Las funciones header(), setcookie() y session_start() exigen que no se hayan enviado cabeceras http al cliente antes de llamarlas. Es decir, no se haya realizado un echo o escrito codigo html. Es necesario reorganizar el script para que setcookie se envie al cliente antes que cualquier otra cosa.