Principiile protecției datelor începând cu momentul conceperii și ale protecției implicite a datelor au fost codificate prin articolul 25 din Regulamentul (UE) 2016/679. În prezent, setările implicite pentru cookie-uri în majoritatea browserelor cunoscute prevăd „acceptarea tuturor cookie-urilor”. Prin urmare, furnizorii de software care să permită obținerea și prezentarea informațiilor pe internet ar trebui să aibă obligația de a configura software-ul astfel încât acesta să ofere opțiunea de a împiedica părțile terțe să stocheze informații în echipamentele terminale; această opțiune corespunde adesea formulei „respinge cookie-urile de terță parte”. Utilizatorilor finali ar trebui să li se ofere un set de opțiuni privind setările de confidențialitate, de la cele mai restrictive (de exemplu, „nu acceptați niciodată cookie-uri”), până la cele mai permisive (de exemplu, „acceptați întotdeauna cookie-uri”) și cele intermediare (de exemplu, „respingeți cookie-urile de terță parte” sau „acceptați numai cookie-urile originale”). Aceste setări de confidențialitate ar trebui prezentate într-un mod vizibil și inteligibil.