@juanin concordo con la poca chiarezza nella "forma" di implementazione di diverse scelte del GDPR, ad esempio quella relativa a come registrare il consenso.
Di fatto stiamo ancora aspettando a breve la eDirective che dovrebbe chiarire diversi aspetti.
In ogni caso la mia interpretazione della questione "come registrare il consenso", è, per analogia con i cookie tecnici:
tutto ciò che serva per far funzionare il sito web o per tenere fede al motivo legale sono costretto a renderlo indispensabile e quindi di conseguenza registrabile.
Ci sono però due cose molto "sottili" da notare.
1- il Garante italiano ha precisato in una delle FAQ sui cookie, che il cookie tecnico sia una modalità necessaria e sufficiente come prova del consenso (anche se lascia sott'inteso che il titolare non è obbligato a questa sola modalità tecnologica).
2- nel GDPR si precisa che in caso di utilizzo di dati personali come l'ip, si debba separare certe informazioni e renderle anonimizzate a sufficienza, e dimostrare di aver evitato di ricondurle a sistemi che possano profilare o comunque associare l'informazione personale al profilo di comportamento (in caso di assenza di consenso in tal senso) sopratutto se girate a terze parti.
Quindi la conseguenza è che è da evitare l'utilizzo di esportazione dati fuori EU, (cosa che avviene con i cloud americani), senza seguire le 48 pagine di Raccomandazioni di giugno 2021 dei Garanti europei (EDPB), o in assenza di specifiche deroghe (come il privacy US shield prima della sua invalidazione il 16 luglio 2020), ed evitare il trasferimento dati personali a terze parti (diverse da chi informa, richiede il consenso, e gestisce il consenso dietro le quinte, a meno di avere dei meccanismi per supervisionare cosa si fa con i dati) in modi che possano essere riconducibili alle persone e associabili ad altre informazioni connesse (es. comportamenti, dati finanziari, sanitari, ecc. insomma anche dati sensibili o di profilazione).
Ti dò però ragione sul fatto che il GDPR dica che la PROVA del consenso, comunque sia a carico del titolare del trattamento.
Quindi, è ragionevole chiedersi se non sia il caso di registrare una prova lato server, di quel cookie tecnico, come prova del consenso (in caso ci sia qualche problema con il cookie del browser...).
Il gatto SI MORDE LA CODA, come dici tu.
Non è chiaro, ma la mia interpretazione quando una cosa non è chiara è il "buon senso" e trovare una spiegazione ragionevole in caso di ispezione che precisi le scelte compiute e per quale ragione (principio di accountability).