GDPR per parrucchieri ed estetiste: cosa serve davvero

"GDPR" è quella parola che fa storcere il naso a chiunque gestisca un salone. Ti parlano di multe da €20 milioni, ti vendono consulenze da migliaia di euro, ti propongono software "GDPR-compliant" a 200€/mese. La realtà è molto più semplice — e molto meno costosa.

Questa guida ti spiega cosa serve davvero per essere in regola con il GDPR come parrucchiere o estetista, senza fuffa e senza spendere migliaia di euro.

Disclaimer: questo articolo è informativo, non parere legale. Per situazioni complesse (es. catena con 10+ saloni) consulta un avvocato esperto privacy o un DPO certificato.

Cosa è il GDPR (in 30 secondi)

Il GDPR (Regolamento UE 2016/679, entrato in vigore il 25 maggio 2018) è la legge europea sulla protezione dei dati personali. Si applica a chiunque tratti dati di residenti UE. Punto.

"Trattare dati" significa anche solo annotare il numero di telefono di un cliente per chiamarlo se sei in ritardo. Sì, sei soggetto al GDPR. No, non devi farti prendere dal panico.

I 6 obblighi reali (e non sono 600)

1. Informativa privacy ai clienti

Quando un cliente ti dà i suoi dati (nome, telefono, email, foto), devi spiegargli:

• Chi sei tu (Titolare del trattamento)
• Quali dati raccogli (anagrafica + contatti + storico trattamenti)
• Perché li raccogli (gestire appuntamenti, fatturare, ricontattarlo)
• Per quanto tempo li tieni (di solito: durata rapporto + 10 anni per finalità fiscali)
• A chi li passi (es. ZenBookr come gestionale, commercialista, Stripe per pagamenti)
• I suoi diritti (accesso, rettifica, cancellazione, portabilità)

Come adempiere: una pagina A4 stampata e affissa in salone + versione PDF da fargli leggere alla prima visita. Costo: zero. Se usi ZenBookr, l'informativa è già inclusa nella nostra Privacy Policy, basta linkarla.

2. Base giuridica per ogni trattamento

Il GDPR (art. 6) richiede una "base giuridica" per trattare i dati. Per un parrucchiere/estetista le 4 basi rilevanti sono:

• Esecuzione di un contratto (art. 6.1.b) — dati necessari per fornire il servizio prenotato. Esempio: nome + telefono per confermare appuntamento.
• Obbligo legale (art. 6.1.c) — dati fiscali (codice fiscale per fattura/scontrino sopra €77,47).
• Legittimo interesse (art. 6.1.f) — comunicazioni operative non promozionali (es. "il tuo appuntamento è confermato per domani alle 10").
• Consenso esplicito (art. 6.1.a) — newsletter promozionali, foto pubblicate sui social del salone.

Trappola comune: la newsletter "vi mandiamo solo sconti speciali" richiede consenso esplicito, opt-in, revocabile in qualsiasi momento. Non basta dire "iscritto automaticamente".

3. Consenso esplicito per dati sensibili (art. 9)

I dati sanitari sono "categoria particolare" art. 9 GDPR — richiedono consenso esplicito separato. Esempi che potresti incontrare:

• Allergie a prodotti / coloranti
• Cicatrici, lesioni cutanee
• Gravidanza (informazione rilevante per scelta prodotti)
• Foto del prima/dopo che mostrano patologie cutanee

Soluzione pratica: una seconda dichiarazione di consenso firmata, separata dall'informativa generale. Esempio: "Acconsento al trattamento dei miei dati relativi ad allergie e condizioni cutanee per la corretta personalizzazione dei servizi." Sì/No.

4. Foto pre/post: il consenso doppio

Le foto del prima/dopo trattamento sono dato personale (art. 4 GDPR) e potenzialmente dato sensibile se mostrano patologie.

Per le foto serve consenso scritto separato, con due dimensioni:

• Consenso a fotografare per fiche cliente interna (sempre)
• Consenso a pubblicare sui social del salone (opzionale, separato)

La cliente deve poter dire "sì alla fiche, no ai social" — sono due trattamenti diversi.

Errore comune: parrucchieri che postano sui social foto di trattamenti senza esplicito consenso scritto. Anche se la cliente "aveva detto sì a voce" o "aveva firmato qualcosa di generico", non basta. Multe documentate da Garante Privacy: €5.000-€20.000 per casi simili.

5. Sicurezza dei dati (art. 32)

Devi proteggere i dati con misure "adeguate al rischio". Cosa significa praticamente:

• Password robusta sul computer del salone (no "1234" o "admin")
• Schermo che si blocca dopo 5 minuti di inattività
• Backup regolare dei dati clienti (cloud o disco esterno cifrato)
• Schedario cartaceo (se ce l'hai) chiuso a chiave
• Software gestionale aggiornato (es. ZenBookr aggiorna automaticamente)

Non serve un sistema bunker militare. Serve "diligenza del buon padre di famiglia digitale".

6. Diritti dei clienti

I clienti hanno il diritto di chiederti, in qualsiasi momento:

• Accesso: "Mostrami tutti i dati che hai su di me." Devi rispondere entro 30 giorni.
• Rettifica: "Cambia il mio numero di telefono." Subito.
• Cancellazione (diritto all'oblio): "Cancellami tutto." Devi farlo, eccetto dati che ti servono per obblighi fiscali (10 anni).
• Portabilità: "Esportami i miei dati in formato leggibile (CSV/PDF)." Entro 30 giorni.
• Opposizione: "Non voglio più ricevere comunicazioni promozionali." Da implementare subito.

Con un buon gestionale (ZenBookr lo fa nativamente) export CSV + cancellazione totale sono 1-2 click.

Cosa NON ti serve fare (smonta i miti)

Sfatiamo i miti più costosi che ti vendono come "obbligatori":

Mito 1: "Devi avere un DPO"

Falso per il 99% dei parrucchieri/estetisti. Il DPO (Data Protection Officer) è obbligatorio solo se:

• Tratti dati "su larga scala" (sopra 50.000 clienti circa)
• Sei pubblica amministrazione
• Tratti dati sensibili come attività principale

Un salone con 500 clienti attivi NON ha bisogno di un DPO. Se qualcuno ti vende "DPO obbligatorio" a €1.500/anno, è un servizio non necessario per te.

Mito 2: "Devi fare il Registro dei Trattamenti"

Il Registro dei Trattamenti (art. 30 GDPR) è obbligatorio solo per organizzazioni con 250+ dipendenti, salvo trattamenti rischiosi/sensibili sistematici. Un salone con titolare + 2-3 dipendenti non lo richiede.

Mito 3: "Devi pagare il bollino GDPR"

Non esiste un "bollino GDPR" ufficiale. Chi te lo vende è un truffatore.

Mito 4: "Le multe sono €20 milioni"

Vero in teoria, falso in pratica per un salone. Il Garante per la Protezione dei Dati Personali italiano commina sanzioni proporzionate al fatturato e alla gravità. Casi reali per saloni:

• Mancato consenso per foto social: €5.000-€15.000
• Newsletter senza opt-in: €3.000-€10.000
• Furto dati non notificato: €15.000-€30.000

Importanti, sì. Ma €20 milioni li hanno presi Meta, Google, Amazon — non i parrucchieri.

Il Cookie Banner: trappola del web

Se hai un sito web o usi un gestionale che ha pagine pubbliche (es. marketplace), serve un cookie banner conforme.

Le regole italiane (Provvedimento Garante 10 giugno 2021 + §25 TTDSG per Germania) impongono:

• Banner che appare alla prima visita
• Opt-in esplicito per cookie non-tecnici (analytics, marketing)
• Pulsanti "Accetta" e "Rifiuta" con stesso peso visivo (no "Accetta" grande e "Rifiuta" nascosto)
• Possibilità di modificare le preferenze in qualsiasi momento (link "Gestisci consensi")

ZenBookr include cookie banner conforme già pre-configurato. Per i parrucchieri che hanno un proprio sito Wix/Wordpress, usa plugin gratuiti tipo Iubenda (free tier) o CookieBot.

Cosa fa ZenBookr per la tua compliance

Se usi ZenBookr come gestionale, una larga fetta di compliance la facciamo noi (siamo il Responsabile del trattamento, tu sei Titolare):

• DPA art. 28 GDPR sottoscrivibile in app — vedi il DPA standard
• Server in UE (Firebase europe-west1, Belgio)
• Crittografia in transit (TLS 1.3) + at rest (AES-256)
• Backup automatici giornalieri
• Informativa privacy per i tuoi clienti pre-configurata (puoi personalizzarla)
• Cookie banner conforme nelle pagine pubbliche del marketplace
• Export CSV / cancellazione totale a portata di 2 click
• Audit log degli accessi ai dati (chi ha visualizzato cosa, quando)

Checklist GDPR per salone — stampa e usa

1. ☐ Informativa privacy preparata (1 pagina A4)
2. ☐ Modulo consenso allergie / dati sensibili (separato)
3. ☐ Modulo consenso foto pre/post (con dimensione fiche + social)
4. ☐ Gestionale con DPA art. 28 GDPR sottoscrivibile
5. ☐ Server gestionale in UE
6. ☐ Password robusta + blocco automatico schermo
7. ☐ Backup regolare dati clienti (cloud o disco esterno cifrato)
8. ☐ Schedario cartaceo (se presente) chiuso a chiave
9. ☐ Cookie banner sul sito (se applicabile)
10. ☐ Newsletter solo con opt-in esplicito
11. ☐ Foto social solo con consenso scritto separato
12. ☐ Procedura per rispondere a richieste accesso/cancellazione clienti (entro 30gg)
13. ☐ Procedura notifica violazione dati (se subisci furto/leak: notifica al Garante entro 72h)

Con tutti questi punti coperti, sei in regola al 99% per un'attività di salone tipica.

TL;DR: informativa privacy + consenso esplicito (separato per dati sensibili e foto) + gestionale serio con DPA + sicurezza ragionevole = sei a posto. Non spendere €1.500 per "DPO consulenza" se sei un salone solo.

Risorse

• Garante per la Protezione dei Dati Personali (autorità italiana — info ufficiali)
• GDPR.eu (sito ufficiale UE)
• La nostra Privacy Policy (esempio di informativa GDPR completa, puoi prenderla come modello)
• Il nostro DPA art. 28 (esempio di Data Processing Agreement)

Hai dubbi specifici sulla tua situazione? Scrivici. Se la risposta è "serve un avvocato/DPO certificato", te lo diciamo onestamente.