para não expor dados verdadeiros). Qualquer modificação de código está sujeita a revisões (code review) e testes unitários/funcionais incluindo sobre os aspetos de segurança.

• Confidencialidade do pessoal e formação: Cada colaborador da Evnyo que tem acesso a dados pessoais está sujeito contratualmente a uma obrigação de confidencialidade. Além disso, sensibilizamos regularmente todo o pessoal para as boas práticas de proteção de dados (formações RGPD, segurança informática, procedimentos a seguir em caso de incidente, etc.).

• Medidas físicas e ambientais: Embora a Evnyo seja uma solução cloud, asseguramo-nos de que os nossos alojadores disponham de medidas de proteção física robustas (centros de dados vigiados 24/7, controlo de acesso físico biométrico ou por cartão, redundância elétrica, deteção de incêndios, etc.).

Em caso de violação de dados pessoais apesar de todas estas precauções (ex. intrusão comprovada, perda ou divulgação não autorizada de dados), comprometemo-nos a seguir o procedimento legal: notificação à CNPD em 72h se exigido (artigo 33.º do RGPD) e comunicação aos titulares dos dados quando a violação seja suscetível de gerar um risco elevado para eles (artigo 34.º do RGPD). Dispomos de um registo interno de incidentes de segurança e de um plano de resposta a incidentes para gerir eficazmente este tipo de situação. O nosso objetivo é ser proativo e transparente: se forem afetados por um incidente grave, serão informados nos melhores prazos, com toda a informação sobre a natureza do incidente e as medidas tomadas.

Em conformidade com o RGPD, dispõem de um conjunto de direitos relativos aos vossos dados pessoais. A Evnyo compromete-se a garantir o respeito efetivo destes direitos e a oferecer-vos modalidades simples para os exercer. Aqui está um resumo dos vossos direitos fundamentais:

• Direito a ser informado: têm o direito de ser informados de forma clara sobre os tratamentos dos vossos dados (este é precisamente o objeto desta política de privacidade). Esforçamo-nos por vos fornecer toda a informação requerida pelos artigos 13.º e 14.º do RGPD (identidade do responsável, finalidades, bases legais, destinatários, períodos de conservação, etc.).

• Direito de acesso: podem pedir-nos confirmação de que detemos dados pessoais que vos dizem respeito, e se for o caso, obter uma cópia bem como informações sobre as modalidades do tratamento (finalidades, categorias de dados, destinatários, etc.). Concretamente, isto permite-vos saber que dados temos sobre vós. Forneceremos esta informação de forma compreensível e pelo meio de comunicação da vossa escolha (eletrónico ou papel). Nota: para os convidados de eventos, na medida em que a Evnyo atua como subcontratante do organizador, é muitas vezes mais pertinente solicitar primeiro ao organizador (responsável pelo tratamento) o acesso aos vossos dados de inscrição. No entanto, podem também contactar-nos diretamente; coordenaremos então com o nosso cliente para vos dar uma resposta completa.

• Direito de retificação: se constatarem que dados que vos dizem respeito são inexatos ou incompletos, podem solicitar a sua correção ou atualização. Por exemplo, se o vosso nome está mal escrito ou se mudaram de endereço de email, procederemos à modificação nos melhores prazos. Na prática, os utilizadores organizadores podem retificar eles próprios certas informações da sua conta através das definições do perfil. Para os participantes, um pedido pode ser dirigido ao organizador ou a nós, e retificaremos sob instrução do organizador.

• Direito ao apagamento ("direito ao esquecimento"): podem obter a supressão dos vossos dados pessoais nos nossos ficheiros, especialmente se já não forem necessários relativamente às finalidades para as quais foram recolhidos, ou se retirarem o vosso consentimento (quando o tratamento se baseava no consentimento). Este direito não é absoluto: poderemos ter de conservar certos dados se uma obrigação legal nos obrigar a isso ou se ainda forem necessários para constatar/exercer/defender um direito em justiça. Concretamente, para um convidado que já não deseja aparecer na lista dos participantes, o organizador ou nós próprios podemos suprimir os seus dados (o que será realizado exceto impedimento legítimo). Se a Evnyo intervém enquanto subcontratante, informaremos o organizador do vosso pedido de apagamento e, exceto instrução contrária legítima da sua parte, procederemos ao apagamento efetivo dos vossos dados nos nossos sistemas e confirmaremos a operação.

• Direito à limitação do tratamento: em certas situações, podem solicitar a limitação (congelamento temporário) do tratamento dos vossos dados. Por exemplo, se contestarem a exatidão de um dado ou a licitude de um tratamento, o tempo que verificamos ou que encontramos um acordo, podem solicitar que o dado já não seja utilizado (mas simplesmente conservado). Quando a limitação é concedida, já não tratamos o dado exceto para o conservar ou por motivos legais imperativos. Informar-vos-emos previamente se a limitação deve ser levantada.

• Direito de oposição: têm o direito de se opor, por razões relativas à vossa situação particular, a todo o tratamento dos vossos dados fundado no interesse legítimo da Evnyo (artigo 6.º, n.º 1, alínea f)). Se exercerem este direito, cessaremos o tratamento contestado, exceto se existirem motivos legítimos e imperiosos para continuar (por exemplo, a necessidade de conservar certos dados para a defesa de direitos em justiça) ou se o tratamento for requerido pela lei. Podem também opor-se a qualquer momento ao tratamento dos vossos dados com fins de prospeção (ex: se a Evnyo enviasse newsletters ou comunicações de marketing – o que só fazemos com consentimento). Neste último caso, a oposição é absoluta: cessaremos sem condição o envio de solicitações. Relativamente aos cookies, o vosso direito de oposição traduz-se na possibilidade de recusar todo o cookie não essencial via a CMP (o que é uma forma de oposição a um tratamento de definição de perfis publicitários por ex.).

• Direito à portabilidade: têm o direito de receber os vossos dados pessoais que nos forneceram, num formato estruturado, de uso comum e legível por máquina, e de os transmitir a outro responsável pelo tratamento se o desejarem. Este direito aplica-se unicamente aos dados que forneceram ativamente (ex: informações do vosso perfil, listas de convidados importadas) ou gerados pela vossa atividade, e apenas para os tratamentos automatizados fundados no vosso consentimento ou num contrato. Na prática, os organizadores podem exportar eles próprios muitos dados através da nossa interface (ex. exportar a lista de participantes de um evento em CSV). Se desejarem que a Evnyo facilite a transferência para outro serviço, faremos o possível (ex: fornecer um ficheiro contendo os vossos eventos e contactos convidados). Para os participantes, a portabilidade pode exercer-se junto do organizador (que é responsável pelo tratamento dos seus dados de convite) ou junto da Evnyo que retransmitirá o pedido.

• Direito a não ser sujeito a uma decisão automatizada: A Evnyo não toma nenhuma decisão tendo efeitos jurídicos ou significativos sobre vós de forma automatizada (sem intervenção humana). Este direito, previsto no artigo 22.º do RGPD, visa casos como a definição de perfis automática que leva a uma recusa de serviço, etc., o que não tem lugar aqui. Em qualquer caso, teriam o direito de solicitar a intervenção humana, exprimir o vosso ponto de vista e contestar a decisão.

Além destes direitos, lembramos que se o tratamento dos vossos dados se baseia no vosso consentimento, podem retirar este consentimento a qualquer momento (tão facilmente como o deram). A retirada do consentimento põe fim ao tratamento em causa para o futuro, sem efeito retroativo (isto não afeta a licitude do tratamento passado). Por exemplo, podem cancelar a subscrição de uma newsletter ou recusar os cookies opcionais, respeitaremos esta escolha imediatamente.

Exercício dos vossos direitos: Estes direitos podem ser exercidos gratuitamente (exceto abuso repetido) contactando-nos nas coordenadas indicadas na secção Responsável pelo tratamento. Para facilitar os vossos procedimentos, podem enviar um email para privacy@evnyo.com precisando o objeto do vosso pedido e justificando a vossa identidade (para evitar que um terceiro exerça os vossos direitos no vosso lugar de forma fraudulenta, poderemos pedir-vos um justificativo ou uma verificação). Podem também enviar uma carta postal para o nosso endereço legal (mencionado no nosso site) à atenção do referente de proteção de dados. Acusaremos a receção do vosso pedido e dar-lhe-emos seguimento nos melhores prazos.

Prazo de resposta: Comprometemo-nos a responder-vos em 1 mês a partir da receção do pedido. Se o vosso pedido for complexo ou recebermos muitos, este prazo poderá ser prolongado por 2 meses suplementares, mas serão então informados da necessidade de prolongamento no primeiro mês. Em caso de recusa excecional de atender ao vosso pedido (por exemplo, se for manifestamente infundado ou excessivo, art. 12.º, n.º 5 do RGPD), expor-vos-emos as razões e terão a possibilidade de contestar esta decisão.

A Evnyo esforçar-se-á sempre por facilitar o exercício dos vossos direitos. Nenhum pedido razoável será ignorado. Se considerarem que não vos satisfizemos no exercício dos vossos direitos, ou mais geralmente que não respeitamos as nossas obrigações em matéria de proteção de dados, têm o direito de introduzir uma reclamação junto da autoridade de controlo competente do vosso país de residência:

• França: Commission Nationale de l'Informatique et des Libertés (CNIL) - Website: cnil.fr, secção "Queixas". Endereço: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Reino Unido: Information Commissioner's Office (ICO) - Website: ico.org.uk
• Alemanha: Consoante o vosso Land de residência, contactem a autoridade competente via bfdi.bund.de
• Espanha: Agencia Española de Protección de Datos (AEPD) - Website: aepd.es
• Itália: Garante per la protezione dei dati personali - Website: garanteprivacy.it
• Portugal: Comissão Nacional de Proteção de Dados (CNPD) - Website: cnpd.pt
• Polónia: Urząd Ochrony Danych Osobowych (UODO) - Website: uodo.gov.pl
• Roménia: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) - Website: dataprotection.ro
• Países Baixos: Autoriteit Persoonsgegevens (AP) - Website: autoriteitpersoonsgegevens.nl
• Bélgica: Autorité de protection des données (APD/GBA) - Website: dataprotectionauthority.be
• Áustria: Datenschutzbehörde (DSB) - Website: dsb.gv.at

Se residirem noutro país da UE/EEE, podem contactar a autoridade de proteção de dados do vosso país, que transmitirá eventualmente à autoridade líder (a CNIL francesa para a Evnyo) ou tratará em cooperação com ela segundo o mecanismo de balcão único do RGPD.

Convidamo-vos no entanto a contactar-nos em primeiro recurso: estamos abertos ao diálogo e faremos tudo o que for possível para resolver diretamente qualquer problema que nos apresentem.

(Nota: Para os participantes convidados via Evnyo, lembrem-se de que o organizador do evento é geralmente o "responsável pelo tratamento" principal dos vossos dados de convite. A Evnyo atua então enquanto subcontratante. Assim, podem dirigir os vossos pedidos seja diretamente ao organizador (que no-los retransmitirá se necessário), seja à Evnyo via o nosso referente de proteção de dados – cooperaremos estreitamente com o organizador para vos responder.)

O site e a plataforma Evnyo utilizam cookies e tecnologias similares para várias finalidades, em conformidade com os requisitos da Diretiva ePrivacy (2002/58/CE) e das suas transposições nacionais, nomeadamente:

• França: Artigos 82.º e seguintes da Loi Informatique et Libertés alterada
• Alemanha: Telemediengesetz (TMG) e exigências rigorosas do BGH
• Espanha: Ley de Servicios de la Sociedad de la Información (LSSI)
• Itália: Codice Privacy e orientações do Garante
• Reino Unido: Privacy and Electronic Communications Regulations (PECR)
• Países Baixos: Telecommunicatiewet e orientações rigorosas da Autoriteit Persoonsgegevens
• Bélgica: Loi du 13 juin 2005 relative aux communications électroniques
• Áustria: Telekommunikationsgesetz (TKG) e padrões rigorosos da DSB
• Portugal: Lei das Comunicações Eletrónicas e orientações da CNPD
• Outros países: Regulamentações nacionais equivalentes

Consentimento reforçado: Durante a vossa primeira visita, um banner de consentimento (fornecido pelo CookieYes) permite-vos aceitar ou recusar os cookies não essenciais de maneira granular por categoria. Em conformidade com os padrões europeus mais rigorosos, obtemos o vosso consentimento prévio, livre, específico, informado e inequívoco para cada finalidade. Podem modificar as vossas escolhas a qualquer momento clicando no link "Cookies" ou ícone dedicado disponível no site, e retirar o vosso consentimento tão facilmente como o deram.

Os cookies que utilizamos classificam-se nomeadamente nas seguintes categorias:

• Cookies estritamente necessários: indispensáveis para o funcionamento do site ou para o fornecimento do serviço que solicitam. Por exemplo, os cookies de sessão para vos manter ligados, ou os que servem para memorizar as escolhas de consentimento. Estes cookies não requerem consentimento prévio segundo a exceção do artigo 5.º, n.º 3 da Diretiva ePrivacy. Não os podem desativar sem alterar o serviço, mas não tratam dados pessoais outros que puramente técnicos.

• Cookies de desempenho e estatísticas: estes cookies (Google Analytics ou equivalente, parametrizados respeitando a regulamentação com anonimização IP e duração de conservação limitada) ajudam-nos a compreender como o site é utilizado, que páginas são mais visitadas, etc. Configurámos estas ferramentas para anonimizar o vosso IP e evitar todo o rastreamento individual. São apenas colocados com o vosso consentimento explícito. Os dados recolhidos são agregados para melhorar os nossos serviços e a ergonomia do site.

• Cookies de funcionalidade: melhoram a vossa experiência (ex: memorizar as vossas preferências de visualização, idioma, etc.). São opcionais e sujeitos a consentimento prévio.

• Cookies de comunicação: se a Evnyo integrar no futuro módulos de chat ao vivo, videoconferência ou outros serviços de terceiros (ex. para webinários), estes serviços poderiam colocar os seus próprios cookies. Estarão também sujeitos a consentimento e claramente identificados na CMP.

Duração de conservação: Cada cookie tem uma duração de vida predefinida e proporcional à sua finalidade (ex. sessão, 1 mês, 13 meses máximo para os cookies analíticos). Encontrarão o detalhe de cada cookie, a sua finalidade, emissor e duração na nossa Política de Cookies acessível via a CMP.

Rastreabilidade dos consentimentos: A Evnyo mantém um registo detalhado dos consentimentos de cookies via CookieYes, o que nos permite guardar a prova do vosso acordo ou recusa para cada categoria de cookies no nosso site. Esta rastreabilidade garante que respeitamos as vossas preferências de forma contínua e permite demonstrar a nossa conformidade em caso de controlo.

Nenhuma monetização dos dados: Não procedemos a nenhuma venda de dados de navegação a anunciantes ou outros terceiros. Se fossem utilizados cookies de terceiros (ex. YouTube, Google Maps integrados), estariam também sujeitos ao vosso consentimento prévio e claramente identificados.

Para mais informações sobre a nossa utilização de cookies, e sobre como os configurar, consultem a nossa página dedicada "Política de Gestão de Cookies" ou contactem-nos.

O Evnyo permite que os participantes do evento façam upload de fotos para álbuns de eventos quando este recurso é ativado pelo organizador. Ao fazer upload de fotos para um evento, os usuários devem fornecer consentimento explícito e reconhecer as seguintes responsabilidades:

Consentimento e responsabilidades do usuário: Antes de fazer upload de qualquer foto, os usuários devem confirmar:

• Que têm o direito de compartilhar o conteúdo enviado
• Que todas as pessoas identificáveis nas fotos deram seu consentimento para serem fotografadas e para que as fotos sejam compartilhadas no contexto do evento
• Que o organizador do evento pode usar essas fotos dentro do escopo do evento
• Que aceitam total responsabilidade pelo conteúdo que fazem upload

Alocação de responsabilidade: Para garantir responsabilidade clara:

• O usuário que faz upload é o único responsável pelo conteúdo que envia, incluindo a obtenção das permissões necessárias das pessoas que aparecem nas fotos
• O organizador do evento é responsável por moderar o conteúdo se tiver ativado a moderação, e pelo uso que faz das fotos enviadas
• Evnyo atua como intermediário técnico e não é responsável pelo conteúdo enviado pelos usuários, mas cooperará com solicitações legítimas de remoção

Direitos de imagem e privacidade: Os usuários que fazem upload de fotos devem respeitar:

• Os direitos de imagem de todas as pessoas que aparecem nas fotos
• As leis de privacidade aplicáveis em sua jurisdição
• O contexto específico do evento e quaisquer restrições comunicadas pelo organizador

Remoção de conteúdo: Se você aparecer em uma foto e desejar removê-la, pode:

• Entrar em contato diretamente com o organizador do evento
• Usar a função de denúncia disponível em cada foto
• Entrar em contato com nosso encarregado de proteção de dados em privacy@evnyo.com

Processaremos solicitações de remoção de acordo com as leis aplicáveis e podemos exigir prova de identidade para garantir a legitimidade da solicitação.

Medidas técnicas: Por transparência, registramos:

• Confirmação de consentimento (timestamp e IP anonimizado)
• Metadados de upload para responsabilidade
• Todas as fotos são processadas para remover dados de localização GPS por privacidade

A presente política de privacidade poderá evoluir, nomeadamente para refletir mudanças das nossas práticas ou para se conformar a eventuais modificações legais/regulamentares. Em caso de modificação substancial (ex. novas finalidades, novos destinatários, etc.), informar-vos-emos previamente, via um aviso no site ou um email, e se requerido pela lei, solicitaremos o vosso consentimento quando a modificação o exigir. A versão atualizada da política estará sempre acessível no nosso site na secção "Privacidade". Convidamo-vos a consultá-la periodicamente.

Data de entrada em vigor: Esta política está em vigor a partir de 01/06/2025.

Ao escolher a Evnyo, confiam os vossos dados a uma plataforma que coloca a privacidade e a segurança no centro das suas preocupações. Esperamos que este documento vos tenha trazido toda a transparência esperada sobre as nossas práticas. Se tiverem alguma questão suplementar relativa aos vossos dados ou à nossa conformidade, não hesitem em contactar-nos – a nossa equipa e o nosso referente estão aqui para vos dar respostas especializadas e personalizadas.

Obrigado pela vossa confiança, e bons eventos com a Evnyo!