Comitato europeo per la protezione dei dati personali: avviata una consultazione pubblica fi-no al 12 febbraio 2026 sulle “Raccomandazioni 2/2025 sulla base legale per l'obbligo di creare account utente sui siti di e-commerce”.

Il Comitato europeo per la protezione dei dati (EDPB) ha avviato una consultazione pubblica sulle Raccomandazioni 2/2025 dedicate alla base giuridica per imporre la creazione di account utente obbligatori sui siti di e-commerce. Il documento nasce dalla constatazione che, pur essendo frequente la richiesta di registrazione prima di accedere alle offerte o acquistare, tale impostazione può aumentare i rischi per i diritti e le libertà degli interessati e, in molti scenari, non risulta “necessaria” ai fini di una base di liceità valida ai sensi del GDPR.

L’EDPB chiarisce innanzitutto l’ambito: per “online user account” si intende uno spazio personale accessibile tramite meccanismo di autenticazione con identificativo e password (inclusa la multi factor authentication), mentre restano fuori gli accessi temporanei con token senza password; le Raccomandazioni si applicano ai siti e alle app di e-commerce, incluse le piattaforme/marketplace come intermediari, ma non coprono social media, motori di ricerca, servizi audiovisivi e siti di news. Inoltre, il testo non pregiudica eventuali normative UE/nazionali che impongano account per prodotti/servizi regolamentati (es. alcol, gioco, farmaci).

Sul “perché” la registrazione obbligatoria è problematica, l’EDPB mette in evidenza alcuni effetti tipici: ambienti “logged-in” che favoriscono identificazione sistematica e raccolta di più dati (anche inferiti), conservazione su database attivi oltre il necessario con rischio di orphaned accounts e attacchi, nonché dinamiche di tracciamento delle abitudini di navigazione e possibili pressioni tramite dark patterns o richieste decettive (ad esempio richieste di ulteriori dati o consensi “last-minute” in fase di checkout). Viene anche ricordato che l’account, di per sé, non è una misura risolutiva contro bot/scalping e che pratiche diffuse (riuso password, reset password, single sign-on) possono introdurre ulteriori vulnerabilità.

Nel merito delle basi giuridiche, l’EDPB adotta una lettura rigorosa del requisito di necessità. Per la prestazione del contratto (art. 6(1)(b) GDPR), la creazione obbligatoria dell’account non è normalmente giustificabile per una vendita “one-time”: i dati necessari a eseguire il contratto e gestire l’ordine possono essere raccolti anche senza account, ad esempio tramite acquisto “guest”. Diverso il caso dei servizi in abbonamento, dove l’account può risultare necessario se il servizio richiede interazioni ricorrenti/autenticate per tutta la durata del rapporto e se vi è un contratto effettivo di lungo termine. Per l’accesso a offerte esclusive, la liceità dipende dalla natura della “membership”: se l’offerta è di fatto accessibile a chiunque semplicemente creando un account (senza criteri reali), l’account non appare necessario; può invece esserlo quando l’accesso è riservato a una comunità selezionata con caratteristiche “provate” e con un rapporto stabile con l’operatore. Anche nel conditional purchasing (sconti/beni accessibili solo a soggetti con determinati requisiti, es. status studente), l’EDPB segnala che l’account non dovrebbe essere imposto per una verifica “una tantum”, perché esistono alternative meno intrusive ed egualmente efficaci.

Quanto alla base di legittimità rappresentata dall’adempimento di un obbligo legale ai sensi dell’articolo 6(1)(c) GDPR), l’EDPB ricorda che l’obbligo deve essere chiaro, preciso e prevedibile e che il test di necessità va oltre la mera “utilità”; in particolare, l’identificazione/autenticazione per gestire richieste di diritti GDPR o diritti consumer (resi, garanzie ecc.) può avvenire anche senza imporre un account, e dunque la registrazione obbligatoria difficilmente supera il requisito di necessità in questi casi.

Quanto alla base di legittimità rappresentata dal legittimo interesse ai sensi 6(1)(f) GDPR), l’EDPB richiama l’obbligo di superare i tre passaggi (interesse legittimo, necessità, bilanciamento) e arriva a conclusioni restrittive: anche quando l’obiettivo è prevenire frodi o facilitare ordini successivi, imporre un account tende a non soddisfare il requisito di “stretta necessità” e/o a non superare il bilanciamento; per la prevenzione delle frodi, pur potendo la finalità fondarsi sul legittimo interesse, l’account obbligatorio non è considerato, di regola, la soluzione necessaria.

La conseguenza operativa più rilevante è la raccomandazione di offrire, nella maggior parte dei casi, una scelta reale tra creazione dell’account e acquisto in modalità guest, indicata come opzione “in linea di principio” più protettiva e coerente con la data protection by design and by default (art. 25 GDPR).

Parallelamente, se l’account è facoltativo e serve ad abilitare servizi aggiuntivi (es. storico ordini, acquisti più rapidi, loyalty, offerte personalizzate), l’EDPB sottolinea l’esigenza di separare chiaramente tali funzionalità dal processo di acquisto, evitare che chi non si registra sia “penalizzato”, fornire informative trasparenti su finalità e retention e, quando si usa il consenso, consentire la revoca con la stessa facilità/interfaccia con cui è stato raccolto (senza “switch” silenziosi verso altre basi giuridiche).