Consenso al Trattamento dei Dati Personali (GDPR)

Il Consenso al Trattamento dei Dati Personali (GDPR) in Italia è l'atto disciplinato da artt. 6-7 Reg. UE 2016/679 (GDPR); art. 13 GDPR; D.Lgs. 196/2003.

L'art. 4, n. 11, del GDPR definisce il consenso come «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento». Il Considerando 32 del GDPR specifica che il consenso non può consistere in caselle pre-spuntate, in silenzio-assenso o in inerzia: l'azione positiva dell'interessato è requisito essenziale. Il consenso ottenuto tramite casella pre-selezionata è nullo per il GDPR e il Garante per la Protezione dei Dati Personali italiano (www.garanteprivacy.it) ha sanzionato numerose aziende per questa pratica.

Il consenso è soltanto una delle sei basi giuridiche che rendono lecito il trattamento dei dati personali ai sensi dell'art. 6, par. 1, GDPR: le altre cinque sono l'esecuzione di un contratto con l'interessato (lett. b), l'adempimento di un obbligo legale (lett. c), la salvaguardia degli interessi vitali (lett. d), l'esecuzione di compiti di interesse pubblico (lett. e) e il perseguimento del legittimo interesse del Titolare o di terzi (lett. f). Il Comitato Europeo per la Protezione dei Dati (EDPB — European Data Protection Board), nelle Linee guida 05/2020 sul consenso, raccomanda di non utilizzare il consenso come base giuridica di default, ma di valutare prima se il trattamento possa basarsi su un'altra base giuridica: il consenso comporta l'obbligo di gestirne la revoca, di non condizionare il servizio alla sua prestazione e di conservare prove della sua acquisizione (onere di accountability ex art. 5, par. 2, GDPR).

L'autorità di controllo competente per l'Italia è il Garante per la Protezione dei Dati Personali, istituito dal D.Lgs. 196/2003 e confermato dall'art. 51 GDPR: ha potere di ispezione, di ordinanza e di irrogazione di sanzioni amministrative pecuniarie fino a 20.000.000 di euro o al 4% del fatturato mondiale annuo dell'impresa (art. 83, par. 5, GDPR). Il modello predisposto su forms-legal.com è conforme alle Linee guida EDPB 05/2020 sul consenso e alle prescrizioni del Garante italiano in materia di modulistica, con checkbox separati per ogni finalità e sezione dedicata alla revoca del consenso.

Il Consenso al Trattamento dei Dati Personali (GDPR) in Italia è necessario ogni volta che un Titolare del trattamento intende raccogliere e trattare dati personali per finalità per cui nessuna delle altre basi giuridiche dell'art. 6 GDPR è applicabile. Le situazioni tipiche sono le seguenti.

Marketing diretto e invio di newsletter commerciali. L'art. 130 del D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018, richiede il consenso preventivo e specifico per l'invio di comunicazioni commerciali tramite sistemi automatizzati (e-mail, SMS, messaggistica istantanea, notifiche push) a persone fisiche. Il consenso al marketing deve essere separato dal consenso ad altre finalità (es. profilazione, comunicazione a terzi) e può essere revocato con un clic tramite il link unsubscribe. Il trattamento correlato (it-consenso-newsletter-marketing) richiede un modulo ad hoc.

Profilazione avanzata e personalizzazione commerciale. L'analisi sistematica del comportamento dell'utente (visite al sito, acquisti, preferenze, clic su annunci) per costruire profili individuali e personalizzare offerte, contenuti o annunci pubblicitari costituisce profilazione ai sensi del GDPR e richiede il consenso specifico, distinto da quello per il marketing generico.

Comunicazione di dati personali a soggetti terzi per finalità proprie di questi ultimi. La cessione o comunicazione dei dati a partner commerciali, affiliati o terzi per finalità di marketing proprie dei terzi richiede un consenso separato e specifico: il Garante ha sanzionato più volte aziende che raccoglievano un unico consenso per «comunicare i dati a partner selezionati», senza identificare i terzi destinatari (principio di specificità).

Trattamento di categorie particolari di dati (art. 9 GDPR). I dati sanitari, biometrici, genetici, relativi all'origine etnica o razziale, alle convinzioni religiose o politiche, all'appartenenza sindacale o all'orientamento sessuale sono «categorie particolari» soggette a protezione rafforzata. Quando il trattamento non rientra in una delle eccezioni dell'art. 9, par. 2 (es. necessità medica, tutela di interessi vitali), il consenso deve essere esplicito — non è sufficiente il consenso implicito o per azione positiva generica. Il modello it-consenso-informato-trattamento-sanitario su forms-legal.com è specificamente strutturato per queste fattispecie.

Servizi della società dell'informazione offerti a minori. Quando i servizi online sono diretti a soggetti under 14 anni, l'art. 2-quinquies del D.Lgs. 196/2003 (come mod. D.Lgs. 101/2018) richiede il consenso del titolare della responsabilità genitoriale. Il modello it-consenso-trattamento-dati-minore è progettato per questa specifica ipotesi. Per i minori di età tra 14 e 18 anni, il consenso può essere prestato autonomamente.

Trattamento per finalità di ricerca scientifica, statistica o storica. Anche quando il trattamento di dati personali è finalizzato alla ricerca scientifica, statistica o storica, il consenso può essere la base giuridica più appropriata se il trattamento non è necessario per finalità di pubblico interesse ex art. 6, par. 1, lett. e) GDPR e se non si applica un'altra deroga del GDPR.

Il Consenso al Trattamento dei Dati Personali (GDPR) in Italia deve contenere elementi essenziali prescritti dagli artt. 7 e 13 GDPR, dalle Linee guida EDPB 05/2020 e dalle prescrizioni del Garante per la Protezione dei Dati Personali. Il modello disponibile su forms-legal.com include tutte le sezioni obbligatorie conformi al quadro normativo vigente nel 2025.

Primo elemento: identità e recapiti del Titolare del trattamento. Denominazione completa, sede legale, codice fiscale o partita IVA, indirizzo e-mail o PEC per l'esercizio dei diritti degli interessati, e — ove nominato ex art. 37 GDPR — i recapiti del Responsabile della Protezione dei Dati (DPO: Data Protection Officer). La nomina del DPO è obbligatoria per gli enti pubblici, per chi tratta dati particolari su larga scala e per chi effettua monitoraggio sistematico su larga scala.

Secondo elemento: identità dell'interessato. Nome e cognome, indirizzo e-mail e/o codice fiscale per collegare univocamente il consenso alla persona fisica che lo ha prestato. In assenza di identificazione dell'interessato, la prova del consenso è inutilizzabile (non è possibile dimostrare che quella specifica persona ha prestato quel consenso per quella finalità).

Terzo elemento: finalità specifiche e separate del trattamento. Ogni finalità di trattamento deve essere descritta in modo chiaro, determinato e circoscritto, e deve avere un proprio checkbox separato, non pre-spuntato. Le finalità tipiche che richiedono consenso separato: invio di newsletter e comunicazioni commerciali; profilazione e personalizzazione dell'esperienza utente; comunicazione dei dati a terzi per finalità proprie di questi ultimi; utilizzo di cookie di profilazione e analytics avanzati; trattamento di categorie particolari di dati ex art. 9 GDPR.

Quarto elemento: tipologia di dati personali trattati per ciascuna finalità. Elenco delle categorie di dati: dati anagrafici (nome, cognome, data di nascita, sesso); dati di contatto (indirizzo e-mail, numero di telefono, indirizzo postale); dati di navigazione e comportamentali (cookie, indirizzi IP, preferenze, storico acquisti); categorie particolari ex art. 9 GDPR se applicabili (specificare quali).

Quinto elemento: periodo di conservazione dei dati per ciascuna finalità. Indicare la durata massima del trattamento o i criteri per determinarla (es. «i dati saranno conservati per 24 mesi dall'ultima interazione dell'utente, poi cancellati o anonimizzati»). In alternativa, indicare l'evento che determina la cessazione del trattamento (es. revoca del consenso, cessazione del rapporto contrattuale).

Sesto elemento: destinatari e categorie di destinatari dei dati. Indicare le categorie di soggetti a cui i dati saranno comunicati: responsabili del trattamento ex art. 28 GDPR (es. fornitori di piattaforme CRM, e-mail marketing, cloud computing); altri Titolari autonomi del trattamento (es. partner commerciali); eventuali autorità pubbliche (es. Agenzia delle Entrate per adempimenti fiscali). Per i destinatari in Paesi extra-UE: le garanzie adottate ex artt. 44-49 GDPR (clausole contrattuali tipo della Commissione UE, decisioni di adeguatezza, norme vincolanti d'impresa).

Settimo elemento: diritto di revoca e modalità. Il modulo deve contenere la dichiarazione esplicita del diritto di revocare il consenso in qualsiasi momento, senza pregiudizio per la liceità del trattamento fondato sul consenso prima della revoca (art. 7, par. 3, GDPR), e le modalità concrete di revoca: link unsubscribe nell'e-mail, indirizzo e-mail dedicato, area riservata del sito, richiesta scritta.

Ottavo elemento: diritti dell'interessato e autorità di controllo. Riepilogo dei diritti ex artt. 15-21 GDPR (accesso, rettifica, cancellazione, limitazione del trattamento, portabilità, opposizione) con le modalità per esercitarli; indicazione che l'interessato può proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) o ricorrere all'autorità giudiziaria.

Nono elemento: firma dell'interessato e data. Il consenso cartaceo deve essere firmato dall'interessato con data di prestazione del consenso. Il consenso digitale deve essere tracciato con data, ora, indirizzo IP, versione dell'informativa visualizzata e azione positiva effettuata (click su checkbox, tasto «Accetto»).

La compilazione del Consenso al Trattamento dei Dati Personali (GDPR) in Italia deve seguire una procedura strutturata per garantire la validità giuridica del documento e la conformità agli obblighi di accountability ex art. 5, par. 2, GDPR.

Passo 1 — Predisporre l'informativa ex art. 13 GDPR. Prima di raccogliere il consenso, il Titolare è obbligato a fornire all'interessato tutte le informazioni elencate dall'art. 13 GDPR: identità del Titolare e del DPO (se nominato), finalità e basi giuridiche del trattamento, destinatari dei dati, periodo di conservazione, diritti dell'interessato, esistenza di trasferimenti internazionali, diritto di proporre reclamo al Garante. L'informativa deve essere fornita prima della raccolta del consenso, in modo conciso, trasparente e facilmente comprensibile.

Passo 2 — Identificare le finalità che richiedono il consenso come base giuridica. Per ciascuna attività di trattamento prevista, valutare se esiste una base giuridica alternativa al consenso (esecuzione di un contratto, obbligo legale, legittimo interesse). Solo per le finalità per cui nessuna altra base è applicabile, richiedere il consenso: questo è il principio di minimizzazione del consenso raccomandato dall'EDPB.

Passo 3 — Strutturare il modulo con checkbox separati e non pre-spuntati. Predisporre un checkbox autonomo per ciascuna finalità (es. checkbox 1: invio di newsletter commerciali; checkbox 2: profilazione e personalizzazione; checkbox 3: comunicazione dei dati a terzi partner). Ogni checkbox deve essere chiaramente abbinato alla descrizione della finalità corrispondente. I checkbox devono essere bianchi e vuoti al momento della presentazione all'interessato.

Passo 4 — Compilare i dati del Titolare del trattamento. Inserire la denominazione completa dell'organizzazione, la sede legale, il codice fiscale o la partita IVA, e i recapiti per l'esercizio dei diritti (e-mail dedicata o PEC). Se l'organizzazione ha nominato un DPO, inserire anche i suoi recapiti.

Passo 5 — Identificare l'interessato. Inserire il nome, il cognome e l'indirizzo e-mail dell'interessato (o altri dati identificativi). Per i consensi raccolti online, questi dati sono generalmente già disponibili nel form di registrazione o di acquisto.

Passo 6 — Indicare le modalità di revoca. Specificare con precisione come l'interessato può revocare il consenso: link unsubscribe nell'e-mail di marketing; indirizzo e-mail dedicato (es. [email protected]); area riservata del sito; richiesta scritta a mezzo raccomandata o PEC. La revoca deve essere possibile con la stessa facilità con cui il consenso è stato prestato.

Passo 7 — Firma dell'interessato e conservazione della prova. Per il consenso cartaceo: il documento deve essere firmato dall'interessato con l'indicazione della data. Per il consenso digitale: il sistema deve registrare data, ora, versione dell'informativa visualizzata, azione positiva effettuata. Conservare la prova per tutta la durata del trattamento e per almeno 5 anni dalla revoca o dalla cessazione del rapporto.

Passo 8 — Inserimento nel Registro delle attività di trattamento. Documentare il consenso come base giuridica nel Registro delle attività di trattamento ex art. 30 GDPR, con indicazione della finalità, della data di raccolta del consenso e delle modalità di conservazione della prova. In sede di ispezione del Garante, il Registro è il primo documento esaminato.

Il Consenso al Trattamento dei Dati Personali (GDPR) in Italia è soggetto a un sistema normativo integrato tra diritto UE e diritto nazionale.

Artt. 4 n. 11, 6 par. 1 lett. a) e 7 Reg. UE 2016/679: il consenso deve essere libero (non condizionato alla prestazione del servizio ex art. 7, par. 4), specifico (per ogni singola finalità), informato (preceduto dall'informativa art. 13 GDPR), inequivocabile (azione positiva, mai silenzio-assenso). Il Titolare ha l'onere di provare la validità del consenso (art. 7, par. 1, GDPR — principio di accountability).

Art. 13 GDPR (obbligo di informativa): il Titolare deve fornire all'interessato, al momento della raccolta dei dati, tutte le informazioni indicate dall'art. 13 GDPR. L'informativa deve essere fornita in forma concisa, trasparente e intelligibile, in modo facilmente accessibile, con un linguaggio semplice e chiaro. Per le informazioni fornite online, il Garante italiano ha approvato un formato a «livelli» (informativa breve + informativa estesa) per contemperare trasparenza e leggibilità.

D.Lgs. 196/2003 (Codice Privacy), art. 130: per il marketing diretto tramite sistemi automatizzati (e-mail, SMS, messaggi automatici su applicazioni di messaggistica), il consenso preventivo e specifico dell'interessato è obbligatorio. Per le comunicazioni a persone giuridiche, il regime è meno restrittivo (opt-out). Il Garante ha emesso numerosi provvedimenti sanzionatori per violazione dell'art. 130 D.Lgs. 196/2003.

Linee guida EDPB 05/2020 sul consenso: documento interpretativo vincolante per tutte le autorità di controllo UE, che precisa: validità del consenso nel contesto digitale (cookie, app, servizi online); divieto di cookie walls (accesso al sito condizionato al consenso alla profilazione); requisiti per il consenso granulare; gestione del consenso per i sistemi di audience measurement.

Art. 9 GDPR (categorie particolari di dati): per i dati sanitari, biometrici, genetici, di orientamento sessuale ecc., il consenso deve essere esplicito (dichiarazione scritta o azione positiva specifica) e non è sufficiente il consenso implicito derivante da azione generica.

Art. 83 GDPR (sanzioni amministrative): violazioni degli artt. 6 e 7 GDPR (base giuridica e requisiti del consenso) sono soggette a sanzioni fino a € 20.000.000 o al 4% del fatturato mondiale annuo dell'impresa, se maggiore. Il Garante italiano ha irrogato sanzioni significative: es. € 5.000.000 a TIM per trattamento illecito per finalità di marketing (2021); € 2.600.000 a Telepass per irregolarità nel consenso (2023).

Art. 82 GDPR (responsabilità civile): chiunque abbia subito un danno materiale o immateriale a causa di un trattamento fondato su consenso invalido ha diritto al risarcimento. Il Titolare è presunto responsabile salvo prova che l'evento non gli è in alcun modo imputabile.

Il Consenso al Trattamento dei Dati Personali (GDPR) in Italia è frequentemente invalido a causa di errori sistemici che espongono il Titolare del trattamento a sanzioni del Garante e a richieste di risarcimento degli interessati.

1. Caselle di spunta pre-selezionate (pre-spuntate). Il Considerando 32 del GDPR e le Linee guida EDPB 05/2020 vietano espressamente le caselle pre-spuntate come forma di consenso. Il Garante italiano ha sanzionato reiteratamente questa pratica. Ogni checkbox deve essere bianco e vuoto al momento della presentazione all'interessato: l'azione positiva di selezione è il requisito minimo del consenso.

2. Consenso come condizione per accedere al servizio (cookie wall). Subordinare la fruizione di un servizio (accesso al sito web, download di un documento, attivazione dell'account) alla prestazione del consenso al marketing o alla profilazione rende il consenso non libero ex art. 7, par. 4, GDPR. L'EDPB nelle Linee guida 05/2020 (par. 3.1) ha dichiarato invalido il «consenso preso in ostaggio» (cd. cookie wall): l'interessato deve poter accedere al servizio anche senza prestare il consenso, salvo che il trattamento sia strettamente necessario all'esecuzione del contratto (nel qual caso la base giuridica è l'art. 6, par. 1, lett. b, non il consenso).

3. Finalità troppo vaghe o generiche. Espressioni come «per scopi commerciali», «per migliorare i nostri servizi» o «per finalità di marketing» non soddisfano il requisito di specificità ex art. 4, n. 11, GDPR. Il Garante ha sanzionato più volte aziende per formulazioni generiche. Le finalità devono essere chiare, determinate e circoscritte: «invio di newsletter con offerte di prodotti della categoria X», «analisi del comportamento di navigazione sul sito per mostrare annunci personalizzati».

4. Assenza di documentazione del consenso (accountability). Il Titolare che non è in grado di dimostrare la validità del consenso prestato viola il principio di accountability ex art. 5, par. 2, GDPR. In sede di ispezione del Garante o di contenzioso civile, la prova del consenso è essenziale. La documentazione deve includere: testo dell'informativa vigente alla data del consenso, data e ora della prestazione del consenso, identità dell'interessato, finalità per cui il consenso è stato prestato.

5. Non cessare il trattamento dopo la revoca del consenso. Continuare a inviare comunicazioni di marketing dopo che l'interessato ha revocato il consenso (con click su link unsubscribe o richiesta scritta) è una violazione del GDPR sanzionabile immediatamente dal Garante. La cessazione del trattamento deve avvenire entro tempi ragionevoli dalla revoca: per i sistemi digitali, entro 48-72 ore; per i sistemi di direct mail cartacea, entro il ciclo di produzione successivo.

6. Informativa e consenso confusi in un unico blocco di testo non distinguibile. Presentare l'informativa ex art. 13 GDPR e il modulo di consenso come un unico blocco testuale — senza checkbox chiaramente separati e senza distinzione visiva tra le informazioni sul trattamento e le caselle di spunta per il consenso — non garantisce che l'interessato abbia compreso il contenuto del consenso che sta prestando. Il Garante richiede la separazione grafica tra informativa (da leggere) e modulo di consenso (da firmare/spuntare).

7. Unico checkbox per più finalità distinte. Raccogliere un unico consenso con un'unica casella di spunta per finalità diverse (es. «Acconsento al trattamento dei miei dati per finalità di marketing e per la comunicazione a terzi e per la profilazione») viola il requisito di granularità del consenso. Il Garante italiano ha sanzionato più operatori delle telecomunicazioni e del settore energetico per questa pratica. Ogni finalità deve avere il proprio checkbox autonomo.

8. Non aggiornare il modulo di consenso quando cambiano le finalità. Se il Titolare inizia a trattare i dati per nuove finalità non coperte dal consenso originario (es. avvia attività di profilazione avanzata non menzionata al momento della raccolta originaria dei dati), deve raccogliere un nuovo consenso specifico prima di avviare il nuovo trattamento. Continuare a trattare i dati per le nuove finalità senza nuovo consenso è un trattamento illecito.

9. Non distinguere il consenso al trattamento dei dati dalla clausola di accettazione dei termini e condizioni contrattuali. Molte aziende includono il consenso al trattamento dei dati in un'unica casella di spunta insieme all'accettazione dei termini e condizioni del servizio. Questa prassi è invalida: il consenso al trattamento dei dati deve essere separato e distinto dall'accettazione delle condizioni contrattuali, poiché hanno basi giuridiche diverse (art. 6, par. 1, lett. a vs. lett. b GDPR).