Direi che è decisamente illegale.

Ecco cosa dice l'avviso sui cookie su Facebook al momento della scrittura di questa risposta:

Facendo clic su o navigando nel sito, accetti di consentirci di raccogliere informazioni su e fuori Facebook tramite i cookie.

Ed ecco cosa definisce il GDPR il consenso:

"consenso" di per interessato si intende qualsiasi indicazione libera, specifica, informata e inequivocabile dei desideri della persona interessata con la quale lui o lei, mediante una dichiarazione o una chiara azione affermativa, significa consenso al trattamento dei dati personali che lo riguardano;

Considera anche questo, a proposito:

Nel valutare se il consenso è dato liberamente, si deve tenere nella massima considerazione se, tra l'altro, l'esecuzione di un contratto, inclusa la fornitura di un servizio, è subordinato al consenso al trattamento dei dati personali che non è necessario per l'esecuzione di tale contratto.

blockquot e>

L'avviso di Facebook è una piccola barra blu nella parte superiore della sua intestazione blu, e potresti anche non notarlo (almeno su un computer desktop in cui lo vedo). Non vedo alcun modo per negare facilmente il consenso, ad esempio non c'è alcun pulsante che dice "Non accetto". Tutto quello che puoi fare è fare clic sul collegamento alla loro politica sui cookie, e tuttavia quella politica non presenta un modo chiaro e semplice per negare il consenso in tutti i diversi casi, sembra piuttosto complicata (tra le altre cose, dipende dal fatto che tu abbia un Account Facebook o meno). Quindi negare il consenso sembra piuttosto difficile, se possibile. D'altra parte, per dare il consenso, dovresti solo fare clic su qualsiasi link.

Ho provato questo. Ho aperto il mio browser in modalità privata / in incognito, quindi non dovrebbe utilizzare alcun cookie precedente. Su Google ho cercato "facebook John Doe". Ho fatto clic su un risultato che mi ha portato a una pagina Facebook con un elenco di profili di persone di nome John Doe. La barra dei cookie appare in alto, ma facciamo finta che non me ne sia accorta. Quindi clicco su un profilo, supponendo di essere interessato a un certo John Doe, e ... arrivo sul profilo di John Doe su Facebook, ora senza preavviso! Quello che è successo è che ho dato il consenso facendo clic su qualsiasi collegamento, cioè facendo clic su John Doe. Non vedo in alcun modo che questo "consenso" possa mai essere considerato "un'indicazione libera, specifica, informata e univoca dei desideri dell'interessato".

Perché Facebook non è conforme? Ebbene, probabilmente non potrebbero essere conformi anche se lo volessero, a meno che non volessero chiudere l'attività. Ultimamente mi sono chiesto quale sarebbe lo scopo di Google Analytics se agli utenti fosse sempre data la possibilità di rifiutare liberamente il consenso. Praticamente ogni utente farebbe sempre clic su "Non accetto", ogni volta e ovunque, quindi molti modelli di business verrebbero completamente interrotti. A proposito, per ora, nemmeno la barra dei cookie di questa community (stackexchange) è conforme al GDPR. A dire il vero, temo che pochissimi siti web abbiano un avviso sui cookie conforme al GDPR.