Skip to content Skip to sidebar Skip to footer
RPLT RP legalitax
RPLT RP legalitax
Close
Privacy & Data Protection

E-commerce e creazione di un account – le Raccomandazioni del Comitato Europeo per la protezione dei dati

Il Comitato europeo per la protezione dei dati (“EDPB” o “Comitato”) ha adottato il 3 dicembre 2025 le Raccomandazioni 2/2025 sulla base giuridica per imporre la creazione di account utente obbligatori sui siti di e-commerce (“Raccomandazioni”).

Sui siti di e-commerce, agli utenti viene frequentemente richiesto di creare un account online prima di poter accedere alle offerte o acquistare beni e servizi. I titolari del trattamento giustificano generalmente l’imposizione della creazione dell’account per diverse ragioni, come la conclusione di una vendita, la sottoscrizione di servizi, la concessione di accesso a offerte esclusive o la gestione operativa degli ordini.

Il documento, sottoposto a consultazione pubblica conclusasi il 12 febbraio 2026, chiarisce le condizioni di liceità dell’obbligo di creazione di un account ai sensi degli articoli 5(1)(a) e 6 GDPR e promuove la modalità guest checkout come opzione predefinita più conforme ai principi di protezione dei dati fin dalla progettazione. Le Raccomandazioni si applicano ai siti di e-commerce — incluse applicazioni web e mobili — e alle piattaforme che fungono da intermediari tra venditori professionisti e consumatori (quali i marketplace online), mentre sono escluse le piattaforme che connettono privati a titolo non professionale, i servizi di social media, i motori di ricerca, le applicazioni software, i servizi di media audiovisivi e i siti di informazione.

Nell’attesa che venga pubblicata la versione definitiva delle Raccomandazioni, di seguito una breve sintesi dei principi generali enunciati così come delle principali osservazioni sollevate in sede di consultazione pubblica.

Le Raccomandazioni e le basi giuridiche per l’account obbligatorio

In via preliminare, il Comitato evidenzia i rischi che l’account obbligatorio comporta per gli interessati: la raccolta di dati eccedenti rispetto a quelli necessari per l’acquisto (inclusi dati dedotti dal titolare), la conservazione prolungata in banche dati attive in violazione del principio di limitazione della conservazione (art. 5(1)(e) GDPR), la maggiore esposizione ad accessi non autorizzati (specie per account inattivi o cd. “orphaned accounts”), la vulnerabilità derivante dal frequente riutilizzo delle password da parte degli utenti, dall’inadeguatezza delle funzioni di reimpostazione della password e dai rischi aggiuntivi connessi ai metodi di accesso tramite single sign-on (che, in caso di compromissione dell’account principale, consentono l’accesso a tutti i servizi collegati), il tracciamento della navigazione per finalità di profilazione commerciale e il ricorso a deceptive designs sia in fase di registrazione — per ottenere consensi ingannevoli, specie quando la registrazione viene interposta tra carrello e pagamento (in violazione degli artt. 5(1)(a) e 6(1)(a) GDPR) — sia in fase post-acquisto, ad esempio presentando il profilo dell’utente come “incompleto” per indurlo a fornire dati personali ulteriori (quali genere o data di nascita) o sollecitando la creazione di un account tramite un pulsante nell’e-mail di conferma dell’ordine. Il Comitato osserva inoltre che la creazione dell’account non impedisce di per sé l’azione di bot malevoli utilizzati per acquisti massivi a fini speculativi (cd. scalping), poiché tali bot sono in grado di creare account e completare ordini autonomamente, e che sono piuttosto le misure associate (ad es. test CAPTCHA) a contrastare tali condotte, misure peraltro implementabili anche in assenza di un account. L’EDPB precisa, infine, che la creazione dell’account non costituisce di per sé una finalità del trattamento ai sensi dell’art. 5(1)(b) GDPR: i titolari devono identificare le finalità sottostanti e valutare per ciascuna se l’imposizione dell’account sia giuridicamente giustificata.

L’EDPB analizza dunque le tre basi giuridiche tipicamente invocate per imporre la registrazione — esecuzione del contratto (art. 6(1)(b)), obbligo legale (art. 6(1)(c)) e legittimo interesse (art. 6(1)(f)) — giungendo a una conclusione restrittiva: l’imposizione può essere legittimata solo in ipotesi molto limitate.

  1. Quanto all’esecuzione del contratto (art. 6(1)(b) GDPR), il titolare deve dimostrare che l’oggetto principale del contratto non può essere eseguito senza la registrazione e che non esistono alternative meno invasive. L’account obbligatorio non supera il test di necessità per le vendite singole (i dati possono essere raccolti in modalità guest), per gli acquisti condizionati a uno status particolare (verificabile tramite modulo online sicuro senza account permanente), per i contratti accessori aventi ad oggetto la ricezione di raccomandazioni d’acquisto personalizzate — ossia suggerimenti di prodotto generati da sistemi di raccomandazione basati sulla profilazione dell’’utente (preferenze, taglie, interessi, identità di genere, acquisti precedenti) — imposti al checkout nell’ambito dell’acquisto effettuato (dove l’interessato non può ragionevolmente attendersi la conclusione di un contratto ulteriore rispetto alla mera compravendita) né per i servizi post-vendita e l’esercizio dei diritti (gestibili con moduli online, link dedicati o altri mezzi di comunicazione). L’account è invece ammesso per i servizi in abbonamento che richiedono interazioni autenticate ricorrenti per tutta la durata del rapporto contrattuale (a condizione che sussista un contratto valido e un’effettiva intenzione dell’interessato di vincolarsi) e per l’accesso a offerte riservate a comunità selezionate di membri con caratteristiche dimostrate (invito, verifica dello status professionale), quando l’appartenenza alla comunità costituisca l’oggetto principale del contratto. Per converso, offerte formalmente “esclusive” ma accessibili a chiunque crei un account non soddisfano tale requisito.
  2. Quanto all’obbligo legale (art. 6(1)(c) GDPR), il Comitato ritiene che il test di necessità non sia soddisfatto: gli obblighi fiscali e contabili riguardano documenti specifici (fatture) e non richiedono il mantenimento dei dati dell’account, mentre l’identificazione ai fini dell’esercizio dei diritti GDPR può avvenire con altri mezzi di comunicazione. L’EDPB ricorda inoltre che, ai sensi dell’art. 11(1) GDPR, il titolare non è tenuto a mantenere l’identificazione della persona al solo scopo di conformarsi ai diritti degli interessati quando le finalità del trattamento non lo richiedano più.
  3. Quanto al legittimo interesse (art. 6(1)(f) GDPR), l’EDPB richiama le tre condizioni cumulative della giurisprudenza CGUE e delle Linee guida 1/2024: (i) perseguimento di un interesse legittimo; (ii) stretta necessità del trattamento, in assenza di mezzi alternativi parimenti efficaci e meno intrusivi; (iii) bilanciamento con i diritti e le libertà fondamentali degli interessati, alla luce delle ragionevoli aspettative e dell’impatto del trattamento. I test di necessità e bilanciamento non risultano soddisfatti per nessuna delle finalità esaminate: il tracciamento dell’ordine (realizzabile via e-mail con numero di spedizione e link dedicato); le modifiche post-ordine (gestibili tramite link temporanei a uso singolo o contatto con il servizio clienti); la fidelizzazione della clientela (le relative attività di tracciamento richiedono in ogni caso il consenso ex art. 6(1)(a) GDPR e art. 5(3) della direttiva ePrivacy, e la raccolta dei dati può avvenire in modalità guest o con account volontario); la facilitazione di ordini successivi (l’eventualità di un acquisto futuro dipende dalla libera decisione del consumatore e l’interessato non si attende che i dati siano conservati oltre l’esecuzione dell’ordine in corso); la prevenzione delle frodi (benché riconosciuta come interesse legittimo dal considerando 47, l’account non risulta necessario: molti siti operano senza registrazione, lo storico degli acquisti e dei comportamenti dell’utente — su cui si fondano le misure antifrode basate sull’analisi dei pattern — non è in ogni caso disponibile al momento della prima creazione dell’account, rendendo l’account stesso privo di efficacia antifrode nella fase iniziale, le misure antifrode associate presentano limiti intrinseci — le variazioni dell’indirizzo di consegna avvengono tipicamente in prossimità dell’ordine e costituiscono un indicatore inaffidabile, gli utenti utilizzano abitualmente dispositivi diversi rendendo il rilevamento del dispositivo scarsamente significativo, e gli aggiornamenti software necessari per la sicurezza alterano le impronte digitali del browser generando potenziali falsi positivi — e, paradossalmente, l’account può esso stesso generare rischi quali furto d’identità, phishing e accessi non autorizzati, specie quando gli utenti riutilizzano le medesime password).

Al di fuori di tali eccezioni, l’EDPB conclude che la creazione dell’account deve derivare da una scelta attiva dell’interessato. Il Comitato precisa che né la modalità guest né la creazione volontaria dell’account costituiscono di per sé finalità del trattamento: anche in tali contesti, il titolare è tenuto a individuare le specifiche finalità e le corrispondenti basi giuridiche. L’EDPB raccomanda pertanto di offrire l’alternativa tra account volontario e modalità guest, indicando quest’ultima come opzione predefinita più conforme all’art. 25 GDPR (protezione dei dati fin dalla progettazione e per impostazione predefinita), in quanto garantisce maggiore aderenza ai principi di trasparenza, minimizzazione dei dati e limitazione della conservazione. Ove l’utente opti volontariamente per l’account, il titolare potrà offrire servizi aggiuntivi (storico-ordini, offerte personalizzate, programmi fedeltà) fondandosi sulla base giuridica appropriata e garantendo, se questa è il consenso, che l’offerta sia separata dal processo di acquisto, accompagnata da un’informativa completa e revocabile con la medesima facilità con cui è stata prestata.

La consultazione pubblica: panoramica dei contributi

La consultazione pubblica ha raccolto ventinove contributi da associazioni di categoria, imprese, studi legali, autorità settoriali e ricercatori. La maggioranza dei partecipanti si è espressa in modo critico nei confronti dell’impostazione dell’EDPB. Le principali criticità e posizioni emerse possono essere raggruppate nei seguenti ambiti tematici.

Libertà d’impresa e limiti del GDPR: numerosi partecipanti contestano che le Raccomandazioni eccedano il perimetro del GDPR, trasformandolo in strumento di regolazione dei modelli di business, e argomentano che eventuali limitazioni ai diritti fondamentali ex art. 16 della Carta UE devono essere previste “per legge” ai sensi dell’art. 52(1) della Carta, requisito che le linee guida dell’EDPB non possono soddisfare.

Basi giuridiche e necessità contrattuale: si contesta la lettura restrittiva della necessità contrattuale, sottolineando l’assenza di gerarchia tra le basi giuridiche nel GDPR e la necessità di valutare il requisito di necessità in relazione al servizio effettivamente offerto. Si richiama la sentenza dell’OLG di Amburgo (causa 5 U 30/24) a conferma della legittimità degli account obbligatori nei marketplace e si contesta che la validità del modello “club privato” possa essere condizionata a criteri di selezione restrittivi, sostenendo che l’account costituisce un servizio autonomo e prerequisito contrattuale per l’accesso a offerte non pubbliche.

Paradosso della minimizzazione”: diversi contributi sostengono che la modalità guest, anziché ridurre il trattamento, lo moltiplichi, generando record duplicati a ogni acquisto, impedendo la deduplicazione e inducendo il ricorso a tecniche di tracciamento opache (fingerprinting, hashing). L’account viene presentato come strumento di gestione centralizzata, trasparente e conforme ai principi di minimizzazione ed esattezza dei dati.

Sicurezza e prevenzione delle frodi: si evidenzia che l’EDPB sottovaluti il ruolo degli account nella prevenzione delle frodi: il guest checkout può essere sfruttato per attacchi automatizzati (ad es. test massivi di carte rubate), mentre l’autenticazione a due fattori e le passkey offrono protezione superiore ai link temporanei e ai CAPTCHA. Si osserva inoltre che i rischi descritti dall’EDPB non derivano dalla creazione dell’account in sé, ma da successive operazioni di trattamento da valutare autonomamente.

Modelli di business non considerati: si segnalano fattispecie non adeguatamente esaminate: marketplace ibridi e multi-venditore, prodotti digitali con accesso continuativo (e-book, audiolibri), dispositivi elettronici con obblighi di aggiornamento software, piattaforme con funzionalità sociali o di live shopping e programmi fedeltà con accumulo di punti. Si evidenziano inoltre i costi sproporzionati di riprogettazione dei sistemi informativi, particolarmente gravosi per le PMI.

Critiche metodologiche: si contesta che le Raccomandazioni valutino la liceità di un meccanismo (l’account) anziché delle singole finalità del trattamento, introducendo un errore categoriale. Il test di necessità nell’ambito del legittimo interesse viene ridotto alla sola domanda se esista un’alternativa meno intrusiva, omettendo il requisito di pari efficacia richiesto dalla giurisprudenza CGUE. Si segnala inoltre l’incompatibilità con il regime di soft opt-in per il marketing diretto ex art. 13(2) della direttiva ePrivacy.

Profili concorrenziali: l’assenza di account proprietari potrebbe spingere gli utenti ad autenticarsi tramite grandi piattaforme terze (Google, Facebook, Apple), concentrando i dati in pochi ecosistemi prevalentemente statunitensi e indebolendo la posizione delle imprese europee.

Richieste procedurali: si chiede all’EDPB di sospendere o posticipare l’adozione delle Raccomandazioni per consentire un dialogo strutturato con l’industria, di pubblicare l’analisi interna su cui si fondano le conclusioni e di assicurare il coordinamento con altre autorità competenti (concorrenza, tutela dei consumatori), in coerenza con gli obiettivi della Dichiarazione di Helsinki.

Tra i contributi favorevoli all’impostazione dell’EDPB, si segnalano in particolare due posizioni: da un lato, chi evidenzia il rischio che i titolari utilizzino l’account come prova di una relazione commerciale continua per giustificare un trattamento dei dati a tempo indeterminato, proponendo come rimedio l’adozione di soluzioni tecniche fondate sull’attribuzione agli utenti di identità virtuali pseudonimizzate e sull’impiego di token che incorporino in modo esplicito le finalità del trattamento consentite; dall’altro, chi accoglie positivamente il riconoscimento della legittimità degli account per i servizi in abbonamento, ma chiede maggiore chiarezza sulle modalità di coesistenza tra il canale dell’account e quello del guest checkout.

I titolari del trattamento operanti nel settore e-commerce dovranno valutare attentamente la versione definitiva delle Raccomandazioni, tenendo conto sia dei limiti indicati dall’EDPB sia delle criticità emerse dalla consultazione, e considerare l’implementazione di soluzioni conformi ai principi fondamentali del GDPR che al contempo rispettino le esigenze operative e la diversità̀ dei modelli di business.

You May Also Like

NIS 2 cybersecurity
Privacy & Data Protection
NIS 2 – cybersecurity rafforzata e focus sulla supply chain: la sfida italiana
Privacy & Data Protection
Multa da record al social network Tik Tok per la mancata protezione dei dati dei minori di 13 anni
Privacy & Data Protection
Mancata cancellazione dati ex-socio nel Registro Imprese dopo la cessione delle quote: sanzione del Garante Privacy

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.