Una breve nota informativa deve essere fornita attraverso un banner che dovrebbe rivelare lo scopo dell'installazione dei cookie utilizzati dal sito. Il banner deve avere dimensioni tali da coprire in parte il contenuto della pagina web che l'utente sta visitando. Deve poter essere eliminato soltanto tramite un intervento attivo dell'utente, ossia attraverso la selezione di un elemento contenuto nella pagina sottostante. Nel banner, inoltre, deve essere presente un link per accedere ad un'informativa più estesa.
Nella cookie policy non occorre elencare - nome per nome - tutti i cookie installati dal sito. Invece, occorre descrivere in dettaglio lo scopo di installazione dei cookie ed indicare tutte le terze parti che installano o potrebbe installare cookie, con un link alle rispettive politiche sulla privacy, cookie policy ed eventuali moduli di consenso. Se il proprietario del sito installa e gestisce direttamente i cookie che non sono esenti dall'obbligo di consenso (come ad esempio i cookie di profilazione), è necessario che nella cookie policy sia possibile esercitare tale consenso.
Il consenso è fornito dall'utente attraverso la continuazione delle attività, tra cui clic sui link o lo scorrimento della pagina. Le uniche situazioni in cui il consenso è sottoposto in stato di attesa di verifica è quando l'utente abbandona il sito senza di continuare la navigazione (compreso scorrimento) o se l'utente decide di leggere la cookie policy estesa linkata dal banner. Da questo momento l'utente avrà la possibile di consentire o meno al sito di procedere all'installazione dei cookie.
Secondo i principi generali della legge sulla privacy, che impediscono il trattamento prima di consenso, la Cookie Law non consente l'installazione dei cookie prima di ottenere il previo consenso, fatta eccezione per le categorie esenti. In pratica, ciò significa che, per esempio, i codici che linkano banner o semplicemente codici che gestiscono live chat non potranno essere eseguiti prima di ottenere il consenso (che, ripetiamo, è anche ottenibile semplicemente scorrendo la pagina). L'adattamento a questa legge, purtroppo, risulta essere complesso ed in molti casi richiede modifiche al codice sorgente del sito web.
Il Garante è stato molto chiaro in questo caso ed è necessario adattarsi se si vuole rispettare la legge.
Fortunatamente, alcuni cookie sono esenti da consenso e quindi non sono soggetti al blocco preventivo. Cookie tecnici, che sono quelli necessari per fornire il servizio, tra cui cookie di preferenze, di sessione, di bilanciamento del carico e così via. Cookie statistici (analitici) gestiti direttamente dal proprietario, ad esempio attraverso software come Piwik; Il Garante - sia pure in via non ufficiale - si è dimostrato malleabile nel considerare come esenti dal consenso anche cookie statistici utilizzati da servizi di terze parti (ad esempio Google Analytics.), ma solo se i dati sono resi anonimi prima di essere salvati dal servizio terzo.