La Directiva 2009/136/CE de 25 de noviembre de 2009 fue puesta en marcha por el Parlamento Europeo con la intención de garantizar y fortalecer la protección de los datos personales de los usuarios, debiendo ser integrada en los respectivos marcos legales de los Estados miembro.
La directiva de ePrivacy, la llamada ley de cookies, prevé que el usuario que visita una página sea informado de una forma clara e inequívoca sobre el uso de cookies y que deba aceptar explícitamente el registro de sus datos personales. La única excepción la constituyen aquellas cookies que técnicamente son necesarias para el funcionamiento de la página, como pueden ser aquellas requeridas para la implementación de un servicio solicitado por el usuario. Estas son, por ejemplo, las cookies de sesión para el ajuste del idioma, los datos de acceso y del carrito de la compra o las de flash para la reproducción de contenidos multimedia.
Para poder aplicar la mayoría de las cookies se requiere la aprobación del usuario. Esto incluye todas aquellas cookies que técnicamente no son necesarias para el funcionamiento de la página web, como las cookies de seguimiento que se usan en el marco del retargeting, las de análisis o las de redes sociales. La directiva europea no indicaba, sin embargo, cómo debían de aplicarse estas instrucciones. En especial en los aspectos referentes a la declaración de conformidad por parte de los usuarios de páginas web, la directiva deja un amplio margen de aplicación a los países.