L’informativa privacy dell’estetista è il documento che spiega in modo chiaro quali dati personali dei clienti vengono raccolti, perché, su quale base giuridica e per quanto tempo, includendo quando necessario informazioni sensibili come allergie o condizioni cutanee utili a personalizzare i trattamenti. Descrive chi è il titolare del trattamento, come i dati vengono usati e protetti, se vengono condivisi con terzi (ad esempio per gestione appuntamenti o fatturazione) e come contattarlo. Indica i diritti riconosciuti dal GDPR, come accesso, rettifica, cancellazione, opposizione, portabilità e revoca del consenso, e come esercitarli. Serve a garantire trasparenza e conformità alla legge, tutelando cliente e professionista e rafforzando la fiducia.
Come scrivere Informativa privacy estetista
In un centro estetico l’informativa privacy deve identificare chiaramente chi tratta i dati, quindi la ragione sociale del titolare, indirizzo, partita IVA e i recapiti per contattarlo in materia di protezione dei dati, indicando anche l’eventuale DPO se nominato. Deve spiegare quali dati vengono raccolti e da dove provengono, distinguendo fra dati anagrafici e di contatto, dati relativi alle prenotazioni e alla cronologia dei trattamenti, dati di fatturazione e pagamento, immagini fotografiche o video per finalità professionali, nonché informazioni sulla salute strettamente necessarie a svolgere in sicurezza i trattamenti, come allergie, condizioni cutanee, assunzione di farmaci, gravidanza o ipersensibilità; è importante chiarire se tali informazioni vengono acquisite direttamente dall’interessato in sede, tramite moduli cartacei o digitali, tramite sistemi di prenotazione online, scambi su e‑mail o app di messaggistica, social network o attraverso il sito web e i suoi cookie. Deve indicare per ciascuna finalità la base giuridica del trattamento: esecuzione del contratto o di misure precontrattuali per gestire richieste, appuntamenti e trattamenti; adempimento di obblighi legali per la contabilità e la fiscalità; legittimo interesse del titolare, rigorosamente bilanciato, per la sicurezza degli ambienti, la prevenzione di frodi, l’organizzazione operativa e l’invio di promemoria di appuntamento; consenso esplicito per i dati sulla salute e, separatamente, per attività di marketing, invio di offerte commerciali e newsletter, eventuale profilazione a fini promozionali, utilizzo di immagini prima/dopo e loro pubblicazione online. Deve essere spiegato cosa accade se alcuni dati non vengono conferiti, distinguendo tra dati necessari all’esecuzione del servizio o all’adempimento di obblighi di legge, la cui mancata comunicazione impedisce l’erogazione di specifici trattamenti in sicurezza o l’emissione di documenti fiscali, e dati facoltativi come quelli per marketing, la cui mancata fornitura non incide sul servizio. Se sono presenti processi decisionali automatizzati o profilazione occorre descriverne logica, finalità e conseguenze, altrimenti va chiarito che non vengono effettuati.
L’informativa deve elencare a chi possono essere comunicati i dati, specificando categorie di destinatari e il loro ruolo: personale del centro debitamente autorizzato e formato; responsabili del trattamento come fornitori di software di prenotazione e CRM, piattaforme per SMS o e‑mail, hosting e cloud, gestionali, manutentori IT, consulenti contabili o fiscali, agenzie marketing e assicurazioni; soggetti autonomi come istituti di pagamento e banche per le transazioni, professionisti esterni e, quando richiesto dalla legge, autorità pubbliche. Deve chiarire se i dati vengono trasferiti fuori dallo Spazio Economico Europeo, indicando i paesi interessati quando identificabili tramite i fornitori utilizzati, e quali garanzie vengono applicate, come decisioni di adeguatezza o clausole contrattuali standard, e come ottenere copia di tali garanzie.
Deve specificare per quanto tempo i dati vengono conservati o i criteri usati per determinarlo: ad esempio, i dati dei clienti e la documentazione fiscale per i termini di legge; la scheda anamnestica e le note sui trattamenti per un periodo limitato e proporzionato all’aggiornamento clinico-estetico, di regola alcuni anni dall’ultima visita salvo consenso rinnovato o esigenze di tutela in caso di contestazioni; i dati di marketing fino a revoca del consenso o a seguito di inattività protratta; le immagini raccolte per fini promozionali fino a revoca del consenso, tenendo conto che il ritiro non ha effetti retroattivi sulle diffusioni già avvenute; le registrazioni di videosorveglianza, se presenti, per tempi brevi coerenti con la finalità di sicurezza e con l’eventuale recupero in caso di eventi. Va descritto, in termini comprensibili, come i dati sono protetti con misure tecniche e organizzative adeguate al rischio, come controllo degli accessi, autenticazioni robuste, cifratura e backup, dispositivi fisici protetti, politiche di conservazione e cancellazione, istruzioni al personale e accordi di riservatezza.
L’informativa deve illustrare in modo chiaro i diritti dell’interessato e come esercitarli: accesso ai dati, rettifica, aggiornamento, cancellazione quando applicabile, limitazione, portabilità nei casi previsti, opposizione ai trattamenti basati su legittimo interesse e, in ogni momento, opposizione al marketing diretto; revoca del consenso senza pregiudicare la liceità dei trattamenti già effettuati; diritto a proporre reclamo all’Autorità Garante per la protezione dei dati personali con relativi recapiti. Devono essere forniti i canali pratici per le richieste, come un indirizzo e‑mail dedicato, e i tempi di riscontro. È opportuno spiegare come vengono gestite le richieste relative a dati presenti su piattaforme terze, ad esempio app di messaggistica o social media, chiarendo che tali piattaforme sono autonomi titolari e rimandando alle loro informative.
Se si trattano dati di minori, l’informativa deve precisare le condizioni di liceità, l’età rilevante e le modalità di acquisizione del consenso del genitore o di chi esercita la responsabilità genitoriale, evitando attività di marketing diretto rivolto ai minori. Deve poi trattare aspetti tipici del settore: la raccolta di immagini prima e dopo i trattamenti e la loro eventuale pubblicazione richiedono un consenso separato, specifico e documentato, con la possibilità di negare o concedere separatamente l’uso interno, l’uso in salone, la pubblicazione su sito e profili social, ricordando gli effetti pratici della diffusione online; l’uso di canali come WhatsApp o Instagram per prenotazioni e assistenza comporta trasferimenti verso soggetti terzi e talvolta extra UE, e ciò deve essere esplicitato insieme alle cautele adottate; l’invio di promemoria di appuntamento via SMS o e‑mail va qualificato come necessario all’esecuzione del servizio o basato su legittimo interesse, mentre le comunicazioni promozionali richiedono consenso distinto e facilmente revocabile; i pagamenti con carta vengono gestiti tramite provider che operano come autonomi titolari o responsabili e il centro non conserva i dati completi della carta. Se il salone utilizza videosorveglianza, oltre alla segnaletica a norma è utile informare sulle finalità di sicurezza, sulle aree inquadrate, sui tempi di conservazione e sui soggetti che vi possono accedere. Se è presente un sito web, l’informativa deve rimandare alla cookie policy con descrizione dei cookie tecnici e di terza parte, delle basi giuridiche per i cookie non tecnici, del funzionamento del banner di consenso e delle scelte dell’utente, includendo eventuali strumenti di analytics configurati per ridurre l’invasività o, in caso contrario, soggetti a consenso.
Infine l’informativa deve spiegare quando viene fornita, ad esempio al momento della raccolta dei dati in sede, al primo contatto online o alla creazione dell’account di prenotazione, dove è consultabile in modo stabile, ad esempio in salone e sul sito, e come verranno comunicate eventuali modifiche sostanziali, indicando la data dell’ultimo aggiornamento. Per i consensi è necessario prevedere caselle distinte per ciascuna finalità non necessaria, con registrazione della manifestazione di volontà e procedure semplici per la revoca. In questo modo l’informativa risulta completa, trasparente e aderente ai requisiti normativi applicabili al trattamento dei dati in ambito estetico.
Esempio Informativa privacy estetista
Identità e contatti del Titolare del trattamento
– Titolare del trattamento: _______________
– Sede legale e operativa: _______________
– P. IVA/C.F.: _______________
– E-mail: _______________
– PEC: _______________
– Telefono: _______________
– Sito web: _______________
– Responsabile della protezione dei dati (se nominato): _______________ – contatti: _______________
Categorie di dati trattati
– Dati anagrafici e di contatto (nome, cognome, data di nascita, indirizzo, e-mail, telefono): _______________
– Dati necessari alla gestione del rapporto e alla fatturazione (codice fiscale/P. IVA, indirizzi di fatturazione, dettagli del pagamento): _______________
– Dati relativi alla salute e al benessere, nella misura necessaria per valutare l’idoneità ai trattamenti estetici (allergie, intolleranze, patologie cutanee, informazioni su farmaci e condizioni rilevanti): _______________
– Preferenze di servizio e storico trattamenti: _______________
– Immagini e video per portfolio, materiale promozionale e canali social: _______________
– Dati di navigazione, identificativi online e cookie raccolti tramite il sito/app: _______________
– Dati provenienti da canali social/messaggistica/servizi di prenotazione online: _______________
Finalità e basi giuridiche del trattamento
– Gestione richieste, preventivi, prenotazioni e erogazione dei servizi estetici: esecuzione di misure precontrattuali e/o del contratto (art. 6.1.b GDPR)
– Adempimenti amministrativi, contabili e fiscali: obbligo legale (art. 6.1.c GDPR)
– Valutazione di idoneità e sicurezza dei trattamenti, inclusa la raccolta di dati relativi alla salute: consenso esplicito (art. 9.2.a GDPR)
– Invio di promemoria appuntamenti e comunicazioni di servizio: esecuzione del contratto e/o legittimo interesse del Titolare (art. 6.1.b e/o 6.1.f GDPR)
– Gestione dei pagamenti, prevenzione di frodi e tutela dei diritti del Titolare: obbligo legale e legittimo interesse (art. 6.1.c e 6.1.f GDPR)
– Marketing diretto (newsletter, SMS, notifiche, offerte personalizzate): consenso dell’interessato (art. 6.1.a GDPR); per prodotti/servizi analoghi a quelli già acquistati, legittimo interesse/soft spam con diritto di opposizione in ogni momento (art. 6.1.f GDPR e art. 130 co. 4 Codice Privacy)
– Pubblicazione di immagini/video per portfolio, sito e social: consenso (art. 6.1.a GDPR)
– Videosorveglianza dei locali per sicurezza: legittimo interesse del Titolare (art. 6.1.f GDPR)
– Gestione di reclami, contenziosi e recupero crediti: legittimo interesse del Titolare (art. 6.1.f GDPR)
– Selezione del personale e gestione candidature: misure precontrattuali/consenso (art. 6.1.b e/o 6.1.a GDPR)
– Profilazione leggera delle preferenze di servizio, se effettuata: consenso (art. 6.1.a GDPR)
Modalità del trattamento e misure di sicurezza
– I dati sono trattati con strumenti manuali e informatici da personale autorizzato e formato, secondo principi di liceità, correttezza, trasparenza, minimizzazione e limitazione della conservazione.
– Sono adottate misure tecniche e organizzative adeguate a garantire riservatezza, integrità e disponibilità dei dati (controlli degli accessi, backup, pseudonimizzazione/cifratura ove appropriato, registri dei trattamenti, accordi di riservatezza).
Conferimento dei dati
– Il conferimento dei dati necessari all’erogazione dei servizi e all’adempimento degli obblighi legali è obbligatorio; il mancato conferimento comporta l’impossibilità di fornire il servizio richiesto.
– Il conferimento dei dati relativi alla salute è facoltativo ma necessario per la corretta e sicura erogazione di specifici trattamenti; in mancanza di consenso esplicito non sarà possibile eseguire tali trattamenti.
– Il conferimento per finalità di marketing, pubblicazione immagini/video e profilazione è facoltativo; il mancato consenso non pregiudica gli altri servizi.
Destinatari o categorie di destinatari
– Personale interno espressamente autorizzato: _______________
– Responsabili del trattamento (fornitori di software gestionale/prenotazioni, CRM, servizi di invio e-mail/SMS, hosting/housing, cloud, manutenzione IT, gateway di pagamento, contabilità/fiscale, consulenti): _______________
– Istituti di credito e fornitori di servizi di pagamento: _______________
– Compagnie assicurative e consulenti legali/tecnici in caso di sinistri o contenziosi: _______________
– Soggetti pubblici e autorità competenti per obblighi di legge o ordini dell’Autorità: _______________
Trasferimenti extra UE/SEE
– Alcuni fornitori potrebbero trattare dati in Paesi extra UE/SEE. In tali casi il trasferimento avviene sulla base di decisioni di adeguatezza (art. 45 GDPR) o di garanzie adeguate, quali Clausole Contrattuali Standard (art. 46 GDPR). Copia delle garanzie e l’elenco aggiornato dei Paesi/fornitori sono disponibili su richiesta a _______________.
Tempi di conservazione
– Dati contrattuali, amministrativi e contabili: fino a 10 anni dall’ultima operazione, fatti salvi ulteriori termini di legge
– Dati relativi alla salute raccolti per l’idoneità ai trattamenti: per il tempo strettamente necessario e, in assenza di ulteriori trattamenti, non oltre _______________ dal termine dell’ultimo trattamento/visita, salvo revoca del consenso
– Dati per promemoria e gestione appuntamenti: _______________
– Marketing e profilazione: fino a revoca del consenso e comunque non oltre _______________
– Immagini/video per portfolio e social: fino a revoca del consenso o per il periodo indicato nell’atto di consenso: _______________
– Videosorveglianza: consueto periodo di _______________ ore/giorni, salvo esigenze di ulteriore conservazione per accertare reati o tutelare diritti
– Candidature: _______________
Diritti dell’interessato
– Accesso, rettifica, aggiornamento e integrazione dei dati
– Cancellazione, limitazione e opposizione al trattamento nei casi previsti
– Portabilità dei dati, ove applicabile
– Revoca del consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca
– Reclamo all’Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it)
Per esercitare i diritti: inviare richiesta a _______________ (indirizzo) o a _______________ (e-mail/PEC). Potrà essere necessario verificare l’identità del richiedente.
Decisioni automatizzate e profilazione
– Non vengono effettuate decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici che La riguardano o incidano in modo analogo significativamente su di Lei. Eventuali attività di profilazione per personalizzare offerte/servizi avverranno solo con Suo consenso: _______________.
Minori
– Qualora i servizi siano richiesti per minori di anni _______________, il trattamento avverrà previo consenso di chi esercita la responsabilità genitoriale.
Videosorveglianza
– Qualora i locali siano videosorvegliati, sono esposti appositi cartelli informativi. Le immagini sono trattate per finalità di sicurezza, accessibili solo a personale autorizzato e conservate per _______________.
Comunicazioni commerciali e soft spam
– Con il Suo consenso potremo inviare comunicazioni promozionali e newsletter tramite _______________.
– Se è già nostro cliente, potremo inviarLe comunicazioni relative a prodotti/servizi analoghi a quelli già acquistati; potrà opporsi in ogni momento scrivendo a _______________ o utilizzando il link di disiscrizione.
Cookie e canali online
– I trattamenti effettuati tramite il sito/app e l’uso di cookie e tecnologie analoghe sono descritti nell’informativa cookie disponibile qui: _______________.
Provenienza dei dati
– I dati sono raccolti presso l’interessato o tramite terze parti da questi autorizzate (es. piattaforme di prenotazione, social, programmi fedeltà): _______________.
Aggiornamenti e modifiche
– Il Titolare potrà aggiornare la presente informativa. La versione in vigore è sempre disponibile presso i locali e/o sul sito: _______________. Eventuali modifiche sostanziali saranno comunicate con mezzi appropriati.
Data di aggiornamento
– Data: _______________