Legal

Política de Privacidade

Última atualização: 1 de janeiro de 2026

Esta Política de Privacidade explica como a Questa recolhe, utiliza, partilha e protege os teus dados pessoais quando utilizas a nossa plataforma — website, backoffice web e aplicações móveis iOS e Android. Está em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD), com a lei portuguesa nº 58/2019, e com os requisitos da App Store e Google Play.

1. Quem somos e como contactar-nos

Questa, Unipessoal Lda. ("Questa", "nós") é a entidade responsável pelo tratamento dos teus dados pessoais quando utilizas o site questa.pt ou a app Questa genérica.

Importante — Modelo multi-tenant: Quando utilizas a Questa no contexto de um evento promovido por uma organização cliente, essa organização é a responsável pelo tratamento dos teus dados de participação no evento, e a Questa atua como subcontratante (processador) sob um acordo de tratamento de dados (DPA). Para questões sobre os teus dados de participação num evento específico, contacta primeiro essa organização.

Contactos da Questa:

  • Email geral: info@questa.pt
  • Encarregado de Proteção de Dados (DPO): privacy@questa.pt
  • Morada: Lisboa, Portugal

2. Dados que recolhemos

Recolhemos as seguintes categorias de dados pessoais:

  • Dados de conta: nome, endereço de email, password (em hash), foto de perfil (opcional), idioma preferido
  • Dados de contacto opcionais: telefone, instituição, cargo, links de redes sociais
  • Dados de evento: eventos em que participas, desafios completados, pontuação, conexões de networking, posts no feed do evento
  • Dados de comunicação: emails que enviamos (importação para evento, recuperação de password, notificações)
  • Dados técnicos do dispositivo: tipo de dispositivo, sistema operativo, versão da app, identificador anonimizado de instalação, idioma
  • Dados de utilização: páginas visitadas no backoffice, ações realizadas (criação de desafios, submissão de respostas), datas e horas de acesso
  • Dados de localização (opcional, com consentimento): apenas para desafios do tipo "Check-in por QR" e mediante autorização explícita no dispositivo
  • Dados de pagamento: processados diretamente pela Stripe; a Questa apenas conserva um identificador de cliente e o histórico de faturas (nunca o número de cartão)

Não recolhemos dados sensíveis (origem racial ou étnica, opiniões políticas, religiosas, saúde, orientação sexual) salvo quando voluntariamente partilhados por ti em campos de texto livre.

3. Como utilizamos os teus dados

Tratamos os teus dados pessoais para os seguintes fins:

  • Operar a Plataforma e prestar o serviço acordado (execução de contrato — art. 6º/1/b do RGPD)
  • Gerir a tua conta, autenticação e segurança
  • Permitir-te participar em eventos e interagir com outros participantes (com base nas tuas configurações de privacidade)
  • Enviar comunicações operacionais (recuperação de password, notificações de evento, atualizações do serviço)
  • Processar pagamentos via Stripe (execução de contrato)
  • Melhorar a Plataforma através de análise agregada e anónima (interesse legítimo — art. 6º/1/f)
  • Cumprir obrigações legais (faturação, retenção fiscal — art. 6º/1/c)
  • Detetar e prevenir fraude, abuso e violações de segurança (interesse legítimo)

4. Base legal do tratamento (RGPD)

A base legal para o tratamento dos teus dados depende do contexto:

  • Execução de contrato — quando criamos a tua conta e prestamos o serviço
  • Consentimento — para dados opcionais (foto de perfil, telefone, localização para QR) e para comunicações de marketing
  • Interesse legítimo — para segurança, prevenção de fraude e melhoria do serviço
  • Obrigação legal — para retenção fiscal e resposta a pedidos de autoridades competentes

Podes retirar o consentimento a qualquer momento nas configurações da tua conta. A retirada não afeta a licitude do tratamento anterior.

5. Partilha com terceiros

Não vendemos os teus dados pessoais. Partilhamos dados estritamente com os seguintes terceiros, sob acordos de subcontratação:

  • Organização promotora do evento — recebe os teus dados de participação para gerir o evento (nome, email, pontuação, conexões; outros campos apenas se autorizados nas tuas configurações de privacidade)
  • Fornecedor de hosting cloud (UE) — armazenamento de dados e execução da Plataforma
  • Stripe (Irlanda/EUA) — processamento de pagamentos; sujeito às próprias políticas de privacidade
  • Fornecedor de envio de email transacional (UE) — entrega de emails operacionais
  • Google Play e Apple App Store — para distribuição da app (sob as suas próprias políticas)
  • Autoridades públicas — quando legalmente exigido (ordem judicial, autoridade fiscal)

Mantemos uma lista atualizada de subcontratantes disponível mediante pedido em privacy@questa.pt.

6. Transferências internacionais de dados

A maioria dos dados é armazenada e processada na União Europeia (Frankfurt, Alemanha). Quando alguns subcontratantes operam fora da UE (ex.: Stripe nos EUA), as transferências ficam sujeitas a Cláusulas Contratuais Tipo aprovadas pela Comissão Europeia e/ou mecanismos equivalentes (Data Privacy Framework, BCRs).

7. Retenção de dados

Conservamos os teus dados durante o tempo estritamente necessário aos fins descritos:

  • Dados de conta ativa: enquanto a conta existir
  • Dados de participação em evento: até 24 meses após o fim do evento (ou conforme decisão da organização)
  • Faturas e dados fiscais: 10 anos (obrigação legal portuguesa)
  • Logs técnicos e de segurança: até 12 meses
  • Dados após eliminação de conta: anonimizados ou eliminados em 30 dias, exceto retenções legais

8. Os teus direitos

Ao abrigo do RGPD, tens os seguintes direitos:

  • Acesso — obter cópia dos dados que conservamos sobre ti
  • Retificação — corrigir dados imprecisos ou incompletos
  • Apagamento ("direito ao esquecimento") — pedir a eliminação dos teus dados
  • Limitação do tratamento — pedir que limitemos o uso dos teus dados em certas circunstâncias
  • Portabilidade — receber os teus dados num formato estruturado e legível por máquina
  • Oposição — opor-te ao tratamento baseado em interesse legítimo
  • Retirar o consentimento — a qualquer momento, sem afetar tratamento anterior
  • Reclamação — apresentar reclamação à Comissão Nacional de Proteção de Dados (CNPD) em www.cnpd.pt

Para exercer estes direitos, envia email para privacy@questa.pt. Responderemos no prazo máximo de 30 dias.

9. Privacidade de crianças

A Plataforma não se destina a menores de 13 anos. Não recolhemos intencionalmente dados pessoais de crianças com menos de 13 anos. Se um encarregado de educação tomar conhecimento de que o seu filho menor nos forneceu dados pessoais, deve contactar privacy@questa.pt para que eliminemos esses dados.

Para menores entre 13 e 15 anos, o tratamento depende de consentimento parental verificável, gerido pela organização promotora do evento.

10. Cookies e tecnologias semelhantes

O site questa.pt utiliza cookies estritamente necessários para funcionamento e cookies opcionais de analítica (com consentimento). Não utilizamos cookies de publicidade. Podes gerir as tuas preferências de cookies no banner que aparece na primeira visita.

A aplicação móvel utiliza identificadores anónimos do dispositivo para funcionamento (sessão, autenticação). Não utilizamos IDFA, GAID ou identificadores de tracking entre apps.

11. Segurança

Implementamos medidas técnicas e organizacionais adequadas para proteger os teus dados:

  • Encriptação em trânsito (HTTPS/TLS 1.2+)
  • Encriptação em repouso para dados sensíveis
  • Hashing de passwords com algoritmos modernos (bcrypt/argon2)
  • Controlo de acesso baseado em funções (RBAC)
  • Logs de auditoria de ações administrativas
  • Backups regulares e procedimentos de recuperação testados
  • Atualizações de segurança contínuas

Em caso de violação de dados pessoais que possa resultar num risco elevado para os teus direitos e liberdades, notificaremos a autoridade de controlo (CNPD) no prazo de 72 horas e, quando apropriado, também os utilizadores afetados.

12. Decisões automatizadas

A Plataforma não toma decisões totalmente automatizadas que produzam efeitos jurídicos ou que te afetem de forma significativamente similar sem intervenção humana.

13. Alterações a esta Política

Podemos atualizar esta Política periodicamente. Notificaremos por email ou através da Plataforma quando as alterações forem materiais. A data da última atualização está sempre indicada no topo do documento.

14. Contacto

Para qualquer questão sobre esta Política ou os teus dados pessoais:

  • Encarregado de Proteção de Dados: privacy@questa.pt
  • Email geral: info@questa.pt
  • Morada: Lisboa, Portugal
  • Autoridade de controlo: Comissão Nacional de Proteção de Dados (CNPD) — www.cnpd.pt