Con il provvedimento generale dell'8 maggio 2014, pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, al quale ha fatto seguito il comunicato del 4 giugno, il Garante per la protezione dei dati personali ha individuato le modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie.
Siamo nell'ambito dell'attuazione delle direttive europee, in particolare della direttiva 2002/58/CE (E-Privacy) in tema di riservatezza dei dati personali degli utenti. Come già detto, tale direttiva al considerando 24 e 25 prevede l'obbligo dell'informativa in caso di uso di marcatori (i marcatori sono appunto i cookie) anche se destinati a scopi come "facilitare la fornitura di servizi della società dell'informazione". Gli utenti dovrebbero avere la possibilità di rifiutare che un marcatore o un dispositivo analogo sia installato nella loro apparecchiatura terminale.
Con la direttiva 2009/136 CE si ha una ulteriore modifica alla disciplina dei cookie, ed infine nel corso del 2012 la Commissione europea presenta una proposta di Regolamento sulla privacy, destinato a sostituire la direttiva 95/46/CE ancora in vigore, con efficacia immediata per tutti gli Stati membri. Il Regolamento in questione, ancora in corso di discussione, disciplina dettagliatamente l'utilizzo dei cookie, prevedendo un consenso esplicito con modalità tali da consentire una manifestazione di volontà libera, specifica e informata. Il consenso tacito o passivo non è ammesso.
Quello che la riforma pretende è che cessi la pratica del trattamento occulto dei dati degli utenti, cioè si richiede che l'utente sia preventivamente e compiutamente informato di cosa il sito web deposita sul suo computer al momento della visita, e quali dati raccoglie. Ciò che è illecito, quindi, è che un sito web rilasci un cookie senza informare correttamente l'utente, perché il consenso deve essere preliminare al trattamento.