Il Regolamento generale sulla protezione dei dati (GDPR) è una legge sulla privacy che si applica alla raccolta, all'uso e al trattamento dei dati personali nell'Unione europea (UE). Il consenso è una delle diverse basi giuridiche per il trattamento dei dati personali ai sensi del GDPR, ma non l'unica: i dati personali possono essere trattati anche sulla base di diverse basi giuridiche, come il legittimo interesse, il contratto o l'obbligo legale.
Il consenso ai sensi del GDPR deve essere dato liberamente, specifico, informato e non ambiguo. Per ottenere un consenso valido, le organizzazioni devono fornire alle persone informazioni chiare e concise sulle finalità per le quali i loro dati personali saranno utilizzati e devono ottenere un'indicazione chiara e affermativa del loro consenso al trattamento dei dati. Questo può essere fatto attraverso un modulo di consenso o un meccanismo simile, come una casella di spunta o un pulsante, ma non attraverso meccanismi di opt-out. A differenza di altre leggi sulla privacy, il GDPR non considera valido il consenso implicito.