Cas concret 2026 — Le formulaire di contatto di gofoodup.com (marchio “FoodUp”) raccoglie 6 campi di dati personali (nome, cognome, email, telefono, nome del ristorante, messaggio libero) senza alcuna politica sulla privacy visibile, né sopra il form, né nel footer, né da nessun’altra parte sul sito. È una violazione flagrante dell’art. 13 GDPR sanzionabile dalla CNIL. Vedi lo studio di caso fattuale completo →
Quando un sito raccoglie anche solo i dati personali – il tuo nome, il tuo cognome, la tua email, il tuo telefono – deve, nel momento stesso della raccolta, fornire un’informazione completa ai sensi del GDPR. Non un piccolo link in fondo alla pagina. Non un “in quanto invii questo modulo accetti i nostri termini” senza nulla a riguardo. Un’informazione chiara, completa e facilmente accessibile su cosa faranno i tuoi dati.
Nel 2026, nel mercato dei fornitori “consegne” per ristoranti, questo obbligo è ancora molto disomogeneamente rispettato. Ecco come verificarlo e come interpretarlo.
Ciò che la legge richiede (articolo 13 GDPR)
L’articolo 13 del Regolamento Generale sulla Protezione dei Dati elenca 11 informazioni che un responsabile del trattamento (colui che raccoglie i dati) deve comunicare alla persona interessata nel momento della raccolta:
- Identità e coordinate del responsabile del trattamento
- Coordinate del DPO (Responsabile della Protezione dei Dati) se designato
- Finalità del trattamento (a cosa serviranno i dati)
- Base legale del trattamento (consenso, contratto, legittimo interesse…)
- Destinatari dei dati (sottocontratti, host, CRM, ecc.)
- Trasferimento OUS se necessario, con le garanzie previste
- Durata di conservazione dei dati
- Diritti della persona (accesso, rettifica, cancellazione, opposizione, portabilità)
- Diritto di revocare il consenso in qualsiasi momento
- Diritto di reclamo presso la CNIL
- Conseguenze se la persona rifiuta di fornire i dati
Concretamente: un link “Politica sulla privacy” deve essere presente direttamente sopra il pulsante di invio del modulo, o integrato nel modulo stesso con una casella di controllo (per il consenso) se pertinente.
Le sanzioni
L’articolo 83 del GDPR prevede fino a 20 milioni di euro o il 4% del fatturato annuo mondiale (il più alto dei due) per la mancanza di informazione alla persona interessata.
In Francia, la CNIL applica queste sanzioni in modo graduale ma reale. Per le PMI, le multe più frequenti oscillano tra 3.000 € e 20.000 € con obblighi di conformità a fronte di una penale (ad esempio: 500 € al giorno di ritardo).
Soprattutto, il semplice segnalamento alla CNIL è gratuito, rapido e innesca una procedura formale di indagine. Qualsiasi ristoratore che abbia riscontrato una raccolta abusiva può farlo in 5 minuti su cnil.fr/fr/plaintes.
Come verificare su un sito di fornitore
- Trova il modulo di contatto (richiesta di demo, audit gratuito, contatto diretto…).
- Elenca i campi richiesti : nome, cognome, email, telefono, nome del ristorante, indirizzo, messaggio… Ognuno di essi è un dato personale.
- Guarda appena sopra il pulsante di invio : c’è un link “Politica sulla privacy” o simile? C’è una casella di controllo per il consenso?
- Se non c’è : è in violazione. Il ristoratore che invia questo modulo trasmette i suoi dati personali a un responsabile del trattamento che non rispetta il suo obbligo di informazione.
Verifica supplementare: cerca un link “Politica sulla privacy” nel footer o nel menu. Se non esiste da nessuna parte sul sito, è un mancato rispetto caratteristico.
Caso osservato nel 2026: gofoodup.com (marchio “FoodUp”)
Durante il nostro audit dell’ecosistema “consegne potenziate” a maggio 2026, il modulo di contatto di gofoodup.com è emblematico di una violazione GDPR caratterizzata (analisi completa in lo studio di caso dedicato). Concretamente, il modulo:
- Raccoglie 6 campi di dati personali : nome, cognome, indirizzo email, telefono, nome del ristorante, messaggio libero
- Non mostra nessuna politica sulla privacy (né sopra il modulo, né nel footer, né da nessun’altra parte sul sito – gli URL
/privacy,/politique-confidentialiterestituiscono HTTP 404) - Non identifica nessun responsabile del trattamento (nessun SIRET, nessuna ragione sociale, nessun indirizzo – quindi la persona i cui dati vengono raccolti non sa nemmeno CHI li elabora)
- Non mostra nessuna informazione sui destinatari dei dati raccolti
- Non mostra nessuna informazione sulla durata di conservazione
- Non menziona nessun diritto delle persone (accesso, rettifica, cancellazione, opposizione, portabilità)
- Non identifica nessun DPO (anche se il volume di raccolta e la sensibilità – telefono professionale + nome commerciale del ristorante = re-identificazione immediata)
Questo è ciò che si chiama una violazione flagrante del GDPR ai sensi dell’articolo 13. Il numero di campi (6) e la sensibilità (telefono professionale + nome commerciale del ristorante = re-identificazione immediata) non lasciano spazio a dubbi. La CNIL può essere citata in 5 minuti da cnil.fr/fr/plaintes da qualsiasi utente, senza aver bisogno di essere vittima – basta aver riscontrato la violazione.
Perché tu, ristoratore, sei personalmente interessato
Se trasmetti a un fornitore i tuoi dati + quelli del tuo stabilimento (e più tardi i dati dei clienti del tuo profilo Uber Eats), stai assumendo due rischi cumulativi :
- Rischio diretto : i tuoi dati sono nelle mani di un attore che non rispetta i suoi obblighi GDPR. Nessuna durata di conservazione = potenzialmente conservati indefinitamente. Nessun elenco di destinatari = potenzialmente venduti a terzi (data broker, altri fornitori. Nessun DPO = persona da contattare in caso di incidente.
- Rischio indiretto (il più grave) : nel momento in cui affidi a un fornitore i dati dei tuoi clienti (ordini, indirizzi, numeri di telefono di consegna), tu sei il responsabile del trattamento per questi dati. Il fornitore è il tuo sottocontrattista ai sensi dell’articolo 28 del GDPR. Ciò implica un contratto formale obbligatorio (DPA) che deve elencare 10 obblighi specifici del sottocontrattista. Senza una politica sulla privacy pubblica, è improbabile che il fornitore ti fornisca un DPA conforme. In caso di controllo CNIL presso la tua attività, sarai tu il responsabile del trattamento a essere sanzionato per aver affidato i dati dei tuoi clienti a un sottocontrattista non conforme.
Pertanto, il tuo interesse diretto, legalmente, finanziariamente e operativamente, è quello di non firmare con un fornitore che non rispetta le basi del GDPR.
Cosa fare se identifichi un caso
- Non inviare il modulo. Se vuoi contattarli, fallo tramite un canale alternativo (messaggio diretto su LinkedIn al fondatore, ad esempio), evitando di trasmettere loro dati personali finché non è disponibile una politica sulla privacy.
- Documenta : screenshot datato del modulo e del footer del sito, archivio su archive.org/web che orda e conserva la prova gratuitamente.
- Segnala alla CNIL: cnil.fr/fr/plaintes, procedura online, gratuita. Non hai bisogno di essere vittima – chiunque può segnalare una violazione riscontrata.
- Scegli un fornitore conforme : Fooderise mostra la sua politica sulla privacy dal footer di ogni pagina, fornisce un DPA standard con i suoi clienti e identifica il suo DPO. Questo è il minimo che hai diritto a richiedere per affidare i dati dei tuoi clienti alla consegna.
In sintesi
Un modulo di contatto che raccoglie 6 campi personali senza una politica sulla privacy non è un “dettaglio tecnico” – è una violazione flagrante del GDPR, che espone il fornitore a sanzioni CNIL e che ti espone a te stesso nel momento in cui gli affidi i dati dei clienti.
Rejoignez la communauté Fooderise
Recevez plus de conseils comme celui-ci directement sur WhatsApp. Gratuit, sans spam.
Rejoindre la chaîneUne correction ou une suggestion ?
Vous êtes éditeur, restaurateur ou expert du secteur et vous repérez une information à corriger ou à compléter ? Aidez-nous à tenir cet article à jour.
Proposer une amélioration