Fooderise

Un fornitore vi chiede nome, cognome, email, telefono e IBAN senza GDPR?

Conformità 6 min de lecture 13 mai 2026

Cas concret 2026 — Le formulaire di contatto di gofoodup.com (marchio “FoodUp”) raccoglie 6 campi di dati personali (nome, cognome, email, telefono, nome del ristorante, messaggio libero) senza alcuna politica sulla privacy visibile, né sopra il form, né nel footer, né da nessun’altra parte sul sito. È una violazione flagrante dell’art. 13 GDPR sanzionabile dalla CNIL. Vedi lo studio di caso fattuale completo →

Quando un sito raccoglie anche solo i dati personali – il tuo nome, il tuo cognome, la tua email, il tuo telefono – deve, nel momento stesso della raccolta, fornire un’informazione completa ai sensi del GDPR. Non un piccolo link in fondo alla pagina. Non un “in quanto invii questo modulo accetti i nostri termini” senza nulla a riguardo. Un’informazione chiara, completa e facilmente accessibile su cosa faranno i tuoi dati.

Nel 2026, nel mercato dei fornitori “consegne” per ristoranti, questo obbligo è ancora molto disomogeneamente rispettato. Ecco come verificarlo e come interpretarlo.

Ciò che la legge richiede (articolo 13 GDPR)

L’articolo 13 del Regolamento Generale sulla Protezione dei Dati elenca 11 informazioni che un responsabile del trattamento (colui che raccoglie i dati) deve comunicare alla persona interessata nel momento della raccolta:

  1. Identità e coordinate del responsabile del trattamento
  2. Coordinate del DPO (Responsabile della Protezione dei Dati) se designato
  3. Finalità del trattamento (a cosa serviranno i dati)
  4. Base legale del trattamento (consenso, contratto, legittimo interesse…)
  5. Destinatari dei dati (sottocontratti, host, CRM, ecc.)
  6. Trasferimento OUS se necessario, con le garanzie previste
  7. Durata di conservazione dei dati
  8. Diritti della persona (accesso, rettifica, cancellazione, opposizione, portabilità)
  9. Diritto di revocare il consenso in qualsiasi momento
  10. Diritto di reclamo presso la CNIL
  11. Conseguenze se la persona rifiuta di fornire i dati

Concretamente: un link “Politica sulla privacy” deve essere presente direttamente sopra il pulsante di invio del modulo, o integrato nel modulo stesso con una casella di controllo (per il consenso) se pertinente.

Le sanzioni

L’articolo 83 del GDPR prevede fino a 20 milioni di euro o il 4% del fatturato annuo mondiale (il più alto dei due) per la mancanza di informazione alla persona interessata.

In Francia, la CNIL applica queste sanzioni in modo graduale ma reale. Per le PMI, le multe più frequenti oscillano tra 3.000 € e 20.000 € con obblighi di conformità a fronte di una penale (ad esempio: 500 € al giorno di ritardo).

Soprattutto, il semplice segnalamento alla CNIL è gratuito, rapido e innesca una procedura formale di indagine. Qualsiasi ristoratore che abbia riscontrato una raccolta abusiva può farlo in 5 minuti su cnil.fr/fr/plaintes.

Come verificare su un sito di fornitore

  1. Trova il modulo di contatto (richiesta di demo, audit gratuito, contatto diretto…).
  2. Elenca i campi richiesti : nome, cognome, email, telefono, nome del ristorante, indirizzo, messaggio… Ognuno di essi è un dato personale.
  3. Guarda appena sopra il pulsante di invio : c’è un link “Politica sulla privacy” o simile? C’è una casella di controllo per il consenso?
  4. Se non c’è : è in violazione. Il ristoratore che invia questo modulo trasmette i suoi dati personali a un responsabile del trattamento che non rispetta il suo obbligo di informazione.

Verifica supplementare: cerca un link “Politica sulla privacy” nel footer o nel menu. Se non esiste da nessuna parte sul sito, è un mancato rispetto caratteristico.

Caso osservato nel 2026: gofoodup.com (marchio “FoodUp”)

Durante il nostro audit dell’ecosistema “consegne potenziate” a maggio 2026, il modulo di contatto di gofoodup.com è emblematico di una violazione GDPR caratterizzata (analisi completa in lo studio di caso dedicato). Concretamente, il modulo:

  • Raccoglie 6 campi di dati personali : nome, cognome, indirizzo email, telefono, nome del ristorante, messaggio libero
  • Non mostra nessuna politica sulla privacy (né sopra il modulo, né nel footer, né da nessun’altra parte sul sito – gli URL /privacy, /politique-confidentialite restituiscono HTTP 404)
  • Non identifica nessun responsabile del trattamento (nessun SIRET, nessuna ragione sociale, nessun indirizzo – quindi la persona i cui dati vengono raccolti non sa nemmeno CHI li elabora)
  • Non mostra nessuna informazione sui destinatari dei dati raccolti
  • Non mostra nessuna informazione sulla durata di conservazione
  • Non menziona nessun diritto delle persone (accesso, rettifica, cancellazione, opposizione, portabilità)
  • Non identifica nessun DPO (anche se il volume di raccolta e la sensibilità – telefono professionale + nome commerciale del ristorante = re-identificazione immediata)

Questo è ciò che si chiama una violazione flagrante del GDPR ai sensi dell’articolo 13. Il numero di campi (6) e la sensibilità (telefono professionale + nome commerciale del ristorante = re-identificazione immediata) non lasciano spazio a dubbi. La CNIL può essere citata in 5 minuti da cnil.fr/fr/plaintes da qualsiasi utente, senza aver bisogno di essere vittima – basta aver riscontrato la violazione.

Perché tu, ristoratore, sei personalmente interessato

Se trasmetti a un fornitore i tuoi dati + quelli del tuo stabilimento (e più tardi i dati dei clienti del tuo profilo Uber Eats), stai assumendo due rischi cumulativi :

  1. Rischio diretto : i tuoi dati sono nelle mani di un attore che non rispetta i suoi obblighi GDPR. Nessuna durata di conservazione = potenzialmente conservati indefinitamente. Nessun elenco di destinatari = potenzialmente venduti a terzi (data broker, altri fornitori. Nessun DPO = persona da contattare in caso di incidente.
  2. Rischio indiretto (il più grave) : nel momento in cui affidi a un fornitore i dati dei tuoi clienti (ordini, indirizzi, numeri di telefono di consegna), tu sei il responsabile del trattamento per questi dati. Il fornitore è il tuo sottocontrattista ai sensi dell’articolo 28 del GDPR. Ciò implica un contratto formale obbligatorio (DPA) che deve elencare 10 obblighi specifici del sottocontrattista. Senza una politica sulla privacy pubblica, è improbabile che il fornitore ti fornisca un DPA conforme. In caso di controllo CNIL presso la tua attività, sarai tu il responsabile del trattamento a essere sanzionato per aver affidato i dati dei tuoi clienti a un sottocontrattista non conforme.

Pertanto, il tuo interesse diretto, legalmente, finanziariamente e operativamente, è quello di non firmare con un fornitore che non rispetta le basi del GDPR.

Cosa fare se identifichi un caso

  1. Non inviare il modulo. Se vuoi contattarli, fallo tramite un canale alternativo (messaggio diretto su LinkedIn al fondatore, ad esempio), evitando di trasmettere loro dati personali finché non è disponibile una politica sulla privacy.
  2. Documenta : screenshot datato del modulo e del footer del sito, archivio su archive.org/web che orda e conserva la prova gratuitamente.
  3. Segnala alla CNIL: cnil.fr/fr/plaintes, procedura online, gratuita. Non hai bisogno di essere vittima – chiunque può segnalare una violazione riscontrata.
  4. Scegli un fornitore conforme : Fooderise mostra la sua politica sulla privacy dal footer di ogni pagina, fornisce un DPA standard con i suoi clienti e identifica il suo DPO. Questo è il minimo che hai diritto a richiedere per affidare i dati dei tuoi clienti alla consegna.

In sintesi

Un modulo di contatto che raccoglie 6 campi personali senza una politica sulla privacy non è un “dettaglio tecnico” – è una violazione flagrante del GDPR, che espone il fornitore a sanzioni CNIL e che ti espone a te stesso nel momento in cui gli affidi i dati dei clienti.

Rejoignez la communauté Fooderise

Recevez plus de conseils comme celui-ci directement sur WhatsApp. Gratuit, sans spam.

Rejoindre la chaîne

Une correction ou une suggestion ?

Vous êtes éditeur, restaurateur ou expert du secteur et vous repérez une information à corriger ou à compléter ? Aidez-nous à tenir cet article à jour.

Proposer une amélioration

Articles similaires

Conformità

Studio di caso fattuale: gofoodup.com — osservazioni al 13 maggio 2026

Marketing di sito con forte promessa commerciale rivolta al mercato francese della ristorazione a domicilio. Inventario completo degli elementi legali presenti e assenti, senza qualificarli, solo per documentare.

Conformità

Verificare la conformità legale di un fornitore 'gestione consegne' prima di firmare

8 criteri verificabili in 2 minuti prima di affidare la tua attività Uber Eats / Deliveroo a un terzo. La legge francese impone un minimo di trasparenza — ecco come controllarlo.

Conformità

Obblighi legali obbligatori di un fornitore SaaS B2B in Francia (LCEN 2004)

Quali sono i 9 elementi che un sito commerciale deve mostrare per essere legale in Francia, e perché la loro assenza è un segnale di allarme per ogni ristoratore che sta per firmare?

Conformità

Un fornitore 'offshore' che si rivolge ai ristoratori francesi: 6 punti da verificare

Un team con sede a Dubai che vende servizi ai ristoranti francesi, è legale. Ma in caso di controversia, sei tu a viaggiare. Ecco le 6 clausole contrattuali da richiedere prima di firmare.

Conformità

GDPR e dati clienti in consegna: cosa deve sapere un ristoratore nel 2026

Dati clienti, alloggiamento, trasferimento al di fuori dell'UE, subappaltatori: la guida al GDPR per i ristoratori che gestiscono consegne e ordinazioni dirette.

Conformità

Verificare un fornitore di ristorazione in 30 secondi tramite Pappers (metodo passo passo)

Qual è il fatturato? Quando è stata fondata? Chi sono i dirigenti? Quanti dipendenti? Tutte queste risposte sono pubbliche e gratuite in Francia. Ecco come ottenerle prima di firmare.

Unisciti alla comunità Fooderise su WhatsApp

Gratuito · Contenuti esclusivi · 0 spam · Annullabile in qualsiasi momento

Mi unisco al canale

Accesso immediato · WhatsApp