Los principios de protección de datos desde el diseño y por defecto quedaron codificados en el artículo 25 del Reglamento (UE) 2016/679. En la actualidad, la mayoría de los navegadores están configurados por defecto para «aceptar todas las cookies». Por consiguiente, conviene que los proveedores de programas informáticos que permiten la recuperación y presentación de información de Internet estén obligados a configurar los programas de modo que ofrezcan la posibilidad de impedir a terceros almacenar información en el equipo terminal; esta opción suele presentarse con la frase «rechazar cookies de terceros». Los usuarios finales han de disponer de una serie de opciones de configuración que les permitan elegir entre distintos niveles de privacidad, desde el nivel más elevado (por ejemplo, «no aceptar nunca cookies») hasta el nivel más bajo (por ejemplo, «aceptar cookies siempre»), pasando por el nivel intermedio (por ejemplo, «rechazar cookies de terceros» o «solo aceptar cookies de origen»). Estos ajustes de privacidad han de presentarse de forma bien visible e inteligible.