Una regola semplice. E, al tempo stesso, dirompente.
L’European Data Protection Board, con le Raccomandazioni 2/2025 adottate il 3 dicembre 2025 (premrere qui per leggere), interviene nuovamente su un tema che incide in maniera profonda sull’economia digitale: la liceità dell’imposizione della creazione di un account utente come condizione per accedere alle offerte o procedere all’acquisto su siti di commercio elettronico.
Il documento, denso e strutturato, mira a ristabilire un equilibrio. Protegge i diritti degli interessati. Contiene gli eccessi dei titolari del trattamento. Ribadisce alcuni principi fondamentali del GDPR. E ridisegna la user experience degli e-commerce europei.
Un quadro d’insieme: perché il tema è così sensibile
La creazione obbligatoria di un account, nei fatti, espone l’utente a un trattamento più ampio, più incisivo e più duraturo.
Il titolare accumula dati ulteriori. Mantiene attivo un ambiente autenticato. Conserva informazioni anche quando non più necessarie.
In molti casi, la raccolta del dato eccede lo stretto indispensabile.
Le Raccomandazioni sottolineano tre ordini di rischi:
1. Identificazione continua dell’utente lungo l’intera navigazione, con possibilità di profilazione o di ricostruzione di abitudini anche senza una base giuridica adeguata.
2. Prolungata conservazione dei dati, spesso in violazione del principio di limitazione della conservazione, con l’ulteriore pericolo di orphaned accounts vulnerabili ad accessi non autorizzati.
3. Rischio di dark patterns, specie quando l’obbligo di creare un account appare nel momento più delicato: tra il carrello e il pagamento.
Il documento è chiaro: la creazione di un account non è un fine in sé, né può essere interpretata come un trattamento necessario ai sensi dell’art. 5(1)(b) GDPR.
La stretta dell’EDPB sull’art. 6 GDPR: quando l’account è davvero “necessario”?
1. Art. 6(1)(b): la performance contrattuale come base giuridica
Il criterio di necessità è interpretato in modo rigoroso.
La regola è semplice: per le vendite singole non è lecito imporre la creazione di un account.
Il fatto che esistano modalità “guest checkout” lo dimostra: l’adempimento contrattuale è pienamente possibile senza autenticazione permanente.
L’EDPB individua solo due ipotesi in cui l’account può essere considerato realmente necessario:
a. Servizi in abbonamento.
La relazione è duratura. Serve un’interazione autenticata costante. Lo strumento è funzionale allo svolgimento della prestazione. In tali circostanze, l’account è ammissibile.
b. Accesso a offerte realmente “esclusive”.
Il concetto di esclusività non è nominalistico.
Deve esistere una comunità chiusa e selezionata, fondata su criteri verificabili (es. status professionale, membership cooperativa, referral controllato).
Un semplice “programma sconti per chi crea un account” non integra tale condizione.
È un passaggio importante: l’appartenenza a una community deve costituire l’oggetto stesso del contratto, non un artificio per trattenere dati.
2. Art. 6(1)(c): obblighi di legge
La creazione di un account non costituisce mai, di per sé, un obbligo imposto da una norma tributaria, contabile o di conservazione documentale.
Gli obblighi fiscali possono essere adempiuti senza un’area personale. Le fatture possono esistere senza un profilo attivo.
L’EDPB è perentorio: invocare l’art. 6(1)(c) GDPR per giustificare l’obbligo di registrazione non è conforme al principio di necessità.
3. Art. 6(1)(f): il legittimo interesse
È il terreno più scivoloso, spesso utilizzato impropriamente.
L’EDPB analizza vari scenari e giunge a conclusioni nette:
a. tracciamento dell’ordine: non è necessario un account. Basta un link univoco:
b. modifica dell’ordine: non è necessario un account. Possono essere utilizzati link temporanei o assistenza diretta;
c. fidelizzazione: richiede consenso. Il legittimo interesse non può fondare trattamenti personalizzati invasivi;
d. acquisti futuri “facilitati”: non superano il bilanciamento tra interesse del titolare e aspettative dell’utente;
e. prevenzione frodi: pur essendo un interesse legittimo rilevante, l’account obbligatorio non è lo strumento meno invasivo, né quello più efficace.
La conclusione è inequivocabile: l’imposizione dell’account, in queste ipotesi, non soddisfa né il test di necessità né quello di proporzionalità.
Il ritorno al “guest checkout”: un paradigma di design conforme all’art. 25 GDPR
L’EDPB identifica nel guest mode la soluzione strutturalmente più rispettosa del GDPR.
Consente di adempiere al contratto e al tempo stesso di prevenre accumuli inutili di dati, oltre che di ridurre il rischio di data breach, e di rendere più trasparente il trattamento.
È, in sostanza, la declinazione concreta del principio di data protection by design e by default.
Allo stesso tempo, non vieta ai titolari di offrire account su base volontaria.
Tuttavia, il consenso deve essere: libero, informato, separato dal processo di acquisto, revocabile senza frizioni.
Altrettanto rilevante è il monito finale dell’EDPB: non è consentito trasformare subdolamente un guest checkout in un account “tecnico” da attivare con un clic successivo, pratica talvolta diffusa in vari marketplace.
Il significato giuridico e sistemico delle Raccomandazioni
Il documento produce un duplice effetto.
1. Riforma la user experience degli e-commerce europei.
Molte interfacce dovranno essere ripensate.
Cadranno ostacoli inutili alla conclusione dei contratti.
Si limiterà l’uso improprio degli account come strumenti di profilazione mascherata.
2. Riafferma la centralità del principio di minimizzazione.
La raccolta di dati non può essere “standardizzata”.
Non può essere pretesa come condizione di accesso al mercato digitale.
Deve restare proporzionata, necessaria, trasparente.
Il messaggio è inequivocabile: la creazione obbligatoria dell’account è eccezione, non regola.
Sull'autore
