August 9, 2025
2 min read
L'analisi della validità del consenso ai sensi del Regolamento Generale sulla Protezione dei Dati (GDPR) rivela che le caselle preselezionate non costituiscono un consenso valido. Secondo il Considerando 32 del GDPR, il consenso deve essere:
e richiede un'azione affermativa chiara da parte dell'interessato (Parlamento europeo e Consiglio, 2016). Ciò implica direttamente che le azioni passive, come le caselle preselezionate o l'inattività dell'utente, non soddisfano tali standard.
La Corte di Giustizia dell'Unione Europea (CGUE) ha rafforzato questa interpretazione attraverso sentenze giudiziarie:
Le implicazioni sono che le organizzazioni che si affidano a caselle preselezionate per il consenso al trattamento dei dati violano i requisiti del GDPR. La scelta attiva dell'interessato di prestare il consenso deve essere dimostrata da un'azione di opt-in, eliminando l'ambiguità e garantendo la conformità.
Ciò è in linea con il consenso accademico che evidenzia l'importanza di meccanismi di consenso affermativo esplicito per rafforzare l'autonomia e il controllo dell'utente sui dati personali (Wright & Kreissl, 2020). Inoltre, studi empirici hanno dimostrato che le caselle preselezionate:
In sintesi, le caselle preselezionate violano gli standard del GDPR per un consenso valido. Le prove legali e accademiche supportano il requisito di un'azione esplicita e affermativa da parte dell'utente per stabilire la liceità del trattamento dei dati personali.
