Cos’è il registro dei consensi?
Se sul tuo sito ci sono moduli di contatto o form per l’iscrizione alla newsletter, e usi i dati raccolti tramite questi form per attività di profilazione e marketing, hai bisogno di un registro dei consensi. È un documento o un sistema digitale in cui vengono registrati i consensi forniti dagli utenti per il trattamento dei loro dati personali.
Serve a dimostrare che i consensi sono stati ottenuti in modo conforme al GDPR e che possono essere verificati in qualsiasi momento dalle autorità competenti. In caso di ispezioni del Garante o reclami, il registro dei consensi è la prova che l’azienda ha rispettato le normative sulla protezione dei dati: aiuta a mantenere la trasparenza e a costruire fiducia con i clienti.
Cosa dovrebbe includere il registro dei consensi?

Il GDPR non nomina esplicitamente un “registro dei consensi” con questo nome: quello disciplinato dall’art. 30 è il registro delle attività di trattamento, un documento diverso che elenca le categorie di trattamenti svolti dall’organizzazione, non i singoli consensi dei singoli utenti. L’obbligo di documentare i consensi nasce invece dal principio di accountability (art. 5, par. 2) e dall’onere della prova dell’art. 7, par. 1: se un trattamento si basa sul consenso, è il titolare a dover dimostrare che l’interessato lo ha effettivamente prestato.
In pratica, spetta al titolare del trattamento, cioè al proprietario del sito, fornire questa prova in caso di controversie. Un registro dei consensi ben tenuto dovrebbe quindi includere:
- l’identità di chi ha fornito il consenso;
- il momento e il metodo con cui è stato ottenuto il consenso dal singolo utente;
- il modulo di raccolta del consenso presentato al momento dell’acquisizione;
- le condizioni e i documenti legali applicabili al momento in cui è stato ottenuto il consenso.
Un utile strumento per gestire facilmente e in modo centralizzato i consensi raccolti dai tuoi moduli è la piattaforma Avacy: con l’archivio dei consensi di Avacy puoi personalizzare e integrare i tuoi moduli e form per raccogliere e documentare il consenso in conformità al GDPR.
Il tuo registro dei consensi ha tutti gli elementi giusti? Verificalo.
Una checklist con i 4 elementi che un registro dei consensi dovrebbe sempre includere (identità, data e metodo, modulo mostrato, documenti legali applicabili), per verificare in pochi minuti se il tuo è completo.
Perché è importante aggiornare il registro dei consensi?
Ci sono diversi motivi per cui è importante aggiornare costantemente il registro:
- Conformità al GDPR: un registro sempre aggiornato aiuta a dimostrare che il consenso è stato ottenuto in modo valido, come richiesto dal principio di accountability.
- Prevenire trattamenti illeciti: evita l’uso improprio dei dati, assicurando che i consensi registrati riflettano le preferenze attuali degli utenti.
- Gestione delle richieste degli utenti: gli interessati possono modificare o revocare il consenso in qualsiasi momento; un registro aggiornato permette di rispondere rapidamente.
- Dimostrazione del consenso: in caso di contestazioni o verifiche, è la prova che il consenso è stato ottenuto correttamente.
- Trasparenza e fiducia: dimostra responsabilità verso gli utenti.
Non esiste una frequenza di aggiornamento fissata dalla normativa, ma il registro deve sempre riflettere l’effettività dei trattamenti in corso: va aggiornato ogni volta che cambiano le tipologie di dati trattati, i metodi di trattamento, le preferenze espresse dall’utente, o quando intervengono cambiamenti normativi rilevanti.
Le conseguenze di un registro non aggiornato non sono solo teoriche:
| Conseguenza | In cosa consiste |
|---|---|
| Sanzioni amministrative | Fino a 20 milioni di euro o al 4% del fatturato annuo globale, a seconda di quale importo sia maggiore |
| Sanzioni penali | Possibili nei casi più gravi, se la violazione causa un danno significativo agli interessati |
| Risarcimento del danno | Gli interessati possono richiedere un risarcimento per i danni subiti |
| Divieto temporaneo di trattamento | Le autorità possono bloccare l’uso dei dati fino al ripristino della conformità |
Cosa significa questo per chi gestisce un sito o un e-commerce?
Gestire il registro dei consensi richiede alcune azioni mirate: implementare un sistema di raccolta dei consensi che usi strumenti efficaci, come banner per i cookie, moduli di iscrizione o form di contatto, per registrare le autorizzazioni in modo chiaro; mantenere un registro dettagliato di tutti i consensi ottenuti, cruciale per dimostrare la conformità in caso di controlli; aggiornarlo regolarmente in base ai cambiamenti nei trattamenti o nelle politiche di privacy; garantire un’informativa sulla privacy chiara, comprensibile e facilmente accessibile; e infine permettere agli utenti di revocare il consenso in qualsiasi momento, con la stessa facilità con cui lo hanno fornito.
Come ottenere un consenso valido dagli utenti?
Ecco i requisiti chiave perché il consenso raccolto sia conforme:
- Libero: senza coercizione o inganno, senza conseguenze negative per chi rifiuta.
- Informato: gli utenti devono sapere chiaramente quali dati verranno raccolti, per quali scopi e come verranno usati.
- Specifico: un consenso generico per più finalità non è valido; ogni scopo va indicato separatamente.
- Inequivocabile: espresso con un’azione chiara e affermativa, mai presunto (le caselle pre-selezionate non contano).
- Revocabile: gli utenti devono poter ritirarlo in qualsiasi momento, con la stessa facilità con cui lo hanno dato.
- Documentato: data, ora, indirizzo IP e contenuto dell’informativa fornita al momento del consenso.
Per un approfondimento completo su questi requisiti: Consenso al trattamento dei dati personali: tutto quello che c’è da sapere per il tuo sito web.
Come essere conformi in modo semplice?
Rispettare le normative può sembrare un’impresa tecnica complessa. Avacy dispone degli strumenti necessari per facilitare la conformità: con l’archivio dei consensi, ti consente di archiviare e gestire le prove del consenso dei tuoi utenti in conformità con il GDPR, senza doverlo fare a mano modulo per modulo.