Consenso GDPR: Requisiti di Validità, Raccolta e Revoca
Il consenso GDPR è valido solo se libero, specifico, informato e inequivocabile (Art. 7). Guida pratica ai requisiti, alle casistiche in cui non serve e alle modalità di revoca per aziende italiane.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato e Full-Stack Developer · Diritto IT & Privacy
Quando il consenso GDPR è valido?
Il consenso GDPR è valido solo se è libero, specifico, informato e inequivocabile (Art. 4.11 e Art. 7 Reg. UE 2016/679). Non è sufficiente una casella pre-spuntata, il silenzio o lo scrolling della pagina. Per i dati sensibili (categorie particolari ex Art. 9) il consenso deve essere esplicito. Il consenso può essere revocato in qualsiasi momento con la stessa facilità con cui è stato prestato, senza pregiudizio per il trattamento già effettuato prima della revoca.
Cos'è il consenso GDPR e quando è la base giuridica corretta?
Il consenso è una delle sei basi giuridiche che legittimano il trattamento di dati personali previste dall'Art. 6 del Regolamento (UE) 2016/679. Non è la base giuridica "universale" che molte aziende credono: il GDPR prevede basi alternative (contratto, obbligo legale, legittimo interesse) che spesso sono più appropriate e più solide del consenso, perché non sono revocabili dall'interessato.
Errore frequente: usare il consenso come base giuridica per tutte le attività di trattamento, incluse quelle necessarie all'esecuzione del contratto. Se il trattamento è indispensabile per adempiere al contratto, la base corretta è l'Art. 6.1.b GDPR (esecuzione del contratto), non il consenso. Condizionare il contratto al consenso per finalità non necessarie rende il consenso non libero e quindi invalido.
Fonte ufficiale: Regolamento (UE) 2016/679 - Articoli 4.11, 6, 7 e 9 - EUR-Lex | Linee Guida EDPB 05/2020 sul consenso - edpb.europa.eu
Quali sono i 4 requisiti che rendono un consenso valido ai sensi del GDPR?
Il consenso è valido solo se soddisfa simultaneamente tutti e quattro i requisiti dell'Art. 7 GDPR:
| Requisito | Definizione | Esempio di violazione |
|---|---|---|
| Libero | Non condizionato né economicamente né funzionalmente | Pre-spunta obbligatoria per accedere al servizio |
| Specifico | Riferito a una finalità determinata (non "vari scopi") | Consenso generico per "tutte le attività di marketing" |
| Informato | Preceduto da informativa completa e comprensibile | Consenso senza informativa o con informativa incomprensibile |
| Inequivocabile | Espresso con azione positiva esplicita | Silenzio, scrolling, inattività o casella pre-spuntata |
Per il trattamento di categorie particolari di dati (Art. 9 GDPR — dati sanitari, biometrici, genetici, politici, religiosi, sindacali, sessuali, relativi a condanne penali), il consenso deve essere anche esplicito: non basta un'azione implicita, è richiesta una dichiarazione o azione inequivocabilmente riferita alla specifica finalità.
In quali casi NON è necessario il consenso per trattare i dati personali?
Il consenso non è necessario quando esiste un'altra base giuridica applicabile ex Art. 6 GDPR:
- Esecuzione del contratto (Art. 6.1.b): trattamento necessario per adempiere a un contratto con l'interessato (es. gestire un ordine, fornire il servizio acquistato).
- Obbligo legale (Art. 6.1.c): trattamento imposto dalla legge (es. conservazione delle fatture, comunicazione a enti fiscali).
- Interesse vitale (Art. 6.1.d): necessità di tutelare la vita dell'interessato o di terzi (utilizzato raramente, in contesti di emergenza).
- Compito di interesse pubblico (Art. 6.1.e): trattamento effettuato da autorità pubbliche nell'esercizio dei propri compiti.
- Legittimo interesse (Art. 6.1.f): quando l'interesse del titolare o di terzi prevale sui diritti dell'interessato (bilanciamento richiesto — non applicabile alle autorità pubbliche).
La scelta della base giuridica deve essere effettuata prima di avviare il trattamento e documentata nel Registro dei Trattamenti (Art. 30 GDPR).
Come deve essere raccolto il consenso online in modo conforme?
Per i siti web, app e piattaforme digitali, il consenso valido richiede:
Cookie e tracciamento: Il Garante italiano, con le Linee Guida Cookie e altri strumenti di tracciamento del 10 giugno 2021, ha stabilito che:
- Il banner deve avere pari evidenza tra "Accetta" e "Rifiuta/Continua senza accettare"
- Non sono ammessi dark pattern (es. pulsante "Rifiuta" nascosto o di dimensioni ridotte)
- Non sono ammessi pre-spunta o "scroll come consenso"
- I cookie tecnici non richiedono consenso
Email marketing: Il consenso al marketing diretto deve essere:
- Separato e distinto dall'accettazione della privacy policy
- Non pre-spuntato
- Specifico per canale (email, SMS, telefono) ove utilizzati canali diversi
- Documentato con timestamp, IP e testo del consenso prestato
Moduli di registrazione: Ogni finalità (profilazione, cessione a terzi, newsletter) richiede una casella di consenso separata. Una sola casella per finalità multiple non è conforme.
Come si documenta il consenso e per quanto tempo deve essere conservata la prova?
L'Art. 7.1 GDPR impone al titolare di dimostrare che l'interessato ha prestato il consenso. La prova del consenso deve includere:
- Data e ora di raccolta
- Versione dell'informativa presentata al momento della raccolta
- Modalità di raccolta (form online, firma digitale, registrazione audio per telesales)
- Contenuto del consenso prestato (testo della casella o del form)
- Indirizzo IP (per il consenso digitale)
Non esiste un termine legale specifico per la conservazione della prova del consenso: la documentazione va mantenuta per tutto il periodo in cui il trattamento è in corso e per il tempo necessario a difendersi da eventuali contestazioni (di norma 5 anni dalla revoca o dall'ultimo contatto, in analogia con i termini prescrizionali civili).
Come funziona la revoca del consenso GDPR?
L'Art. 7.3 GDPR stabilisce che:
- L'interessato ha il diritto di revocare il consenso in qualsiasi momento
- La revoca non pregiudica la liceità del trattamento già effettuato prima della revoca
- Prima di prestare il consenso, l'interessato deve essere informato della possibilità di revocarlo
- La revoca deve essere possibile con la stessa facilità con cui è stata prestata — se il consenso è stato dato con un clic, la revoca deve essere possibile con un clic
In pratica: un link di cancellazione nelle email è sufficiente per revocare il consenso al marketing via email. Per i cookie, il meccanismo di revoca deve essere accessibile dall'interfaccia del sito (pannello preferenze cookie) in ogni momento, non solo al primo accesso.
Dopo la revoca, il titolare deve cessare il trattamento (o le specifiche operazioni basate sul consenso revocato) entro tempi ragionevoli, generalmente indicati in pochi giorni lavorativi per il marketing digitale.
Qual è la differenza tra consenso e legittimo interesse per il marketing?
| Aspetto | Consenso (Art. 6.1.a) | Legittimo interesse (Art. 6.1.f) |
|---|---|---|
| Marketing B2C | Richiesto per email marketing a privati (D.Lgs. 196/2003, Art. 130) | Non applicabile per direct marketing B2C non previo consenso |
| Marketing B2B | Consigliato ma non sempre necessario | Applicabile per comunicazioni a indirizzi email generici aziendali (es. info@...) |
| Profilazione | Necessario per profilazione avanzata | Ammissibile per analisi statistiche interne non identificative |
| Revocabilità | Revocabile — il trattamento deve cessare | Il trattamento può continuare, ma l'interessato può opporsi (diritto di opposizione, Art. 21) |
| Rischio per il titolare | Dipende dalla gestione del consenso | Richiede bilanciamento degli interessi documentato |
Il legittimo interesse non è una "scappatoia" dal consenso: richiede un'analisi di bilanciamento formale (LIA — Legitimate Interest Assessment) da documentare nel Registro dei Trattamenti.
Cosa rischia un'azienda che raccoglie il consenso in modo non valido?
Il Garante italiano ha applicato sanzioni significative per consenso non valido. Alcune fattispecie sanzionate:
- Consenso pre-spuntato o assente per marketing: fino a decine di milioni di euro per grandi operatori; migliaia-decine di migliaia per PMI
- Bundling del consenso (marketing obbligatorio per accedere al servizio): violazione del requisito di libertà
- Mancata prova del consenso in caso di contestazione: il titolare che non riesce a dimostrare il consenso non può legittimamente continuare il trattamento
- Cookie non conformi: il Garante italiano ha avviato nel 2023-2024 una serie di provvedimenti per cookie banner non conformi alle Linee Guida 2021
Ai sensi dell'Art. 83 GDPR, le violazioni relative al consenso rientrano nella fascia sanzionatoria superiore: fino a 20 milioni di euro o il 4% del fatturato mondiale annuo (si applica l'importo più elevato).
Domande Frequenti sul Consenso GDPR
Posso usare il consenso tacito o il silenzio dell'utente? No. Il GDPR richiede un'azione positiva esplicita (Art. 4.11). Il silenzio, l'inattività, la continuazione della navigazione o la pre-spunta non costituiscono consenso valido.
Il consenso dato prima del GDPR è ancora valido? Solo se soddisfaceva già i requisiti attuali (libero, specifico, informato, inequivocabile). Se il consenso precedente non era conforme, deve essere rinnovato.
Devo richiedere il consenso per inviare email transazionali (es. conferme d'ordine)? No. Le email transazionali (conferme d'ordine, notifiche di consegna, reset password) si basano sulla base giuridica dell'esecuzione del contratto (Art. 6.1.b GDPR), non sul consenso.
Posso vendere o cedere i dati degli utenti a terzi con il loro consenso? Sì, ma il consenso deve essere specifico per questa finalità, informato sull'identità dei destinatari e prestato con un atto distinto. Un consenso generico non copre la cessione a terzi.
Un minore può prestare un consenso valido? In Italia, il consenso dei minori al trattamento per "servizi della società dell'informazione" (es. social media, app) è valido solo se il minore ha almeno 14 anni (Art. 2-quinquies D.Lgs. 196/2003). Sotto i 14 anni è richiesto il consenso dei genitori o tutori legali.
Il tuo meccanismo di raccolta del consenso è davvero conforme?
Un consenso raccolto in modo non corretto è come non averlo: non protegge l'azienda da sanzioni e può rendere illecito l'intero trattamento basato su di esso. L'Avv. Antonino Ingoglia analizza i tuoi form, banner e procedure di consenso e ti fornisce un piano di adeguamento operativo.
Richiedi consulenza sul consenso GDPRInformazione legale generale ai sensi dell'Art. 13 GDPR — non costituisce consulenza legale personalizzata. Per valutazioni specifiche della propria situazione aziendale, è necessario rivolgersi a un professionista abilitato. Ultimo aggiornamento: aprile 2026.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze tecniche →