GDPR e privacy nel centro estetico: scheda cliente compliance
Come gestire i dati delle clienti nel centro estetico secondo il GDPR: base giuridica, consenso esplicito, retention, diritti dell'interessato, sanzioni.
In questa guida
Il GDPR (Regolamento UE 2016/679) è una delle normative che spesso le estetiste sottovalutano, finché non arriva un controllo del Garante o, peggio, una segnalazione di una cliente scontenta. La verità è che gestire una scheda cliente in regola non è complicato — ma va fatto bene fin dall'inizio.
In questa guida vediamo:
- cosa dice il GDPR applicato al centro estetico
- la base giuridica del trattamento dati
- come strutturare l'informativa privacy e i consensi
- i tempi di conservazione (retention) corretti
- i diritti della cliente e come gestirli
- le sanzioni e come evitarle
Cos'è il GDPR e perché ti riguarda
Il Regolamento UE 2016/679 (in inglese General Data Protection Regulation, GDPR) è la normativa europea sulla protezione dei dati personali. È in vigore dal 25 maggio 2018 e si applica a chiunque tratti dati di persone fisiche nell'esercizio di un'attività economica nell'Unione Europea.
Tu come estetista sei un titolare del trattamento (art. 4.7): decidi tu quali dati raccogliere, perché, e come trattarli. La responsabilità è tua, non della scuola o della catena.
I dati personali che raccogli tipicamente:
- Anagrafica: nome, cognome, data di nascita, codice fiscale
- Contatti: telefono, email, indirizzo
- Servizio: appuntamenti, trattamenti svolti, prodotti acquistati
- Salute (categoria particolare, art. 9): patologie, allergie, farmaci, gravidanza
- Foto: pre/post trattamento, anche solo per uso interno
Tutto questo richiede gestione conforme.
La base giuridica: perché puoi trattare i dati
Per trattare lecitamente un dato personale, ti serve una base giuridica scelta tra quelle elencate dall'art. 6 del GDPR. Per il centro estetico le basi rilevanti sono due:
Esecuzione del contratto (art. 6.1.b)
Quando una cliente prenota un trattamento, stai eseguendo un contratto con lei. Per farlo ti servono dati: nome per chiamarla, telefono per confermare, indirizzo per fattura.
Questi dati non richiedono un consenso separato: la base giuridica è il contratto stesso. Però la cliente deve essere informata (Informativa Privacy).
Consenso esplicito (art. 6.1.a + art. 9.2.a)
Per i dati di salute (anamnesi cutanea, patologie, allergie, gravidanza) e per le foto, serve un consenso esplicito specifico. Sono categorie particolari di dati (art. 9), che richiedono protezione rafforzata.
Il consenso deve essere:
- Libero: la cliente può rifiutare senza conseguenze sul servizio base
- Specifico: un consenso per i dati di salute, uno separato per le foto, uno per marketing
- Informato: deve sapere a cosa serve, chi accede, per quanto tempo
- Esplicito: firma manuale o digitale con flag dedicato, non "consenso implicito"
- Revocabile: può ritirarlo in qualsiasi momento, semplicemente
| Tipo di dato | Base giuridica | Serve consenso? |
|---|---|---|
| Nome, cognome, telefono | Esecuzione contratto | No (basta informativa) |
| Indirizzo, codice fiscale (fattura) | Obbligo di legge fiscale | No |
| Patologie, allergie, gravidanza | Categoria particolare salute | Sì, esplicito e specifico |
| Foto pre/post per scheda interna | Categoria particolare | Sì, esplicito e specifico |
| Foto per Instagram / sito | Categoria particolare + finalità diversa | Sì, ulteriore consenso separato |
| Newsletter, promozioni | Marketing | Sì, separato e revocabile |
L'Informativa Privacy (PIS)
L'Informativa Privacy (Privacy Information Sheet, PIS) è il documento che consegni alla cliente prima della raccolta dati. Spiega chi sei, cosa raccogli, perché, come, per quanto tempo.
Deve contenere (art. 13 GDPR):
- Titolare del trattamento: nome dell'estetista o ragione sociale + partita IVA + indirizzo
- Finalità del trattamento (gestione appuntamenti, anamnesi, fatturazione, eventualmente marketing)
- Base giuridica di ciascuna finalità
- Categorie di dati trattati
- Destinatari dei dati (commercialista, gestionale, gateway pagamenti)
- Trasferimenti extra-UE (se usi software hostato fuori UE, va dichiarato)
- Periodo di conservazione (retention)
- Diritti dell'interessata (accesso, rettifica, cancellazione, portabilità, opposizione)
- Reclamo al Garante (autoritagaranteprivacy.it)
- Conseguenze del mancato conferimento (es: senza anamnesi non posso fare il trattamento)
Il modello standard si trova online o nel tuo gestionale. Non copiarlo da Internet a caso: deve riflettere la tua attività reale. Se usi un gestionale cloud, deve essere citato come responsabile del trattamento.
La retention: per quanto conservi i dati
Il principio del GDPR è minimizzazione: conservi i dati solo il tempo necessario. Dopo, devi cancellarli o anonimizzarli.
| Tipo di dato | Tempo di conservazione | Riferimento |
|---|---|---|
| Scheda anamnesi e trattamenti | 24 mesi dall'ultimo trattamento | Regola di prudenza professionale |
| Fatture e ricevute | 10 anni | Art. 2220 c.c. (obbligo fiscale) |
| Foto pre/post (uso interno) | 24 mesi dall'ultimo trattamento | Allineata a scheda |
| Consenso marketing | Fino a revoca | GDPR art. 7.3 |
| Dati ex-cliente che non torna | Cancellazione dopo 24 mesi | Principio minimizzazione |
La regola dei 24 mesi non è una norma specifica del settore estetico, ma una buona prassi: dopo 2 anni senza contatto, la cliente si considera "non più attiva". Le fatture si conservano comunque 10 anni per ragioni fiscali, separate dalla scheda di trattamento.
I diritti dell'interessata
La cliente ha diritti precisi sui suoi dati. Tu sei obbligata a rispondere entro 30 giorni dalla richiesta.
Diritto di accesso (art. 15)
Può chiederti copia di tutti i dati che hai su di lei: scheda, anamnesi, foto, fatture, storico trattamenti. Devi consegnarle entro 30 giorni in formato comprensibile.
Diritto di rettifica (art. 16)
Se i dati sono sbagliati o incompleti, può chiederti di correggerli. Tipicamente: cambio di nome, di telefono, di indirizzo.
Diritto alla cancellazione / oblio (art. 17)
Può chiederti di cancellare tutto. Devi farlo, salvo che tu non abbia un obbligo legale di conservazione (es: fatture per 10 anni, che però sono dato fiscale, non più "personale" in senso ampio).
Diritto di portabilità (art. 20)
Può chiederti di trasferire i dati a un altro centro estetico in formato leggibile da macchina (es: CSV, PDF strutturato). Capita raramente, ma deve essere possibile.
Diritto di opposizione (art. 21)
Può opporsi al trattamento per finalità di marketing in qualsiasi momento. Va rispettato immediatamente: niente più newsletter, niente più SMS promozionali, niente più Whatsapp di promozioni.
Revoca del consenso (art. 7.3)
Può revocare il consenso per foto, marketing, anamnesi. Se revoca, smetti di trattare quei dati. La revoca non ha effetto retroattivo (i trattamenti fatti prima restano leciti), ma blocca tutto da quel momento.
Le sanzioni del Garante
Il Garante per la Protezione dei Dati Personali (autoritagaranteprivacy.it) può sanzionare le violazioni con multe fino a 20 milioni di euro o 4% del fatturato annuo mondiale, il maggiore dei due (art. 83 GDPR).
Nella realtà, per un centro estetico piccolo le sanzioni vanno da:
- Avvertimento per violazioni lievi e occasionali
- Multa di 1.000–10.000€ per violazioni medie (informativa carente, consenso assente)
- Multa di 10.000–50.000€ per violazioni gravi (foto pubblicate senza consenso, data breach mal gestito)
- Sanzioni più elevate per casi sistematici o con danno effettivo alle persone
In più, la cliente può fare causa civile per il danno subito. Esiste casistica giurisprudenziale di risarcimenti tra 500€ e 5.000€ per pubblicazione di foto pre/post senza consenso.
Cosa cambia se usi un gestionale digitale
Se gestisci tutto su carta, le responsabilità sono interamente tue: armadio chiuso a chiave, accesso controllato, niente schede lasciate in sala d'attesa.
Se usi un gestionale digitale (cartella elettronica), parte del lavoro è svolto dal software:
- Crittografia dei dati a riposo e in transito
- Backup automatici e disaster recovery
- Log accessi per tracciare chi ha visto cosa
- Esportazione dati per richieste di portabilità
- Cancellazione automatica alla scadenza retention
- Modelli di informativa già conformi
- Firma digitale del consenso (con valore legale se conforme eIDAS)
Il gestionale è il responsabile del trattamento (art. 28 GDPR), tu resti il titolare. Devi firmare un contratto di nomina con il fornitore (DPA - Data Processing Agreement) che chiarisce chi fa cosa.
Biutify gestisce scheda cliente, anamnesi, consensi e retention in un'unica scheda GDPR-compliant. Ogni firma è tracciata, ogni consenso revocabile, ogni dato esportabile in 1 click.
Cose da ricordare
- Il GDPR si applica anche al centro estetico piccolo: non è opzionale
- Esecuzione contratto per dati di servizio, consenso esplicito per salute e foto
- Informativa Privacy (PIS) consegnata e firmata prima di raccogliere dati
- Retention: 24 mesi scheda dopo ultimo trattamento, 10 anni fatture
- Diritti della cliente: accesso, rettifica, cancellazione, portabilità, opposizione
- Sanzioni fino a 20M€ o 4% fatturato — più rischio causa civile
- In caso di data breach: 72 ore per notificare il Garante
- Un gestionale serio ti toglie il 70% del lavoro operativo, ma la responsabilità resta tua
Per la stesura concreta dell'informativa privacy e dei moduli di consenso conviene farsi affiancare da un avvocato o da un DPO consulente: il costo (200-500€ una tantum per il pacchetto base) è infinitamente inferiore alle sanzioni. Anche le scuole di estetica serie stanno introducendo moduli base di GDPR nel terzo anno, perché senza questi strumenti non si apre attività in modo sicuro.
Per gli aspetti gestionali quotidiani (firma su tablet, retention automatica, accessi controllati) un gestionale dedicato come Biutify riduce drasticamente il margine di errore. La domanda non è più "ricordo di far firmare?" ma "il sistema lo gestisce per me".
Domande frequenti
Devo davvero rispettare il GDPR se ho un solo centro estetico piccolo?
Sì. Il GDPR si applica a chiunque tratti dati personali nell'esercizio di un'attività, indipendentemente dalla dimensione. Le aziende sotto i 250 dipendenti hanno alcune semplificazioni sul registro dei trattamenti, ma l'informativa, il consenso e le misure di sicurezza sono obbligatorie per tutti.
Cosa serve nella scheda cliente per essere GDPR-compliant?
Tre documenti firmati: informativa privacy (PIS) che spiega come tratti i dati, consenso al trattamento dei dati anagrafici e di servizio, consenso specifico ed esplicito per i dati di salute (anamnesi) e per foto pre/post se le scatti. Tutto datato e firmato, conservato in cartella fisica o gestionale.
Per quanto tempo conservo la scheda anamnesi?
Non c'è una norma specifica: la regola pratica condivisa è 24 mesi dall'ultimo trattamento per i dati di servizio e salute, 10 anni per le fatture (art. 2220 c.c.). Dopo questi termini, devi cancellare o anonimizzare. Se la cliente non torna da 2 anni, valuta cancellazione.
Posso pubblicare foto delle mie clienti su Instagram?
Solo con consenso scritto specifico e separato dal consenso al trattamento. Il consenso deve essere libero, esplicito, informato e revocabile. Mai pubblicare foto senza firma. Se la cliente revoca, devi rimuovere il post — anche se è di 3 anni fa.
Quanto rischio se sbaglio?
Il Garante Privacy può sanzionare fino a 20 milioni di euro o 4% del fatturato annuo (il maggiore dei due). Per un centro estetico piccolo le sanzioni reali partono da qualche migliaio di euro a decine di migliaia per violazioni serie. La cliente può anche fare causa civile per danno.
Devo nominare un DPO (Data Protection Officer)?
Per un centro estetico tipico no. Il DPO è obbligatorio solo per chi tratta dati su larga scala o categorie particolari come attività principale. Tu sei un'estetista, non una clinica: il DPO non serve. Ma le responsabilità di titolare del trattamento sono tue.
Domande della community
Chiedi quello che vuoi — ti rispondono colleghe e colleghi che ci lavorano ogni giorno
Apri tu la conversazione
Registrati in 30 secondi e fai la tua prima domanda. Ti risponde chi nel beauty ci lavora ogni giorno.