Il Comitato europeo per la protezione dei dati personali (EDPB), ha posto in consultazione delle raccomandazioni relative all’individuazione della possibile base giuridica per richiedere la creazione di account utente sui siti web di commercio elettronico e per il trattamento lecito dei dati personali.
Sui siti web di e-commerce, agli utenti viene spesso richiesto di creare un account online prima di poter accedere alle offerte o acquistare beni e servizi: i titolari del trattamento generalmente giustificano l’imposizione della creazione di un account per diversi motivi, quali effettuare una vendita, consentire l’abbonamento a servizi, garantire l’accesso a offerte esclusive ai propri utenti o facilitare la gestione operativa degli ordini.
Sebbene i responsabili del trattamento nel settore dell’e-commerce possano avere un interesse commerciale a richiedere agli utenti di creare un account, l’EDPB osserva che tale creazione di account può anche esporre gli interessati a rischi aggiuntivi per i loro diritti e libertà; pertanto, nel documento pubblicato, fornisce delle raccomandazioni ai responsabili del trattamento che operano nel settore dell’e-commerce, sulle condizioni alle quali possono legittimamente richiedere ai propri utenti di creare un account, ai sensi degli artt. 5, par. 1, lett. a), e 6 del GDPR.
In particolare, tali raccomandazioni forniscono esempi di situazioni in cui la creazione obbligatoria di un account può essere o meno necessaria:
- per l’esecuzione di un contratto (art. 6, par. 1, lett. b), del GDPR)
- per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento (art. 6, par. 1, lett. c), del GDPR
- per il perseguimento di un interesse legittimo del titolare del trattamento o di terzi (art. 6, par. 1, lett. f), del GDPR.
A seguito dell’analisi di vari casi d’uso, l’EDPB ritiene che l’imposizione della creazione di un account utente online possa essere giustificata solo per una serie molto limitata, sebbene non esaustiva, di finalità, quali l’offerta di un servizio in abbonamento o l’accesso a offerte esclusive.
In diversi altri casi d’uso valutati nelle presenti raccomandazioni, l’imposizione della creazione di un account sui siti web di commercio elettronico non soddisfa le condizioni per il trattamento lecito dei dati ai sensi dell’art. 6, par. 1, lett. b), c) o f), del GDPR: in tali casi, l’EDPB conclude che offrire agli utenti la possibilità di creare un account o di continuare a navigare e acquistare come ospiti sembra essere il modo più efficiente per il trattamento dei dati personali sui siti web di e-commerce.
L’EDPB osserva che questa modalità “ospite” è, in linea di principio, l’opzione che garantisce la massima protezione della privacy per consentire gli acquisti, in linea con l’obbligo di protezione dei dati fin dalla progettazione e per impostazione predefinita ai sensi dell’art. 25 del GDPR.
La consultazione è aperta sino al 12 febbraio 2026.
