La Directiva 2009/136/CE de 25 de noviembre de 2009, dictada en 2009 y prevista su adopción por los Estados miembro para 2011, fue puesta en marcha por aquel entonces por el Parlamento Europeo con la intención de garantizar y fortalecer la protección de los datos personales de los usuarios, debiendo integrarse en los respectivos marcos legales de los Estados miembro.

La directiva de privacidad electrónica y protección del consumidor prevé que el usuario que visite una página sea informado de una forma clara e inequívoca sobre el uso de cookies. Esto puede hacerse mediante una política de cookies o incluirse en la política de privacidad o en el aviso legal. Además, el usuario debe aceptar explícitamente el registro de sus datos personales. La única excepción la constituyen aquellas cookies que técnicamente son necesarias para el funcionamiento de la página, como pueden ser aquellas requeridas para la implementación de un servicio solicitado por el usuario. Estas son, por ejemplo, las cookies de sesión para el ajuste del idioma, los datos de acceso y del carrito de la compra o las de flash para la reproducción de contenidos multimedia..

Todas las demás, es decir, todas aquellas cookies que técnicamente no son necesarias para el funcionamiento de la página web, como las de seguimiento, que se usan en el marco del retargeting, las de análisis o las de redes sociales, requieren la aprobación del usuario. La directiva europea no indica, sin embargo, cómo deben aplicarse estas instrucciones. En especial en los aspectos referentes a la declaración de conformidad por parte de los usuarios, la directiva deja un amplio margen de aplicación a los países.