Un modulo di consenso privacy valido, ai sensi dell’art. 7 del Regolamento (UE) 2016/679 (GDPR), deve raccogliere una manifestazione di volontà libera, specifica, informata e inequivocabile, distinta per ciascuna finalità e revocabile in ogni momento. Non è un blocco di testo da far spuntare in fondo a un form: è una serie di caselle separate, non pre-spuntate, ognuna riferita a un singolo scopo. Qui sotto trovi il fac-simile pronto da copiare — per marketing, newsletter, foto/video e dati particolari — e i tre errori che rendono nullo il consenso e che il Garante sanziona con regolarità.
Punti chiave
- L’art. 4, n. 11 e l’art. 7 GDPR definiscono i requisiti: consenso libero, specifico, informato, inequivocabile e documentabile.
- Il consenso va richiesto per singola finalità: una casella per il marketing, una per la profilazione, una per la comunicazione a terzi.
- Le caselle pre-spuntate sono vietate: la Corte di Giustizia UE lo ha stabilito nella sentenza Planet49 (C-673/17, 2019).
- La revoca deve essere facile come il rilascio (art. 7, par. 3).
- Il consenso viziato costa caro: il Garante ha sanzionato Enel Energia per 26,5 milioni di euro nel 2021, tra l’altro per consensi al marketing non validi lungo la filiera.
Quando serve davvero il consenso
Prima di far firmare qualcosa, la domanda giusta è: mi serve il consenso? Non sempre. Il consenso è una delle sei basi giuridiche dell’art. 6 GDPR, non la base predefinita. Per eseguire un contratto, adempiere un obbligo di legge o perseguire un legittimo interesse non serve il consenso; anzi, chiederlo dove non serve è un errore, perché lascia intendere all’interessato una libertà di scelta che in realtà non c’è.
Il consenso è la base corretta soprattutto per: marketing diretto verso soggetti con cui non hai un rapporto contrattuale, newsletter promozionali, profilazione, comunicazione dei dati a terzi per loro finalità, uso di foto/video e trattamento di dati particolari (art. 9) quando non ricorre un’altra condizione. Per orientarti tra le basi, vedi la guida agli esempi di consenso GDPR.
Fac-simile del modulo di consenso
Di seguito il testo pronto da adattare. Ogni finalità ha la propria casella, con l’opzione «Acconsento / Non acconsento» esplicita. Non usare formule come «presa visione dell’informativa» come surrogato del consenso: la presa visione informa, non autorizza.
Informativa e consenso al trattamento dei dati personali
Il/La sottoscritto/a, letta l’informativa privacy resa ai sensi degli artt. 13-14 GDPR, esprime le seguenti scelte:
1. Invio di comunicazioni commerciali e newsletter (email, SMS, telefono) relative a prodotti e servizi del Titolare. ☐ Acconsento ☐ Non acconsento
2. Attività di profilazione (analisi delle preferenze e dei comportamenti per proposte personalizzate). ☐ Acconsento ☐ Non acconsento
3. Comunicazione dei dati a soggetti terzi (partner commerciali) per loro autonome finalità di marketing. ☐ Acconsento ☐ Non acconsento
Luogo e data _______ Firma _______
Le tre finalità sono nettamente separate: chi vuole ricevere la newsletter ma non essere profilato deve poterlo fare. Il consenso «a pacchetto» — una sola casella per tutto — è nullo perché non è specifico.
Modulo per foto e video
Consenso all’uso di immagini e riprese
Autorizzo il Titolare a utilizzare fotografie e/o video che mi ritraggono, realizzati in occasione di [evento], per le seguenti finalità: ☐ Pubblicazione sul sito web istituzionale ☐ Pubblicazione su social network del Titolare ☐ Materiali promozionali cartacei
Il consenso è revocabile in ogni momento; la revoca non pregiudica la liceità dell’uso precedente.
Per i minori il consenso è prestato dagli esercenti la responsabilità genitoriale. Nel contesto dei servizi della società dell’informazione la soglia in Italia è fissata a 14 anni dall’art. 2-quinquies del Codice Privacy (D.lgs. 196/2003, come modificato dal D.lgs. 101/2018): sotto tale età serve la manifestazione di volontà del genitore, e il titolare deve compiere sforzi ragionevoli per verificarne l’autenticità. La liberatoria d’immagine non copre usi diversi da quelli espressamente indicati: se in futuro vuoi riutilizzare la foto per una campagna promozionale, serve una nuova manifestazione di consenso.
Modulo per dati particolari (art. 9)
Per dati sanitari, biometrici, che rivelano opinioni politiche, convinzioni religiose o orientamento sessuale, il consenso deve essere esplicito e la finalità puntualissima:
Acconsento al trattamento dei miei dati relativi alla salute per la finalità di [es. gestione dell’iscrizione all’attività sportiva e verifica dell’idoneità]. ☐ Sì ☐ No
I tre errori che annullano il consenso
1. Caselle pre-spuntate. Un consenso «già acceso» non è una manifestazione attiva di volontà. La Corte di Giustizia lo ha chiarito nella causa Planet49: il silenzio o l’inerzia non valgono come consenso. Vale anche per i cookie.
2. Consenso «impacchettato» (bundling). Subordinare la fornitura di un servizio al consenso per finalità non necessarie viola l’art. 7, par. 4. Se il cliente deve acconsentire al marketing per acquistare un prodotto, quel consenso non è libero.
3. Nessuna prova del consenso. L’art. 7, par. 1 impone di dimostrare che l’interessato ha acconsentito. Un flag in un database senza traccia della data, del testo mostrato e delle modalità di raccolta non regge in un’ispezione. Conserva la versione dell’informativa e del modulo vigente al momento del rilascio, collegandola al registro dei trattamenti.
Revoca e diritti collegati
La revoca deve essere facile quanto il rilascio (art. 7, par. 3): un link «annulla iscrizione» nella newsletter, un modulo dedicato, un indirizzo email di riferimento. Alla revoca deve seguire l’immediata cessazione del trattamento fondato su quel consenso. Ricorda che il consenso è solo il presupposto: l’interessato conserva comunque il diritto di accesso ai propri dati e gli altri diritti degli artt. 15-22.
Perché il testo, da solo, non basta
Un modulo perfetto sulla carta serve a poco se il consenso non viene poi tracciato, versionato e collegato all’interessato per tutta la sua durata. È qui che le organizzazioni sbagliano: raccolgono bene e archiviano male. Strumenti come Legiscope associano ogni consenso alla versione dell’informativa mostrata, registrano data e canale e gestiscono la revoca, così che la prova dell’art. 7, par. 1 sia sempre ricostruibile.
Per il quadro normativo, consulta il testo dell’art. 7 GDPR su EUR-Lex e le linee guida dell’EDPB sul consenso. I provvedimenti sanzionatori sui consensi al marketing sono raccolti sul sito del Garante per la protezione dei dati personali.
Domande frequenti
Il consenso deve essere sempre scritto?
No. Il GDPR non impone la forma scritta, ma impone al titolare di poter dimostrare che il consenso è stato prestato (art. 7, par. 1). Un consenso digitale (spunta attiva con log di data, ora e testo mostrato) è pienamente valido ed è spesso più solido di una firma cartacea, perché tracciabile.
Posso usare una sola casella per newsletter e profilazione?
No. Sono finalità distinte e il consenso deve essere specifico per ciascuna. Un’unica casella per più scopi rende il consenso non valido perché l’interessato non può scegliere selettivamente. Serve una casella separata per ogni finalità autonoma.
Il consenso raccolto prima del 2018 è ancora valido?
Solo se già conforme ai requisiti del GDPR: libero, specifico, informato, inequivocabile e documentabile. I consensi raccolti con caselle pre-spuntate o formule generiche non «si adeguano» automaticamente e vanno raccolti di nuovo. In caso di dubbio, meglio ripetere la raccolta con un modulo conforme.
Cosa cambia per i dati particolari?
Per i dati dell’art. 9 GDPR (salute, biometrici, opinioni, ecc.) il consenso deve essere esplicito: non basta una condotta concludente, serve una dichiarazione chiara riferita a quella specifica categoria di dati e a quella specifica finalità. È il livello di consenso più rigoroso previsto dal Regolamento.
Vedi anche: il GDPR per l’e-commerce, dove il consenso al marketing e ai cookie va gestito con particolare cura.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial