Στην ενσωμάτωση της ευρωπαϊκής Οδηγίας 2009/136/ΕΚ σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών προχώρησε η Ελλάδα με τον νόμο 4070/2012 (Α’82/10.4.2012) «Ρυθμίσεις Ηλεκτρονικών Επικοινωνιών, Μεταφορών, Δημοσίων Έργων και άλλες διατάξεις». Η ενσωμάτωση της Οδηγίας έγινε κατά το μέρος που αφορά σε τροποποίηση της παλαιότερης Οδηγίας 2002/58/ΕΚ –γνωστή ως e-Privacy Directive ή “Cookie Law”, η οποία έχει ενσωματωθεί στο ελληνικό δίκαιο με τον νόμο 3471/2006.
Η Οδηγία 2009/136/ΕΚ προχωράει ένα βήμα παραπέρα ως προς την προστασία των δεδομένων του χρήστη στο διαδίκτυο, καθότι κατοχυρώνει το σύστημα “opt-in” σε αντιδιαστολή με το προηγουμένως ισχύον σύστημα “opt-out” της Οδηγίας 2002/58/ΕΚ. Ενώ με το προηγούμενο σύστημα αρκούσε η σαφής και εκτενή ενημέρωση του χρήστη –συνήθως μέσω των όρων πολιτικής απορρήτου της ιστοσελίδας- και η μη εναντίωσή του για την εγκατάσταση cookies πέραν αυτών που εξυπηρετούν λειτουργικές ανάγκες της ιστοσελίδας, πλέον καθίσταται υποχρεωτική η προηγούμενη συγκατάθεση του χρήστη.
Η συγκατάθεση του χρήστη μπορεί να δίνεται μέσω κατάλληλων ρυθμίσεων στον browser ή μέσω άλλων εφαρμογών, π.χ. με κάποιο αναδυόμενο παράθυρο. Ο νόμος εξουσιοδοτεί μάλιστα την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.) για τον ειδικότερο προσδιορισμό των τρόπων παροχής πληροφοριών και δήλωσης της συγκατάθεσης (άρθρο 170 ν.4070/2012, αντικατάσταση της παραγράφου 5 του άρθρου 4 του ν.3471/2006).
Στο πεδίο εφαρμογής της Οδηγίας εμπίπτουν σαφώς τα cookies που χρησιμοποιούνται για διαδικτυακή διαφήμιση (online advertising), είτε αυτά εγκαθίστανται από τον ίδιο τον πάροχο της ιστοσελίδας, είτε από τρίτα διαφημιστικά δίκτυα μέσω του επισκεπτόμενου site. Συγκατάθεση θα απαιτείται επιπλέον και για τα cookies που εγκαθίστανται με σκοπό την στατιστική ανάλυση (web analytics), ακόμη και αν αυτά αφορούν απλώς την στατιστική ανάλυση της επισκεψιμότητας μιας ιστοσελίδας. Εξαίρεση από τον κανόνα αυτό θα είναι τα cookies που εξυπηρετούν λειτουργικές ανάγκες της ιστοσελίδας και είναι απαραίτητα για την εμφάνισή της και την αποτελεσματική λειτουργία της στον υπολογιστή του καταναλωτή (functional cookies). Σχετικά με τα κριτήρια εξαίρεσης από την υποχρεωτική λήψη συγκατάθεσης για εγκατάσταση cookies ενδιαφέρον έχει η γνωμοδότηση της 7.6.2012 που εξέδωσε η Ομάδα Εργασίας για την Προστασία Προσωπικών Δεδομένων του άρθρου 29.
Η τροπολογία στην Οδηγία e-privacy έχει ήδη ενσωματωθεί στα περισσότερα κράτη της Ευρωπαϊκής Ένωσης, μεταξύ άλλων στην Ιρλανδία, στη Γαλλία και προσφάτως στη Βρετανία. Παρότι ο τρόπος εφαρμογής μπορεί να εξειδικεύεται σε κάθε χώρα, οι βασικές κατευθυντήριες γραμμές παραμένουν ίδιες. Στη Βρετανία συγκεκριμένα η αρμόδια Αρχή ICO (Information Commissioner’s Office) είχε δώσει στις επιχειρήσεις προθεσμία ενός έτους για να συμμορφωθούν με τις νέες προϋποθέσεις εγκατάστασης cookies. Στις 26 Μαίου 2012, καταληκτική ημερομηνία της δοθείσας προθεσμίας συμμόρφωσης, υπολογίζεται ότι είχε συμμορφωθεί μόλις το 5 τοις εκατό των υπόχρεων ιστοσελίδων.
