Il consenso ai sensi del GDPR è, secondo l’art. 4, punto 11, del Regolamento (UE) 2016/679, «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato» con cui questi accetta, mediante dichiarazione o azione positiva inequivocabile, il trattamento dei propri dati personali. Perché sia valido devono ricorrere quattro condizioni cumulative: il consenso deve essere libero, specifico, informato e inequivocabile. L’art. 7 aggiunge quattro regole operative: il titolare del trattamento deve poter dimostrare che l’interessato ha prestato il consenso (onere della prova), la richiesta deve essere presentata in forma chiaramente distinguibile dalle altre pattuizioni, la revoca deve essere facile quanto la prestazione e il consenso non è libero se subordinato all’esecuzione di un contratto che non ne ha bisogno. Se anche uno solo di questi requisiti manca, il consenso è nullo e il trattamento che vi si fonda è illecito.
Attenzione a un equivoco diffuso: il consenso non è la base giuridica principale del GDPR, ma solo una delle sei previste dall’art. 6. Un titolare accorto lo usa soltanto quando nessun’altra base è disponibile, perché il consenso è la più fragile delle basi: può essere revocato in qualsiasi momento e obbliga a cessare il trattamento. Questa guida spiega quando il consenso serve davvero, come formularlo correttamente e quali sono gli errori che il Garante per la protezione dei dati personali sanziona con maggiore frequenza.
Le quattro condizioni di validità dell’art. 7
Il consenso è un istituto tecnico, non una formalità burocratica. Le quattro condizioni vanno lette insieme.
Libero. L’interessato deve avere una scelta reale, senza pregiudizio in caso di rifiuto. Il consenso non è libero quando esiste uno squilibrio di potere evidente (ad esempio nel rapporto di lavoro, dove il datore raramente può fondarsi sul consenso del dipendente), quando è imposto come condizione per accedere a un servizio che non lo richiede, o quando è raccolto in blocco per finalità distinte. Il Considerando 43 chiarisce che il consenso non costituisce un valido presupposto se le finalità del trattamento non possono essere disgiunte.
Specifico. Il consenso va richiesto e raccolto separatamente per ciascuna finalità. Non è ammesso un unico «accetto tutto» che copra insieme la newsletter, la profilazione e la cessione a terzi. Ogni finalità deve avere il proprio flag e la propria informativa. Questa granularità è ciò che rende il consenso un’espressione di volontà consapevole e non un rito.
Informato. Prima di prestare il consenso, l’interessato deve conoscere almeno l’identità del titolare, le finalità del trattamento, i dati raccolti, il diritto di revoca e l’eventuale uso per decisioni automatizzate. Questi elementi confluiscono nell’informativa privacy, che deve precedere e non seguire la raccolta del consenso.
Inequivocabile. Serve un atto positivo che manifesti la volontà: un flag spuntato attivamente, la firma di un modulo, la selezione di un’opzione. Il silenzio, l’inattività e le caselle pre-selezionate non producono un consenso valido. La Corte di giustizia dell’Unione europea lo ha stabilito in modo definitivo nella sentenza Planet49 (causa C-673/17) del 1° ottobre 2019: una casella già spuntata che l’utente deve deselezionare non equivale a una manifestazione attiva di volontà.
Esempi di consenso valido e non valido
La teoria si comprende meglio con esempi concreti. La tabella confronta formule ricorrenti nella pratica.
| Situazione | Formula NON valida | Formula valida |
|---|---|---|
| Newsletter | Casella «Iscriviti» già spuntata al caricamento della pagina | Casella vuota che l’utente spunta attivamente, con finalità esplicita |
| Marketing di terzi | «Accetto il trattamento per finalità commerciali» in blocco | Flag separato: «Acconsento alla comunicazione dei miei dati a partner selezionati per offerte commerciali» |
| Cookie di profilazione | Banner con solo «OK» e navigazione che vale consenso | Banner con scelta reale «Accetta / Rifiuta / Personalizza», nessun cookie non tecnico prima del consenso |
| Iscrizione a un servizio | Consenso al marketing come condizione obbligatoria per registrarsi | Registrazione possibile senza acconsentire al marketing (consenso disaccoppiato) |
| Dati particolari (art. 9) | Consenso generico raccolto insieme agli altri | Consenso esplicito e separato per i dati sensibili, con finalità dedicata |
| Minori online | Nessuna verifica dell’età, consenso raccolto come per gli adulti | Verifica dell’età e, sotto i 14 anni, raccolta del consenso del titolare della responsabilità genitoriale |
Il filo conduttore è sempre lo stesso: dove manca la scelta effettiva o la separazione delle finalità, il consenso cade. Un consenso «valido» non è quello scritto meglio, ma quello che l’interessato avrebbe potuto rifiutare senza conseguenze.
Consenso per cookie e marketing
Cookie e marketing diretto sono i due terreni su cui il consenso viene messo alla prova più spesso. Per i cookie di profilazione e i tracker non tecnici il Garante, con le Linee guida sull’uso dei cookie dell’11 giugno 2021, ha ribadito che lo scroll semplice non vale come consenso, che è vietato il pre-caricamento di cookie non tecnici e che l’opzione di rifiuto deve essere immediata quanto quella di accettazione. Un banner che offre solo «Accetta» o che rende la rinuncia più faticosa è irregolare.
Per il marketing diretto via e-mail o SMS si applica il principio dell’opt-in preventivo: nessun invio senza consenso specifico. Esiste una sola eccezione, il cosiddetto soft spam dell’art. 130, comma 4, del Codice Privacy, che consente di promuovere prodotti analoghi a clienti già acquisiti, purché sia sempre offerta la possibilità di opporsi. Le sanzioni più pesanti del Garante nascono proprio da qui: la sanzione a Enel Energia da 79.107.101 euro (provvedimento dell’11 gennaio 2024) e quella a TIM da 27.802.946 euro (provvedimento del 15 gennaio 2020) hanno colpito, tra l’altro, il telemarketing senza consenso valido e la gestione opaca delle liste di contatto.
Il consenso dei minori: in Italia l’età è 14 anni
Per i servizi della società dell’informazione offerti direttamente ai minori, l’art. 8 del GDPR fissa la soglia generale a 16 anni, ma consente agli Stati membri di abbassarla fino a 13. L’Italia ha scelto una soglia intermedia: l’art. 2-quinquies del Codice Privacy stabilisce che il minore che ha compiuto 14 anni può esprimere validamente il consenso; al di sotto di questa età il consenso deve essere prestato o autorizzato da chi esercita la responsabilità genitoriale. Il titolare deve compiere sforzi ragionevoli per verificare che il consenso sia stato prestato o autorizzato in modo autentico, tenendo conto delle tecnologie disponibili. La mancata verifica dell’età è una carenza che il Garante ha contestato in più procedimenti recenti, anche a piattaforme di intelligenza artificiale conversazionale.
Revoca e onere della prova
Due regole dell’art. 7 spostano l’equilibrio a favore dell’interessato. La prima è la revocabilità: il consenso può essere ritirato in qualsiasi momento e la revoca deve essere facile quanto la prestazione. Se l’utente ha acconsentito con un clic, deve poter revocare con un clic, non con una raccomandata. La revoca non pregiudica la liceità del trattamento anteriore, ma impone di cessare quello futuro.
La seconda è l’onere della prova: è il titolare del trattamento a dover dimostrare che l’interessato ha prestato un consenso valido. In pratica significa conservare la prova del consenso (data, ora, testo dell’informativa vigente in quel momento, finalità accettate) in modo da poterla esibire in caso di reclamo o ispezione. Questa tracciabilità è uno dei motivi per cui la gestione del consenso confluisce nell’accountability documentale: un consenso che non si può provare, per il Garante, è come se non esistesse. Una piattaforma come Legiscope aiuta a mappare le basi giuridiche di ogni trattamento nel registro delle attività di trattamento e a distinguere i trattamenti fondati sul consenso da quelli sorretti da altre basi, riducendo il rischio di raccolte inutili o invalide.
La corretta gestione del consenso si integra inoltre con altri diritti dell’interessato: chi ha acconsentito può esercitare il diritto di accesso per sapere quali trattamenti sono in corso e, quando il trattamento si fonda sul consenso ed è automatizzato, può chiedere la portabilità dei dati; revocato il consenso, può inoltre chiedere la cancellazione esercitando il diritto all’oblio. Per la raccolta è utile partire da un modulo di consenso fac-simile da adattare alle proprie finalità. Progettare i moduli di raccolta secondo la logica della privacy by design, con impostazioni predefinite non invasive, è il modo più solido per garantire che il consenso resti valido nel tempo.
Domande frequenti
Il consenso è sempre necessario per trattare dati personali?
No, ed è l’errore più comune. Il consenso è solo una delle sei basi giuridiche dell’art. 6 del GDPR. Molti trattamenti si fondano sull’esecuzione di un contratto, su un obbligo legale o sul legittimo interesse del titolare, e in questi casi chiedere il consenso è non solo inutile ma dannoso, perché espone il trattamento alla revoca. Il consenso va riservato ai casi in cui nessun’altra base è disponibile, tipicamente il marketing e la profilazione non necessari al servizio.
Le caselle pre-selezionate valgono come consenso?
No. La Corte di giustizia dell’Unione europea, nella sentenza Planet49 del 2019, ha chiarito che una casella già spuntata che l’utente deve deselezionare non è un atto positivo inequivocabile e quindi non produce un consenso valido. Serve sempre un’azione attiva dell’interessato. La stessa logica vale per lo scroll della pagina o per la semplice prosecuzione della navigazione: non manifestano una volontà consapevole.
Come si dimostra di aver raccolto un consenso valido?
Conservando la prova del consenso: quando è stato prestato, per quali finalità, con quale testo di informativa in vigore in quel momento. L’onere della prova grava sul titolare del trattamento ai sensi dell’art. 7, paragrafo 1. In pratica occorre registrare l’evento di consenso e archiviarne le versioni, così da poterlo esibire in caso di reclamo al Garante o di ispezione. Un consenso non documentabile equivale, sul piano probatorio, a un consenso mancante.
Conclusione
Il consenso GDPR non è una firma da raccogliere per liberarsi di un obbligo, ma una manifestazione di volontà libera, specifica, informata e inequivocabile che il titolare del trattamento deve saper provare. Le quattro condizioni dell’art. 4, punto 11, e le quattro regole dell’art. 7 disegnano un istituto rigoroso: niente caselle pre-selezionate, niente consenso in blocco, niente subordinazione del servizio, revoca facile e prova conservata. In Italia la soglia per il consenso dei minori è fissata a 14 anni dall’art. 2-quinquies del Codice Privacy. La regola pratica da portare a casa è duplice: usare il consenso solo quando nessun’altra base giuridica è disponibile e, quando lo si usa, formularlo in modo che l’interessato avrebbe potuto rifiutarlo senza alcuna conseguenza. Su questo terreno si gioca la differenza tra un trattamento lecito e una sanzione.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial