Di particolare rilievo è la sezione dedicata al consenso del trattamento. Sono, infatti, numerosi i casi in cui la privacy è già oggi sburocratizzata e non rappresenta un intralcio. Il consenso non è, per esempio, necessario per l'esecuzione di un contratto già in essere, come quelli per la fatturazione di un prodotto o servizio.
Inoltre le società non devono, chiedere ai «clienti» il consenso per l'uso dei loro dati quando rilasciano carte di fedeltà (come quelle dei supermercati o dei benzinai) al solo fine di offrire sconti, premi, bonus, servizi accessori, facilitazioni di pagamento. Ci vuole, invece, il consenso per usare gli stessi dati per altri fini come la profilazione, lo studio dei comportamenti e delle scelte d'acquisto, il marketing in generale.
Così come per il curriculum inviato spontaneamente: l'azienda destinataria non ha l'obbligo di offrire l'informativa o di chiedere al candidato il consenso per il trattamento dei dati personali (compresi quelli sensibili) contenuti nella documentazione pervenuta
Il vademecum tratta anche delle misure di sicurezza e, dopo avere ricordato che non è più obbligatorio il documento programmatico sulla sicurezza, ha evidenziato che la disciplina sull'amministratore di sistema non si applica a quei soggetti (per esempio, professionisti, piccole imprese, associazioni) che sono dotati di sistemi informatici di modesta e limitata entità e che, quindi, non fanno ricorso a una figura professionale specificamente dedicata all'amministrazione dei sistemi informatici. In attesa del regolamento europeo, che andrà a sostituire il vigente codice della privacy, introducendo la figura del privacy officer, il garante sottolinea la necessità per le imprese di perseguire politiche aziendali di customer care dei dati personali.
