Perche una casella pre-spuntata non e un consenso valido?

Il consenso deve essere una manifestazione di volonta inequivocabile e attiva. Una casella gia spuntata dal sito non rappresenta un'azione positiva dell'utente, ma una sua eventuale inerzia: il Garante e la Corte di Giustizia UE hanno chiarito piu volte che questo non costituisce consenso valido.

Cosa significa che il consenso deve essere specifico?

Significa che non si puo raccogliere un consenso unico per finalita diverse (ad esempio marketing e profilazione insieme): l'interessato deve poter scegliere separatamente a quali trattamenti acconsentire, altrimenti il consenso e considerato non validamente prestato per nessuna delle finalita raggruppate.

Come si revoca il consenso?

L'art. 7.3 GDPR impone che la revoca sia altrettanto facile quanto la prestazione del consenso. Se il consenso e stato dato con un clic, anche la revoca deve essere possibile con un'operazione di pari semplicita, non tramite procedure piu complesse o canali meno accessibili.

Qual e l'eta minima per il consenso dei minori in Italia?

In Italia la soglia e fissata a 14 anni dal Codice Privacy, piu bassa rispetto ai 16 anni previsti come default dal GDPR ma in linea con la facolta concessa agli Stati membri di abbassarla fino a un minimo di 13 anni. Sotto questa eta serve il consenso di chi esercita la responsabilita genitoriale.

Consenso GDPR: i requisiti di validita e perche il pre-spuntato non vale

Il consenso è una delle sei basi giuridiche che legittimano un trattamento di dati personali secondo il GDPR, ma è anche quella più frequentemente raccolta in modo invalido. Gli artt. 4, comma 11, e 7 del Regolamento fissano requisiti precisi: senza tutti questi elementi, il consenso non produce effetti legali, anche se l'utente ha materialmente cliccato su un pulsante "accetto". Contenuto informativo: la valutazione della validità dei meccanismi di raccolta del consenso richiede sempre un DPO o un legale specializzato.

L'onere di provare che il consenso è stato validamente raccolto spetta sempre al titolare del trattamento, non all'interessato: in caso di contestazione o ispezione, è l'azienda a dover dimostrare che il consenso esisteva ed era conforme ai requisiti di legge.

Libero, specifico, informato, inequivocabile

Il consenso è libero quando l'interessato ha una scelta reale, senza conseguenze negative se lo nega: subordinare l'erogazione di un servizio a un consenso non necessario per quella prestazione (ad esempio richiedere il consenso al marketing per poter acquistare un prodotto) compromette la libertà della scelta. È specifico quando riguarda una finalità determinata: un consenso unico che cumula marketing, profilazione e cessione a terzi non è valido per nessuna di queste finalità separatamente.

È informato quando l'interessato ha ricevuto, prima di acconsentire, un'informativa chiara su chi tratta i dati, per quali finalità, e con quali modalità. È inequivocabile quando deriva da un'azione positiva e univoca, non da un silenzio, un'inattività o una casella già selezionata.

Perché le caselle pre-spuntate non bastano

La Corte di Giustizia dell'Unione Europea, nella sentenza Planet49 del 2019, ha chiarito in modo definitivo che una casella già selezionata dal sito, che l'utente deve deselezionare per negare il consenso, non costituisce un consenso validamente espresso. Il principio si applica non solo ai cookie ma a qualsiasi raccolta di consenso: l'azione deve venire dall'utente, non essere presunta dal sistema.

Questo orientamento ha avuto un impatto diretto sul design dei banner cookie e dei form di iscrizione in Italia: i meccanismi che ancora oggi presentano caselle pre-selezionate per il marketing sono tecnicamente non conformi, anche se diffusi nella prassi di molti siti.

La revoca: deve essere facile come l'accettazione

L'art. 7, comma 3, GDPR impone un principio di simmetria: revocare il consenso deve essere altrettanto facile quanto prestarlo. Se il consenso è stato raccolto con un clic su un banner, la revoca non può richiedere una telefonata, un modulo cartaceo o più passaggi rispetto all'accettazione originaria. Le aziende che strutturano deliberatamente la revoca in modo più complesso rispetto all'accettazione violano questo principio, indipendentemente dal fatto che la possibilità di revoca esista formalmente.

Il consenso dei minori

Per i servizi della società dell'informazione offerti direttamente a un minore, il GDPR fissa una soglia di default a 16 anni, ma consente agli Stati membri di abbassarla fino a un minimo di 13. L'Italia, attraverso il Codice Privacy, ha fissato la soglia a 14 anni: sotto questa età, il consenso deve essere prestato o autorizzato da chi esercita la responsabilità genitoriale, e il titolare deve adoperarsi in modo ragionevole per verificarlo, tenuto conto delle tecnologie disponibili.

Domande frequenti

Perché una casella pre-spuntata non è un consenso valido?: Il consenso deve essere una manifestazione di volontà inequivocabile e attiva. Una casella già spuntata non rappresenta un'azione positiva dell'utente: la Corte di Giustizia UE ha chiarito che questo non costituisce consenso valido.
Cosa significa che il consenso deve essere specifico?: Non si può raccogliere un consenso unico per finalità diverse: l'interessato deve poter scegliere separatamente a quali trattamenti acconsentire, altrimenti il consenso non è validamente prestato per nessuna finalità.
Come si revoca il consenso?: L'art. 7.3 GDPR impone che la revoca sia altrettanto facile quanto la prestazione. Se è stato dato con un clic, la revoca deve essere possibile con un'operazione di pari semplicità.
Qual è l'età minima per il consenso dei minori in Italia?: In Italia la soglia è fissata a 14 anni dal Codice Privacy. Sotto questa età serve il consenso di chi esercita la responsabilità genitoriale.

Chi scrive

Sono uno sviluppatore curioso che ha approfondito temi di GDPR, privacy e normativa italiana. Non consulenza legale. Il contenuto è puramente informativo: non sostituisce il parere di un professionista qualificato.