Il consenso "omnibus" nel marketing digitale: cosa cambia, cosa fare
Con il provvedimento del 27 febbraio 2025, il Garante Privacy ha tracciato una linea netta: il consenso generico e non differenziato nel marketing digitale non è più compatibile con i principi del GDPR. In questa guida esploriamo in dettaglio cosa comporta l'abbandono del cosiddetto "consenso omnibus" e come le aziende e i DPO possono adeguarsi in modo chiaro, sostenibile e coerente con la normativa.
1. Cos'è il consenso "omnibus"
Si parla di "consenso omnibus" quando un utente, con una sola spunta o azione, autorizza simultaneamente:
l'invio di comunicazioni su tutti i canali (email, sms, telefono, social...);
la cessione dei dati a terzi, anche non specificati;
finalità diverse come marketing diretto, profilazione, comunicazioni promozionali.
Il Garante ha considerato questa prassi lesiva della libertà dell'interessato, in quanto non consente una scelta reale e consapevole.
2. Il provvedimento del Garante: sintesi e principi
Nel caso oggetto del provvedimento, una società del settore energia si affidava a portali e agenzie esterne per raccogliere consensi tramite moduli generici. Il Garante ha rilevato:
assenza di granularità (una sola spunta per molteplici trattamenti);
finalità accorpate senza distinzione;
destinatari eterogenei e non identificati;
mancata chiarezza sull'identità del titolare e sulle modalità di contatto.
Risultato: sanzione amministrativa e obbligo di revisione del modello.
3. I riferimenti normativi e le Linee Guida EDPB
Il provvedimento richiama:
GDPR, art. 4 e art. 7: condizioni per un consenso valido (libero, specifico, informato e inequivocabile);
Linee guida EDPB 05/2020 sul consenso: necessità di separare le finalità e offrire scelte reali;
Provv. Garante n. 242/2013: già chiariva la necessità di distinguere tra modalità automatizzate e tradizionali di contatto.
4. Cosa fare: passi operativi per DPO e imprese
a. Analizzare i consensi attualmente in uso
Verificare i moduli di raccolta: sono specifici e chiari?
I destinatari dei dati sono identificabili?
Le finalità sono separate e ben descritte?
b. Adeguare i form e le informative
Separare il consenso per ogni finalità (marketing, profilazione, cessione);
Offrire scelta tra canali di comunicazione (es. email vs. telefono);
Elencare chiaramente le categorie dei destinatari terzi, o i nomi.
c. Rivedere gli accordi con fornitori e partner
Verificare la legittimità della raccolta consensi da parte di terzi;
Pretendere audit o dichiarazioni di conformità;
Introdurre clausole contrattuali adeguate.
d. Formare il personale
Chi si occupa di marketing o customer care deve comprendere i nuovi limiti;
L'approccio deve essere collaborativo, non solo difensivo.
5. Precedenti utili: i casi Pampers e Bakeca
Pampers (2019): no a un unico consenso per più brand del gruppo (ciascuno va distinto);
Bakeca (2023): i destinatari possono essere molteplici, ma vanno indicati nominalmente per rendere il consenso valido.
6. Evitare gli estremi: la questione dell'eccesso di granularità
Il provvedimento solleva un punto critico: quanta granularità è sufficiente? Esigere decine di spunte può portare all'effetto opposto: utenti confusi o scoraggiati.
Occorre trovare un equilibrio tra trasparenza e usabilità, evitando sia il consenso generico che un eccesso di opzioni frammentate.
7. Modelli consigliati e buone pratiche
Usare layout chiari e spunte visibili, non nascoste;
Informative multilivello (breve + approfondimento);
Offrire opzioni predefinite ma modificabili;
Predisporre versioni specifiche per mobile;
Includere una sezione di gestione consensi (privacy center).
Conclusione: il consenso come relazione, non come obbligo
Il consenso non è solo un requisito legale, ma una forma di fiducia. Le aziende che investono in trasparenza e controllo restano competitive, affidabili, pronte al futuro.
Contattaci per approfondire
Hai dubbi sul modello che stai usando o vuoi supporto per adeguarti? Siamo a disposizione per una valutazione gratuita o un piano di adeguamento personalizzato.