Il consenso è la libera manifestazione di volontà dell’interessato con cui accetta espressamente un determinato trattamento dei suoi dati personali, del quale è stato preventivamente informato da chi ha un potere decisionale sul trattamento.
Quindi, il consenso deve essere libero, specifico ed informato.
Il consenso, a differenza dell’informativa che è sempre obbligatoria (tranne in casi residuali), può non essere necessario se esistono altri presupposti giuridici che consentono il trattamento (p.e., norma fiscale che prevede l’obbligo di comunicare i redditi prodotti in Italia oppure contratto di attivazione di una linea telefonica). Infatti, il GDPR prevede altri cinque presupposti giuridici, alternativi al consenso, che possono rendere lecito un trattamento di dati personali (art. 6 del Reg. 679/2016).
Non è necessaria la forma scritta per il consenso. L’importante è che il titolare possa dimostrare che ci sia stata la chiara manifestazione di volontà dell’interessato senza alcuna coercizione diretta o indiretta (per esempio con segni di spunta già presenti sul consenso in caso di acquisizione via web).
Il consenso deve essere specifico nel senso che deve essere richiesto separatamente per ogni diversa finalità (invio di materiale pubblicitario, comunicazione ad altri soggetti per indagini statistiche, ecc.).
Il consenso deve essere informato nel senso che il titolare deve puntualmente sottoporre, preliminarmente, l’informativa completa per il trattamento dei dati e, per ogni finalità, informare l’interessato sulle conseguenze che comporta il mancato consenso.
L’interessato può, in ogni momento, revocare il consenso con la stessa facilità con il quale lo ha espresso (p.e. se ha espresso un consenso via internet deve poter esprimere la revoca con lo stesso mezzo).