Prezzi bloccati fino a Settembre 2026: assicurati fino al 90% di risparmio sui piani Avacy

Registro dei consensi GDPR: cosa contiene e come tenerlo

Immagine autore: Matilde Visentin

Matilde Visentin

Head of SEO

Aggiornato il 8 luglio 2026

Lettura 5 min

Registro dei consensi GDPR

Se sul tuo sito raccogli email tramite form di contatto o newsletter, e usi quei dati per marketing o profilazione, ti serve più di una semplice casella da spuntare.

Il registro dei consensi è il documento che dimostra come, quando e con quale modulo ogni utente ha acconsentito al trattamento dei suoi dati, non richiesto testualmente dal GDPR, ma necessario per rispettare il principio di accountability. Senza questa prova, in caso di controllo del Garante o di reclamo di un utente, sei tu a dover dimostrare che il consenso era valido: se non puoi farlo, il trattamento si considera privo di base giuridica.

In breve

Il registro dei consensi è lo strumento con cui documenti che gli utenti hanno effettivamente acconsentito al trattamento dei loro dati: non è esplicitamente nominato dal GDPR, ma discende dal principio di accountability e dall’onere della prova del titolare. Deve includere identità, data, metodo e modulo con cui è stato raccolto ogni consenso, e va aggiornato ogni volta che cambiano trattamenti o preferenze degli utenti. Senza un registro aggiornato rischi sanzioni fino al 4% del fatturato globale, oltre a possibili richieste di risarcimento e blocchi del trattamento.

Indice

Cos’è il registro dei consensi?

Se sul tuo sito ci sono moduli di contatto o form per l’iscrizione alla newsletter, e usi i dati raccolti tramite questi form per attività di profilazione e marketing, hai bisogno di un registro dei consensi. È un documento o un sistema digitale in cui vengono registrati i consensi forniti dagli utenti per il trattamento dei loro dati personali.

Serve a dimostrare che i consensi sono stati ottenuti in modo conforme al GDPR e che possono essere verificati in qualsiasi momento dalle autorità competenti. In caso di ispezioni del Garante o reclami, il registro dei consensi è la prova che l’azienda ha rispettato le normative sulla protezione dei dati: aiuta a mantenere la trasparenza e a costruire fiducia con i clienti.

Cosa dovrebbe includere il registro dei consensi?

Come conservare il consenso al trattamento

Il GDPR non nomina esplicitamente un “registro dei consensi” con questo nome: quello disciplinato dall’art. 30 è il registro delle attività di trattamento, un documento diverso che elenca le categorie di trattamenti svolti dall’organizzazione, non i singoli consensi dei singoli utenti. L’obbligo di documentare i consensi nasce invece dal principio di accountability (art. 5, par. 2) e dall’onere della prova dell’art. 7, par. 1: se un trattamento si basa sul consenso, è il titolare a dover dimostrare che l’interessato lo ha effettivamente prestato.

In pratica, spetta al titolare del trattamento, cioè al proprietario del sito, fornire questa prova in caso di controversie. Un registro dei consensi ben tenuto dovrebbe quindi includere:

  • l’identità di chi ha fornito il consenso;
  • il momento e il metodo con cui è stato ottenuto il consenso dal singolo utente;
  • il modulo di raccolta del consenso presentato al momento dell’acquisizione;
  • le condizioni e i documenti legali applicabili al momento in cui è stato ottenuto il consenso.

Un utile strumento per gestire facilmente e in modo centralizzato i consensi raccolti dai tuoi moduli è la piattaforma Avacy: con l’archivio dei consensi di Avacy puoi personalizzare e integrare i tuoi moduli e form per raccogliere e documentare il consenso in conformità al GDPR.

Il tuo registro dei consensi ha tutti gli elementi giusti? Verificalo.

Una checklist con i 4 elementi che un registro dei consensi dovrebbe sempre includere (identità, data e metodo, modulo mostrato, documenti legali applicabili), per verificare in pochi minuti se il tuo è completo.

Perché è importante aggiornare il registro dei consensi?

Ci sono diversi motivi per cui è importante aggiornare costantemente il registro:

  • Conformità al GDPR: un registro sempre aggiornato aiuta a dimostrare che il consenso è stato ottenuto in modo valido, come richiesto dal principio di accountability.
  • Prevenire trattamenti illeciti: evita l’uso improprio dei dati, assicurando che i consensi registrati riflettano le preferenze attuali degli utenti.
  • Gestione delle richieste degli utenti: gli interessati possono modificare o revocare il consenso in qualsiasi momento; un registro aggiornato permette di rispondere rapidamente.
  • Dimostrazione del consenso: in caso di contestazioni o verifiche, è la prova che il consenso è stato ottenuto correttamente.
  • Trasparenza e fiducia: dimostra responsabilità verso gli utenti.

Non esiste una frequenza di aggiornamento fissata dalla normativa, ma il registro deve sempre riflettere l’effettività dei trattamenti in corso: va aggiornato ogni volta che cambiano le tipologie di dati trattati, i metodi di trattamento, le preferenze espresse dall’utente, o quando intervengono cambiamenti normativi rilevanti.

Le conseguenze di un registro non aggiornato non sono solo teoriche:

ConseguenzaIn cosa consiste
Sanzioni amministrativeFino a 20 milioni di euro o al 4% del fatturato annuo globale, a seconda di quale importo sia maggiore
Sanzioni penaliPossibili nei casi più gravi, se la violazione causa un danno significativo agli interessati
Risarcimento del dannoGli interessati possono richiedere un risarcimento per i danni subiti
Divieto temporaneo di trattamentoLe autorità possono bloccare l’uso dei dati fino al ripristino della conformità

Cosa significa questo per chi gestisce un sito o un e-commerce?

Gestire il registro dei consensi richiede alcune azioni mirate: implementare un sistema di raccolta dei consensi che usi strumenti efficaci, come banner per i cookie, moduli di iscrizione o form di contatto, per registrare le autorizzazioni in modo chiaro; mantenere un registro dettagliato di tutti i consensi ottenuti, cruciale per dimostrare la conformità in caso di controlli; aggiornarlo regolarmente in base ai cambiamenti nei trattamenti o nelle politiche di privacy; garantire un’informativa sulla privacy chiara, comprensibile e facilmente accessibile; e infine permettere agli utenti di revocare il consenso in qualsiasi momento, con la stessa facilità con cui lo hanno fornito.

Come ottenere un consenso valido dagli utenti?

Ecco i requisiti chiave perché il consenso raccolto sia conforme:

  • Libero: senza coercizione o inganno, senza conseguenze negative per chi rifiuta.
  • Informato: gli utenti devono sapere chiaramente quali dati verranno raccolti, per quali scopi e come verranno usati.
  • Specifico: un consenso generico per più finalità non è valido; ogni scopo va indicato separatamente.
  • Inequivocabile: espresso con un’azione chiara e affermativa, mai presunto (le caselle pre-selezionate non contano).
  • Revocabile: gli utenti devono poter ritirarlo in qualsiasi momento, con la stessa facilità con cui lo hanno dato.
  • Documentato: data, ora, indirizzo IP e contenuto dell’informativa fornita al momento del consenso.

Per un approfondimento completo su questi requisiti: Consenso al trattamento dei dati personali: tutto quello che c’è da sapere per il tuo sito web.

Come essere conformi in modo semplice?

Rispettare le normative può sembrare un’impresa tecnica complessa. Avacy dispone degli strumenti necessari per facilitare la conformità: con l’archivio dei consensi, ti consente di archiviare e gestire le prove del consenso dei tuoi utenti in conformità con il GDPR, senza doverlo fare a mano modulo per modulo.

In sintesi

  • Il registro dei consensi non è l’art. 30 del GDPR (quello è il registro delle attività di trattamento): discende dal principio di accountability (art. 5.2) e dall’onere della prova (art. 7.1).

  • Deve includere identità, data/metodo, modulo mostrato e documenti legali applicabili al momento del consenso.

  • Va aggiornato ogni volta che cambiano trattamenti, preferenze degli utenti o normativa di riferimento.

  • Un registro non aggiornato espone a sanzioni fino al 4% del fatturato, richieste di risarcimento e blocco del trattamento.

  • Una CMP come Avacy centralizza raccolta e archiviazione dei consensi, riducendo il lavoro manuale.

Domande frequenti

Il registro dei consensi è la stessa cosa del registro dei trattamenti (art. 30)?

No: il registro dei trattamenti (art. 30 GDPR) elenca le categorie di trattamenti svolti dall’organizzazione; il registro dei consensi documenta i singoli consensi dei singoli utenti, ed è un obbligo che deriva dal principio di accountability, non dall’art. 30.

Il registro dei consensi è obbligatorio per legge?

Il GDPR non lo nomina esplicitamente, ma impone al titolare di poter dimostrare che il consenso è stato validamente ottenuto (art. 7.1): in pratica, senza un registro è molto difficile fornire questa prova.

Cosa deve contenere il registro dei consensi?

Identità di chi ha acconsentito, data e metodo con cui è stato raccolto il consenso, il modulo presentato all’utente e i documenti legali (privacy policy, cookie policy) in vigore in quel momento.

Ogni quanto va aggiornato?

Non c’è una frequenza fissata dalla legge: va aggiornato ogni volta che cambiano i trattamenti, le preferenze espresse dagli utenti o la normativa applicabile.

Cosa rischio se non ho un registro dei consensi aggiornato?

Sanzioni amministrative fino al 4% del fatturato globale, possibili sanzioni penali nei casi più gravi, richieste di risarcimento e un eventuale divieto temporaneo di trattamento.

Una CMP può gestire il registro dei consensi al posto mio?

Sì: una piattaforma come Avacy raccoglie e archivia automaticamente le prove del consenso per ogni modulo del sito, centralizzando quello che altrimenti andrebbe tenuto a mano.

Raccogli e conserva i consensi senza pensieri

Avacy automatizza raccolta, archiviazione, prova e revoca dei consensi. Conforme a GDPR, ePrivacy e Google Consent Mode v2.

Google Consent Mode v2
IAB TCF 2.3
Immagine autore: Matilde Visentin
L'autore di questo post

Matilde Visentin

Head of SEO
Matilde Visentin è Head of SEO presso Jump Group, dove guida la strategia SEO e coordina progetti complessi per ottimizzare la visibilità online dei clienti. Grazie alla sua vasta esperienza nel campo del search engine optimization, Matilde è una figura di riferimento per la crescita organica delle aziende. La sua passione per l’analisi dei dati e l’innovazione digitale la spinge a esplorare costantemente le nuove tendenze del settore. Inoltre, è autrice di articoli per Avacy CMP, condividendo il suo know-how con la community professionale.

Potrebbe interessarti anche

Sei ancora interessato a passare ad Avacy?

Il nostro team è pronto a supportarti nella configurazione della tua compliance e a mostrarti come ottimizzarne la gestione.