Ultimo aggiornamento: 10 luglio 2026.

GDPR e prenotazioni al ristorante: cosa fare con nomi, numeri e agenda (senza legalese)

Fine servizio, venerdì. Sull'agenda accanto alla cassa c'è la serata intera: Bianchi quattro, il cellulare, «niente glutine» segnato a margine, la freccia sul tavolo sette. Domattina quell'agenda sarà ancora lì, aperta, a portata di chiunque aspetti il conto.

Quell'agenda è un archivio di dati personali. Non serve il panico e non serve un master in diritto: servono poche abitudini sensate. Qui trovi cosa chiede in pratica il GDPR su prenotazioni, numeri di telefono e promemoria, e le domande giuste da portare al tuo consulente.

A fine servizio l'agenda delle prenotazioni resta aperta accanto alla cassa del ristorante, con nomi, numeri e note a portata di chiunque

Quali dati tratti quando prendi una prenotazione?

Più di quanti pensi: nome e cognome, numero di telefono, giorno e ora, quante persone, a volte l'email e le note. E le note sono il punto delicato. «Senza glutine», «allergia alle noci»: dicono qualcosa sulla salute delle persone, e il GDPR mette le informazioni sulla salute tra i dati più protetti in assoluto.

Vale anche sulla carta. Il GDPR non riguarda solo i gestionali: si applica anche a un'agenda o a uno schedario, quando i dati sono organizzati in modo da poterli ritrovare. E l'agenda delle prenotazioni è fatta apposta per ritrovare un nome in base alla data.

Agenda cartacea e fogli in cassa: da dove cominciare

Dall'occhio di chi non deve vederli. Nessuno ti chiede di buttare l'agenda: conta dove passa la giornata e chi la può leggere.

Le abitudini che costano zero e sistemano di più:

  • Tienila chiusa o girata quando non la stai usando. Chi paga in cassa non deve poter leggere nomi e numeri della serata.
  • I post-it e i fogli volanti col numero di telefono: copiali in agenda o nel sistema, poi distruggili. Il cestino della carta non è un archivio.
  • A fine anno l'agenda vecchia non va nel sacco della raccolta com'è: contiene centinaia di nomi e numeri. O la conservi chiusa in ufficio finché ha uno scopo, o la distruggi.
  • La foto dell'agenda nel gruppo WhatsApp dello staff è comoda, ma moltiplica le copie di quei dati sui telefoni personali. Meglio farne a meno: se al cliente serve il nome in sala, passa il minimo che serve per accoglierlo, il nome puntato e il tavolo (Bianchi B., t7), non l'elenco completo coi cellulari.

Nessuno di questi gesti richiede un consulente. Il consulente serve dopo, per le scelte di fondo.

Quanto conservare nomi e numeri dei clienti?

Il GDPR non fissa un numero di giorni. Il criterio che dà è un altro: i dati restano finché servono allo scopo per cui li hai raccolti, e la scelta deve essere spiegabile.

Per una prenotazione, lo scopo è gestirla: la conferma, l'eventuale no-show, una contestazione a ridosso della serata. Passata la data, quello scopo si esaurisce in fretta. «Li tengo per sempre, non si sa mai» non è una motivazione: è l'assenza di una motivazione.

Discorso diverso se vuoi ricontattare i clienti, per gli auguri a dicembre o per una serata degustazione. Quello è marketing: un altro scopo, con il suo consenso e le sue regole. Quanto tenere i dati in ciascun caso va deciso caso per caso, ed è esattamente la domanda da portare al consulente: arrivarci con la distinzione tra servizio e marketing già chiara ti fa arrivare preparato e usare il suo tempo per le decisioni, non per le basi.

Intanto il gesto concreto è uno: decidi quanto tieni le prenotazioni passate e quando le cancelli, mettilo per iscritto e fallo validare. Una regola scritta, che sai spiegare, chiude la questione.

I promemoria su WhatsApp sono a posto?

Il promemoria in sé è servizio, e come tale ci sta: il cliente ti ha chiesto un tavolo, confermarglielo e ricordarglielo fa parte di quello. Il punto delicato è lo strumento. Il WhatsApp personale del titolare mescola i clienti con la rubrica privata; uno strumento pensato per l'uso business tiene i dati del locale al loro posto.

Poi c'è il confine tra i due usi. Il terreno cambia quando lo stesso numero lo usi per la promozione del menù di San Valentino: lì sei nel marketing, e il fatto che il cliente ti abbia dato il numero per prenotare non vale come consenso a ricevere pubblicità. Tenere separati i due usi è l'abitudine che, da sola, ti evita più guai di tutte.

E vale anche al contrario: il promemoria deve restare un promemoria. Data, ora, coperti, la possibilità di disdire con un tocco. Il volantino allegato no.

Dove sta Darly in tutto questo

Darly sposta le prenotazioni da fogli e agende a un sistema che nasce con queste regole in testa. Le prenotazioni prese al telefono e su WhatsApp finiscono in una dashboard dove i dati degli ospiti si trovano e si correggono in un posto solo, invece che su fogli e copie sparse tra cassa e cucina. Sono trattati in EU, secondo le regole del GDPR. La conservazione dei dati è configurabile, con un default conservativo: se non imposti niente, il sistema non tiene nomi e numeri in giro per anni.

Poi ci sono le carte che il consulente ti chiederà per prime. Il DPA, il contratto che mette nero su bianco come trattiamo i dati per conto tuo, è già pronto; e gli accordi con i fornitori tecnici dietro al servizio (i sub-processor, nel gergo del tuo consulente) sono in ordine. E per il caso ristorante esiste una valutazione d'impatto (DPIA) già impostata sul funzionamento di Darly: la base da cui parte il tuo consulente, invece di scrivertela da zero.

Nessun fornitore, Darly compresa, rende il tuo ristorante conforme da solo. Cosa raccogli, per quali scopi, per quanto tempo: queste scelte restano tue, e la valutazione complessiva resta del tuo consulente. Quello che un buon sistema fa è rendere le scelte applicabili senza doverci pensare ogni sera.

Domande vere

Devo far firmare qualcosa a chi prenota al telefono?

Per gestire la prenotazione in sé, di regola no: nessun modulo da firmare per segnare un tavolo. Quello che serve è la trasparenza: il cliente deve poter sapere chi tratta i suoi dati e perché, per esempio con un'informativa disponibile sul sito del ristorante. I casi particolari, come le telefonate registrate, sono un discorso a parte.

Un cliente mi chiede di cancellare i suoi dati: cosa faccio?

Il diritto esiste e la richiesta va gestita in tempi stretti: la regola generale è rispondere entro un mese. In pratica: ti assicuri che a chiedere sia davvero lui, cancelli i suoi dati dal gestionale e anche dalla carta, agenda compresa, e gli confermi che è stato fatto. Fa eccezione quello che sei tenuto a conservare per legge, come i dati di fatturazione: quelli restano, e al cliente lo puoi spiegare. Se usi fornitori esterni per le prenotazioni, la cancellazione deve passare anche da loro; con Darly i dati degli ospiti stanno nella dashboard, quindi sai dove cercare. Sui casi dubbi, senti il consulente.

Le allergie scritte in agenda sono un problema?

Sono il dato più delicato che tratti, quindi vale la regola del minimo: scrivi la nota funzionale che serve alla cucina («no glutine»), non la storia clinica, e non lasciarla dove non serve. Il GDPR chiede una protezione più alta per le informazioni sulla salute, e la protezione più semplice è raccoglierne meno. Se le note sulla salute sono una parte stabile del tuo servizio, per esempio i menù per allergici su prenotazione, come gestirle a norma è una domanda precisa da portare al consulente.

Se uso un gestionale o un receptionist AI, la responsabilità passa a loro?

No. Il titolare resti tu: decidi tu perché e come si usano i dati dei tuoi clienti. Il fornitore li tratta per conto tuo, e questo rapporto va messo per iscritto con un contratto sul trattamento dei dati, il DPA. Chiedilo a ogni fornitore che tocca dati dei tuoi clienti; se non sa cos'è, è già una risposta.

Quanto posso tenere i numeri per mandare gli auguri o le promozioni?

Per il marketing serve un consenso suo, separato dalla prenotazione, e i dati si possono usare finché quel consenso è valido e non revocato, ma non per sempre: anche qui vale la regola dello scopo, e quanto tenerli resta una scelta da saper spiegare. La revoca deve essere facile quanto l'iscrizione: un «non inviarmi più messaggi» basta, e va rispettato subito.

Il registro dei trattamenti serve anche a un ristorante piccolo?

Dipende, ed è una domanda precisa da fare al consulente: il GDPR lo prevede con eccezioni da valutare caso per caso. Averlo è comunque una buona pratica anche quando non è obbligatorio, perché ti costringe a mappare una volta per tutte dove stanno i dati: agenda, gestionale, telefono, fogli in cucina.

Per approfondire

Come trattiamo i dati, per esteso: darly.so/trust. Cosa succede ai dati dei tuoi ospiti quando parlano con Darly: darly.so/guest-privacy.

E se vuoi sentire come Darly prende una prenotazione, e cosa dice al cliente mentre lo fa, la linea demo è 379 3697960.

Il piano Darly è uno solo e tutto incluso, per sede: un numero, un locale; per più sedi o un gruppo c'è l'Enterprise su richiesta. Costa 149€ al mese +IVA con fatturazione annuale, un impegno di 12 mesi, oppure 199€ mensile che disdici quando vuoi. La prova è di 14 giorni, senza carta e senza addebito automatico a fine prova.

Questa pagina spiega la pratica quotidiana in parole semplici e non è una consulenza legale. Le scelte sul tuo locale falle con il tuo consulente.

Ultimo aggiornamento: 10 luglio 2026.