Si, con la nuova gdpr le cose cambiano. deve esser chiaro che dati vengono usati da chi e per cosa.
es: mail per mailinglist da parte tua. se poi quel dato viene usato per altro allora in linea teorica avresti dei problemi. vale anche se fai analytics sui dati senza dirlo.
non vale piu' "accetto tutto", devi / dovresti sepcificare precisamente le cose. cose che non sono essenziali per l'utilizzo del servizio non possono essere mandatory (es. la mail per fare advertising). devi anche dare la possibilita' di cambiare idea agli utenti e quindi cancellare tutto il dato. qui la cosa si complica.

PS: In quello che facciamo (a chino.io) abbiamo in pipeline un tool per far questo nei form via web. e' ancora in fase di sviluppo (ne vedi una dimostrazione qui https://console.test.chino.io/sign-up/ , c'e' il bottone sopra il submit) se ti interessa scrivimi un PM.