Il 3 dicembre 2025, l’EDPB ha pubblicato le Raccomandazioni 2/2025 sulla base giuridica per imporre la creazione di account utente sui siti web di e-commerce.
Più specificamente, l’analisi dell’EDPB prende le mosse dall’osservazione che, ad oggi, agli utenti viene spesso imposto di creare un account per poter accedere alle offerte o acquistare beni e servizi online. Sebbene tale obbligo di creare un account sia generalmente giustificato dai titolari del trattamento dei dati al fine di effettuare una vendita, consentire l’abbonamento a servizi, garantire l’accesso a offerte esclusive ai propri utenti o facilitare la gestione operativa degli ordini, secondo l’EDPB, la creazione di account può anche esporre gli interessati a rischi aggiuntivi per i loro diritti e libertà.
Di seguito illustriamo i punti principali sollevati dall’EDPB in riferimento all’obbligo imposto ai clienti di creare un account sui siti web di e-commerce.
Principali rischi per gli interessati
Secondo l’EDPB, gli account utente obbligatori aumentano intrinsecamente la quantità, la portata e la durata del trattamento dei dati personali. A seguito di questa raccolta di dati personali, l’EDPB identifica più rischi per gli interessati, tra cui:
- rischio di accesso non autorizzato, violazioni dei dati o uso improprio, in particolare quando gli account rimangono inattivi per un periodo prolungato;
- i sistemi basati su account possono rendere più semplice per il titolare del trattamento tenere traccia della cronologia di navigazione e monitorare le abitudini di navigazione degli utenti al fine di migliorare le proprie strategie commerciali, attraverso la profilazione o il marketing, che va oltre le aspettative originali dell’utente;
- gli e-merchant possono indurre gli interessati a condividere più dati personali di quelli strettamente necessari per l’acquisto e la consegna dei beni, spesso attraverso l’uso di design ingannevoli, in particolare quando la creazione di un account utente online è richiesta tra la convalida del carrello e il pagamento.
Analisi delle possibili basi giuridiche
L’EDPB fornisce un’analisi delle basi giuridiche più utilizzate dalle aziende quando impongono all’utente di creare un account. Le principali basi giuridiche utilizzate in questo contesto sono:
- Esecuzione di un contratto: la prima e più frequente base giuridica analizzata dall’EDPB è la necessità del trattamento per l’esecuzione di un contratto. I titolari del trattamento spesso sostengono che un account utente è necessario per concludere o eseguire un contratto di vendita online. L’EDPB respinge questo ragionamento nella maggior parte dei casi e sottolinea che il trattamento è giustificato ai sensi dell’articolo 6 (b), solo se è oggettivamente indispensabile per l’esecuzione del contratto specifico richiesto dall’utente. Per gli acquisti occasionali, l’EDPB conclude che un account non è generalmente necessario, poiché esistono metodi meno invasivi per eseguire il contratto di vendita. Tuttavia, l’EDPB riconosce situazioni limitate in cui un account può essere contrattualmente necessario. Queste includono servizi di abbonamento continuativi o l’accesso a offerte esclusive. Anche in questi casi, in ogni caso, l’account deve essere strettamente limitato a quanto necessario per il rapporto contrattuale.
- Adempimento di un obbligo legale: la seconda base giuridica esaminata è il trattamento necessario per l’adempimento di un obbligo legale. Alcuni titolari del trattamento sostengono che gli account utente obbligatori sono necessari per adempiere agli obblighi previsti dalla legislazione consumeristica, fiscale o in materia di contabilità. L’EDPB adotta un approccio restrittivo nei confronti di tale argomentazione. Le raccomandazioni sottolineano che l’articolo 6(c), si applica solo quando una norma giuridica specifica e chiara impone al titolare del trattamento di trattare i dati personali in un modo specifico. Gli obblighi generali di emettere fatture, conservare i registri delle transazioni o garantire i diritti dei consumatori non impongono automaticamente la creazione di account utente. Nella maggior parte dei casi, i dati richiesti dalla legge possono essere raccolti al momento dell’acquisto senza creare un account permanente. Di conseguenza, l’EDPB conclude che l’obbligo legale raramente, se non mai, giustifica l’obbligo di creare account utente.
- Interesse legittimo: Infine, l’EDPB analizza l’uso dell’interesse legittimo come base giuridica. Le aziende spesso usano questa base giuridica per giustificare la creazione di account per ragioni quali la prevenzione delle frodi, l’efficienza dell’assistenza clienti o la fidelizzazione dei clienti. L’EDPB riconosce che tali interessi possono essere legittimi in linea di principio, ma sottolinea che devono essere sottoposti ad un test di bilanciamento, identificando e descrivendo (i) gli interessi, i diritti fondamentali e le libertà degli interessati; (ii) l’impatto del trattamento sugli interessati; (iii) le ragionevoli aspettative dell’interessato; (iv) il bilanciamento finale dei diritti e degli interessi contrapposti. Secondo l’EDPB spesso gli account obbligatori non riescono a superare questo test di bilanciamento che. Più specificamente, l’Autorità osserva che gli utenti in genere non si aspettano di essere costretti a consentire la conservazione dei dati a lungo termine per una singola transazione. Inoltre, molti interessi legittimi citati dai titolari del trattamento possono essere raggiunti attraverso misure meno invasive. Laddove esista un’alternativa realistica e meno invasiva, è improbabile che l’obbligo di creare un account superi il test di bilanciamento richiesto dall’articolo 6(f).
Soluzione suggerita dall’EDPB
Per mitigare i rischi associati agli account utente obbligatori e garantire la conformità al GDPR, l’EDPB propone una soluzione che tenga conto dei principi di minimizzazione dei dati, necessità e privacy by design.
In particolare, secondo l’EDPB una via percorribile è quella di offrire opzioni di accesso alternative, in particolare consentendo agli utenti di completare gli acquisti o accedere ai servizi senza una registrazione a lungo termine laddove un account non sia strettamente necessario, consentendo una modalità cd. guest. Laddove venga offerta la possibilità di creare un account, la creazione di questo dovrebbe essere facoltativa per impostazione predefinita, con un iter chiaro e neutro che non spinga gli utenti alla registrazione.
Inoltre, l’EDPB raccomanda ai titolari del trattamento di consentire agli interessati di revocare il consenso tramite la stessa interfaccia utilizzata per ottenerlo ed evitare di passare silenziosamente dal consenso a un’altra base giuridica in caso di revoca del consenso, in quanto ogni modifica nel trattamento dei dati deve essere notificata all’interessato.
Conclusioni
Queste raccomandazioni mostrano l’approccio particolarmente restrittivo adottato dall’EDPB nel valutare l’uso dell’interesse legittimo, l’esecuzione di un contratto e il rispetto di un obbligo di legge come basi giuridiche per il trattamento.
L’EDPB chiarisce che, laddove un’attività di trattamento possa essere ragionevolmente realizzata attraverso un’alternativa meno invasiva, essa non supererà in genere il test di bilanciamento richiesto per l’interesse legittimo e non soddisferà l’elevata soglia di stretta necessità per l’esecuzione di un contratto. Alla luce di questa posizione, le aziende sono tenute a effettuare una valutazione attenta e caso per caso delle loro operazioni di trattamento e della progettazione dei servizi, con particolare attenzione all’identificazione di alternative rispettose della privacy. Nel contesto dell’e-commerce, ciò include la disponibilità di opzioni in modalità ospite, che l’EDPB considera una misura fondamentale per allineare le pratiche commerciali ai principi del GDPR.
