⚠️ Cas concret 2026 — O formulário de contacto de gofoodup.com (marca “FoodUp”) recolhe 6 campos de dados pessoais (nome, sobrenome, email, telefone, nome do restaurante, mensagem livre) sem nenhuma política de privacidade visível, nem acima do formulário, nem no rodapé, nem em lugar algum no site. É uma violação flagrante do art. 13 RGPD passível de sanção pela CNIL. Ver o estudo de caso factual completo →
Quando um site recolhe qualquer dado pessoal — o seu nome, o seu sobrenome, o seu email, o seu telefone — ele deve, no momento exato da recolha, fornecer uma informação completa no sentido do RGPD. Não um link minúsculo na parte inferior da página. Não um “ao submeter este formulário, concorda com os nossos termos” sem nada atrás. Uma informação clara, completa e facilmente acessível sobre o que será feito dos seus dados.
Em 2026, no mercado de prestadores de “entrega de comida” para restaurantes, esta obrigação é ainda muito mal cumprida. Veja como verificar e como interpretar.
O que a lei exige (artigo 13 RGPD)
O artigo 13 do Regulamento Geral de Proteção de Dados lista 11 informações que um responsável pelo tratamento (aquele que recolhe os dados) deve comunicar à pessoa interessada no momento da recolha:
- Identidade e contactos do responsável pelo tratamento
- Contactos do DPO (Delegado de Proteção de Dados) se designado
- Finalidades do tratamento (para que servem os dados)
- Base legal do tratamento (consentimento, contrato, interesse legítimo…)
- Destinatários dos dados (subcontratantes, servidor, CRM, etc.)
- Transferência para fora da UE se for o caso, com as garantias previstas
- Duração da conservação dos dados
- Direitos da pessoa interessada (acesso, retificação, exclusão, oposição, portabilidade)
- Direito de retirar o consentimento a qualquer momento
- Direito de reclamação junto da CNIL
- Consequências se a pessoa recusar fornecer os dados
Concretamente: um link “Política de Privacidade” deve estar presente diretamente acima do botão de submissão do formulário, ou integrado ao formulário em si com uma caixa de seleção (para o consentimento) se for relevante.
As sanções
O artigo 83 do RGPD prevê até 20 milhões de euros ou 4% do volume de negócios anual mundial (o maior dos dois) por falta de informação à pessoa interessada.
Em França, a CNIL aplica estas sanções de forma graduada, mas real. Para as PME, as multas mais frequentes oscilam entre 3.000 € e 20.000 € acrescidas de obrigações de cumprimento de conformidade sob fiança (por exemplo: 500 € por dia de atraso).
Acima de tudo, o simples denúncia à CNIL é gratuita, rápida e desencadeia um procedimento de investigação formal. Todo restaurante que tenha constatado uma recolha abusiva pode fazê-lo em 5 minutos em cnil.fr/fr/plaintas.
Como verificar num site de prestador
- Encontre o formulário de contacto (pedido de demonstração, auditoria gratuita, contacto direto…).
- Liste os campos solicitados : nome, sobrenome, email, telefone, nome do restaurante, endereço, mensagem… Cada um é um dado pessoal.
- Olhe logo acima do botão de submissão : existe um link “Política de Privacidade” ou semelhante? Existe uma caixa de seleção para o consentimento?
- Se nada : é uma infração. O restaurante que submeter este formulário transmite os seus dados pessoais a um responsável pelo tratamento que não cumpre a sua obrigação de informação.
Verificação complementar: procure um link “Política de Privacidade” no rodapé ou no menu. Se não existir em lugar nenhum no site, é uma falta grave.
Caso observado em 2026: gofoodup.com (marca “FoodUp”)
Durante a nossa auditoria do ecossistema de “entrega de comida” em maio de 2026, o formulário de contacto de gofoodup.com é emblemático de uma violação do RGPD caracterizada (análise completa em o estudo de caso dedicado). Concretamente, o formulário:
- Recolhe 6 campos de dados pessoais : nome, sobrenome, endereço de email, telefone, nome do restaurante, mensagem livre
- Não exibe nenhuma política de privacidade (nem acima do formulário, nem no rodapé, nem em lugar nenhum no site — as URLs
/privacy,/politique-confidentialiteretornam HTTP 404) - Não identifica nenhum responsável pelo tratamento (sem SIRET, sem razão social, sem endereço — portanto, a pessoa cujos dados são recolhidos nem sequer sabe QUEM processa os seus dados)
- Não exibe nenhum informação sobre os destinatários dos dados recolhidos
- Não exibe nenhuma informação sobre a duração da conservação
- Não exibe nenhuma menção aos direitos das pessoas (acesso, retificação, exclusão, oposição, portabilidade)
- Não identifica nenhum DPO (embora o volume de recolha e a sensibilidade (telefone profissional + nome comercial do restaurante = re-identificação imediata) possam tornar a designação pertinente no sentido do art. 37 RGPD)
Isto é o que chamamos de uma violação flagrante do RGPD no sentido do artigo 13. O número de campos (6) e a sensibilidade (telefone profissional + nome comercial do restaurante = re-identificação imediata) não deixam margem para dúvidas. A CNIL pode ser notificada em 5 minutos desde cnil.fr/fr/plaintas por qualquer internauta, sem precisar ser vítima — basta ter constatado a violação.
Por que você, restaurante, está pessoalmente envolvido
Se você transmite aos prestadores os seus dados + os dados do seu estabelecimento (e mais tarde os dados dos clientes do seu perfil Uber Eats), você corre dois riscos cumulativos :
- Risco direto : os seus dados estão nas mãos de um ator que não cumpre as suas obrigações RGPD. Sem duração de conservação = potencialmente guardados indefinidamente. Sem destinatários listados = potencialmente revendidos a terceiros (data brokers, outros prestadores). Sem DPO = pessoa a contactar em caso de incidente.
- Risco indireto (o mais grave) : no momento em que você confia aos prestadores os dados dos seus clientes (pedidos, endereços, telefones de entrega), VOCÊ é responsável pelo tratamento para estes dados. O prestador é o seu subcontratante no sentido do artigo 28 do RGPD. Isso implica um contrato formal obrigatório (DPA) que deve listar 10 obrigações específicas do subcontratante. Sem política de privacidade pública, é improvável que este prestador lhe forneça um DPA em conformidade. Em caso de inspeção da CNIL na sua empresa, você será sancionado (responsável pelo tratamento) por ter confiado os dados dos seus clientes a um subcontratante não em conformidade.
Portanto, o seu interesse direto, legalmente, financeiramente e operacionalmente, é não assinar com um prestador que não cumpra a conformidade RGPD básica.
O que fazer se você identificar um caso
- Não submeta o formulário. Se você quiser contactá-los, faça-o através de um canal alternativo (mensagem direta no LinkedIn ao fundador, por exemplo), evitando assim transmitir dados pessoais até que uma política de privacidade esteja disponível.
- Documente : captura de ecrã datada do formulário e do rodapé do site, arquivamento em archive.org/web que horodate e preserva a prova gratuitamente.
- Denuncie à CNIL: cnil.fr/fr/plaintas, procedimento online, gratuito. Você não precisa ser vítima — qualquer internauta pode denunciar uma violação observada.
- Escolha um prestador em conformidade : Fooderise exibe a sua política de privacidade no rodapé de cada página, fornece um DPA padrão com os seus clientes, e identifica o seu DPO. É o mínimo que você tem direito para confiar os dados dos seus clientes em entrega a um prestador.
Em resumo
Um formulário de contacto que recolhe 6 campos pessoais sem política de privacidade não é um “detalhe técnico” — é uma violação flagrante do RGPD, que expõe o prestador a sanções CNIL, e que você expõe a si mesmo desde que lhe confie depois os dados dos clientes.
Rejoignez la communauté Fooderise
Recevez plus de conseils comme celui-ci directement sur WhatsApp. Gratuit, sans spam.
Rejoindre la chaîneUne correction ou une suggestion ?
Vous êtes éditeur, restaurateur ou expert du secteur et vous repérez une information à corriger ou à compléter ? Aidez-nous à tenir cet article à jour.
Proposer une amélioration