Il GDPR si applica al tuo ristorante dal momento in cui hai salvato la prima email di prenotazione. Non dal momento in cui hai assunto 50 dipendenti.
Questo è il malinteso più diffuso tra i ristoratori italiani: pensare che il Reg. UE 2016/679 riguardi solo le grandi aziende con reparti IT dedicati. Il Garante Privacy ha già emesso sanzioni a piccoli locali per newsletter inviate senza consenso valido. Il gdpr ristorante obblighi titolare è un tema che ti riguarda ora, qualunque sia la dimensione del tuo locale.
La buona notizia: gli adempimenti obbligatori sono meno di quanto pensi. La cattiva: quelli che la maggior parte dei ristoratori ignora sono esattamente quelli che portano alle sanzioni.
Sei già titolare del trattamento. Dal primo giorno.
Titolare del trattamento, secondo il GDPR, è chiunque determini le finalità e i mezzi con cui vengono trattati dati personali. Se hai un foglio Excel con i nomi e i numeri di telefono delle prenotazioni, sei un titolare del trattamento ai sensi del Reg. UE 2016/679. Se hai un form online dove i clienti inseriscono la loro email per prenotare, idem. Se usi un software di prenotazione che memorizza quei dati su un server, idem ancora.
Non c’è una soglia dimensionale. Un ristorante da 30 coperti con un file di testo sul computer ha gli stessi obblighi di base di una catena con 200 dipendenti. Le differenze esistono (il Registro dei trattamenti è formalmente obbligatorio solo per chi supera i 250 addetti), ma i principi del Regolamento si applicano a tutti.
La normativa di riferimento è duplice: il Reg. UE 2016/679 (applicabile in Italia dal 25 maggio 2018) e il D.Lgs. 196/2003 (Codice Privacy italiano), modificato dal D.Lgs. 101/2018 per adeguarsi al GDPR. Le due normative si leggono insieme.
Quali dati raccoglie davvero un ristorante
Prima di capire cosa fare, vale la pena fare un inventario onesto. La maggior parte dei ristoratori sottovaluta quanti dati personali raccoglie nel corso di una settimana normale.
| Attività del ristorante | Dati raccolti | Obbligo GDPR | Come adeguarsi |
|---|---|---|---|
| Prenotazione telefonica | Nome, telefono | Informativa breve orale o cartacea | Modulo o avviso standard da leggere al cliente |
| Form prenotazione online | Nome, email, telefono | Privacy policy + informativa al momento della raccolta | Link alla privacy policy nel form |
| Newsletter / promozioni | Email, nome | Consenso esplicito separato | Checkbox non pre-spuntata con testo chiaro |
| Fidelity card / punti fedeltà | Nome, email, storico acquisti | Consenso esplicito + informativa completa | Modulo cartaceo o digitale firmato |
| CCTV interno | Immagini clienti e personale | Cartello informativo + informativa + limite conservazione | Cartello conforme Garante, dati cancellati in 24–72 ore |
| Wi-Fi gratuito con registrazione | Email, dispositivo | Consenso esplicito | Splash page con informativa e checkbox |
Ogni voce in questa tabella rappresenta un trattamento separato, con la propria base giuridica e i propri obblighi. Trattarli tutti come “dati dei clienti” è il primo errore.
Prenotazioni e no-show: come gestirle in modo corretto
Per le prenotazioni, la base giuridica è l’esecuzione di un contratto (art. 6(1)(b) GDPR). Quando un cliente ti dà il suo nome e numero di telefono per prenotare un tavolo, stai trattando quei dati perché servono a eseguire la prestazione che hai promesso. Non ti serve il consenso per raccoglierli. Ti serve però un’informativa.
L’informativa può essere semplice: un breve testo affisso alla cassa, un link in fondo al form online, un avviso sulla pagina di prenotazione. Deve spiegare chi sei (il titolare del trattamento), per quale motivo tratti i dati, per quanto tempo li conservi, e come il cliente può esercitare i propri diritti.
Il principio di minimizzazione (art. 5 GDPR) vale qui in modo pratico: se per gestire una prenotazione ti bastano nome e telefono, non hai motivo di raccogliere anche la data di nascita o il codice fiscale. Ogni dato in più che raccogli senza una ragione specifica è un rischio.
Sulla conservazione: una volta che la prenotazione è avvenuta (o non si è presentata), non hai più motivo di tenere quei dati per anni. Un periodo ragionevole per gestire eventuali reclami può giustificare qualche settimana di conservazione. Non di più.
Newsletter e fidelity: le regole del consenso
Qui si concentra la maggior parte delle sanzioni ai ristoratori italiani. Il motivo è semplice: molti ristoranti raccolgono l’email per la prenotazione, poi usano quella stessa email per inviare newsletter promozionali. È un errore con conseguenze concrete.
Per la newsletter, la base giuridica è solo il consenso esplicito (art. 6(1)(a) GDPR). Non puoi appoggiarti al contratto (base giuridica delle prenotazioni) per mandare comunicazioni commerciali. Sono due cose diverse. Richiedono due basi giuridiche diverse. Il fatto che un cliente abbia prenotato da te non ti dà il diritto di metterlo nella tua lista newsletter.
Il consenso deve essere:
– Libero: il cliente deve poter rifiutare senza conseguenze (non puoi subordinare la prenotazione all’iscrizione alla newsletter)
– Specifico: deve riguardare esattamente quella finalità (newsletter promozionali del ristorante X)
– Informato: il cliente deve sapere cosa sta accettando
– Inequivocabile: una casella pre-spuntata non vale; un silenzio non vale; una dicitura vaga non vale
Lo stesso ragionamento vale per la fidelity card. Il programma fedeltà raccoglie non solo l’email ma lo storico degli acquisti di ciascun cliente: quante volte è venuto, cosa ha ordinato, quanto ha speso. Questi dati richiedono un consenso esplicito e un’informativa chiara. Se consegni la tessera punti senza far firmare nulla, stai trattando dati senza base giuridica.
Il Garante Privacy (garanteprivacy.it) ha pubblicato diversi provvedimenti sanzionatori nei confronti di piccole imprese per esattamente questi casi. Le sanzioni ai sensi dell’art. 83 del Reg. UE 2016/679 partono da importi significativi: fino a €10 milioni (o 2% del fatturato annuo) per violazioni meno gravi, fino a €20 milioni (o 4% del fatturato) per quelle più gravi.
Il CCTV nel locale: obblighi che molti ignorano
Un impianto di videosorveglianza in sala o all’ingresso raccoglie immagini di persone. Le immagini sono dati personali. Questo significa che anche il CCTV rientra nel perimetro del GDPR, con regole specifiche stabilite dal Provvedimento del Garante del 2018.
Gli obblighi sono tre:
1. Cartello informativo. Deve essere visibile all’ingresso, prima che la persona entri nel campo di ripresa. Il Garante ha un modello di riferimento. Non basta un foglio A4 attaccato con lo scotch: deve essere leggibile, nel formato indicato, con le informazioni minime previste e un rinvio all’informativa completa.
2. Informativa completa. Il cliente ha diritto a sapere chi tratta le immagini, per quale motivo, per quanto tempo le conserva, e chi eventualmente vi ha accesso.
3. Limite di conservazione. Questo è quello che sorprende di più: le immagini non possono essere conservate oltre 24–72 ore in circostanze normali. Se hai una ragione documentata di sicurezza, il limite può arrivare a 7 giorni, ma deve essere giustificato. Non puoi tenere le registrazioni per settimane “nel caso servano”.
Se l’impianto è gestito da una società di vigilanza esterna, serve un contratto scritto di responsabile del trattamento ai sensi dell’art. 28 GDPR. Senza quel contratto, la società esterna tratta immagini dei tuoi clienti senza titolo formale.
Cosa NON richiede il GDPR (e qui il menu digitale cambia tutto)
Parlare di GDPR nei ristoranti ha senso solo se si capisce anche dove il rischio non esiste. Ci sono strumenti che il ristoratore usa ogni giorno che non generano alcun obbligo di privacy.
Il menu digitale Menucini non raccoglie dati personali. La scansione del QR code è anonima: il cliente visualizza il menu senza login, senza registrazione, senza cookie traccianti. Il tuo menu può avere 50.000 visualizzazioni al giorno e tu non avrai nessun dato personale da gestire secondo il GDPR. Il rischio è negli altri strumenti: il sistema di prenotazione, la fidelity card, la newsletter.
Questo non è un dettaglio marginale. Molti ristoratori esitano ad adottare strumenti digitali perché temono implicazioni legali. Per il menu digitale, quella preoccupazione non si applica: non c’è un database di clienti, non c’è un profilo utente, non c’è nessun dato da proteggere, cancellare o dichiarare. Il cliente apre il browser, vede il menu, chiude il browser. Fine.
La stessa logica vale per: la presenza su Google Maps (i dati li gestisce Google), le visualizzazioni della pagina Instagram (dati gestiti da Meta), i commenti pubblici su TripAdvisor.
Gli adempimenti normativi del ristorante che richiedono più attenzione pratica restano quelli legati ai dati che tu stesso raccogli e memorizzi. Per il quadro completo di tutti gli adempimenti normativi del ristorante nel 2026, dalla sicurezza alimentare al fisco e alle assicurazioni, c’è la guida dedicata.
Cosa fare adesso: la lista minima di adempimenti
Niente teorie. Ecco cosa serve per essere in regola su un ristorante standard nel 2026:
1. Privacy policy pubblicata
Un documento online che descrive tutti i trattamenti che effettui: prenotazioni, newsletter, CCTV, sito web. Deve essere raggiungibile tramite link da ogni punto di raccolta dati (form prenotazione, sito, piè di pagina email).
2. Informativa al momento della prenotazione
Se ricevi prenotazioni per telefono: un avviso standardizzato da leggere (o un cartello alla cassa). Se online: link alla privacy policy nel form, visibile prima dell’invio.
3. Modulo consenso separato per newsletter e fidelity
Checkbox separata, non pre-spuntata, con testo chiaro: “Acconsento a ricevere comunicazioni promozionali dal ristorante X.” Conserva la prova del consenso (data, canale, testo accettato).
4. Cartello CCTV conforme
Usa il modello del Garante. Posizionalo prima dell’ingresso nel campo di ripresa. Configura il sistema per sovrascrivere le registrazioni entro 24–72 ore.
5. Contratto con i fornitori che trattano dati per tuo conto
Il software di prenotazione, la piattaforma email marketing, il sistema di videosorveglianza gestito da terzi: tutti devono firmare un contratto di responsabile del trattamento (art. 28 GDPR). Molti fornitori lo propongono già nella fase di attivazione del servizio: verifica che ci sia.
6. Procedura per i diritti degli interessati
Se un cliente ti chiede di vedere i dati che hai su di lui, rettificarli, o cancellarli, hai 30 giorni per rispondere. Serve almeno una email dedicata (es. privacy@tuoristorante.it) e una persona che sa come rispondere.
La maggior parte di questi adempimenti si implementa in un pomeriggio. Il costo reale non è alto. Il costo di una sanzione lo è.
FAQ — GDPR ristorante
I ristoranti devono rispettare il GDPR?
Sì. Il Reg. UE 2016/679 si applica a qualsiasi soggetto che tratta dati personali di persone fisiche nell’Unione Europea, indipendentemente dalle dimensioni. Un ristorante che raccoglie nomi, email o numeri di telefono per gestire prenotazioni è soggetto al GDPR dal momento in cui memorizza il primo dato. Non esiste una soglia dimensionale che esonera i piccoli locali.
Come raccogliere email dei clienti in modo legale al ristorante?
Per raccogliere email a fini di newsletter o marketing, serve un consenso esplicito ai sensi dell’art. 6(1)(a) GDPR. Questo significa: una casella di spunta non pre-selezionata, un testo che spiega chiaramente l’uso dell’email, e la conservazione della prova del consenso (data, canale, testo accettato). L’email raccolta per gestire una prenotazione non può essere usata per inviare newsletter senza un consenso separato e specifico.
Serve il consenso GDPR per la fidelity card?
Sì. La fidelity card raccoglie dati personali (nome, email, storico acquisti) e li tratta per finalità commerciali. La base giuridica richiesta è il consenso esplicito dell’interessato. Il modulo di iscrizione al programma fedeltà deve includere un’informativa sul trattamento dei dati e una firma o spunta di consenso. Il cliente ha anche il diritto di richiedere la cancellazione dei propri dati in qualsiasi momento.
Cosa rischia un ristorante che viola il GDPR?
Secondo l’art. 83 del Reg. UE 2016/679, le sanzioni per violazioni meno gravi (come mancata informativa o conservazione eccessiva dei dati) arrivano fino a €10 milioni o al 2% del fatturato annuo. Per violazioni più gravi (trattamento senza base giuridica, trasferimento illecito di dati) il massimo sale a €20 milioni o al 4% del fatturato. Il Garante Privacy italiano ha già emesso provvedimenti sanzionatori nei confronti di piccoli locali per newsletter inviate senza consenso valido.
La newsletter del ristorante richiede il consenso GDPR?
Sì, sempre. Inviare comunicazioni commerciali via email richiede il consenso esplicito del destinatario ai sensi dell’art. 6(1)(a) GDPR. Non è sufficiente che il cliente abbia prenotato un tavolo o visitato il locale: la base giuridica del contratto di prenotazione non copre le comunicazioni di marketing. Il consenso deve essere raccolto separatamente, in modo libero, specifico e documentato.
Gli adempimenti che il tuo ristorante non può rimandare
Il GDPR non è una burocrazia astratta. È un insieme di regole pratiche che definiscono come puoi usare i dati che i tuoi clienti ti affidano quando prenotano, quando si iscrivono alla tua newsletter, quando entrano nel tuo locale ripresi da una telecamera.
Gli adempimenti obbligatori per un ristorante standard sono sei. Nessuno richiede un avvocato a tempo pieno. La privacy policy si scrive una volta e si aggiorna quando cambia qualcosa. Il cartello CCTV si stampa e si appende. Il modulo consenso newsletter si configura nel tuo software di email marketing in venti minuti.
Quello che non conviene fare è aspettare un’ispezione per scoprire qual è la tua situazione.
Vuoi provare senza impegno?
Menucini offre 14 giorni di prova gratuita, senza carta di credito.
Crei il menu, lo metti sui tavoli, vedi come reagiscono i clienti.
Nessun dato personale da gestire, nessun obbligo GDPR aggiuntivo.
