NEWS

La piattaforma di e-commerce non può obbligare il cliente a registrarsi per effettuare un acquisto online

Molti siti web di e-commerce richiedono agli utenti di creare un account online, sia per accedere alle offerte sia per effettuare acquisti. Secondo l’European Data Protection Board (EDPB), questa scelta – spesso motivata da esigenze commerciali – comporta però rischi significativi per i diritti e le libertà degli interessati e deve quindi essere attentamente valutata alla luce del GDPR.

L’EDPB, dopo aver specificato che le raccomandazioni vengono indirizzate ai siti di e‑commerce, incluse le piattaforme che fungono da intermediari tra commercianti professionali e consumatori e non invece ai siti che pongono in contatto privati per vendere prodotti o servizi così come i social media (inclusi i marketplace social), i motori di ricerca, le applicazioni software online, i servizi audiovisivi e i siti di informazione, ribadisce che favorire lo sviluppo di ambienti “logged‑in”, in cui gli utenti sono sistematicamente identificati per compiere qualsiasi azione, inclusi acquisti o accesso ai contenuti, amplifica i richiesti connessi alla sicurezza del trattamento ed alla conservazione eccessiva di dati.

Specificamente, accumulo eccessivo di dati, conservazione prolungata, vulnerabilità a violazioni, tracciamento sistematico delle attività dell’utente, utilizzo di design ingannevoli per ottenere più informazioni del necessario, tutti elementi che rendono l’account obbligatorio una scelta da limitare ai soli casi strettamente indispensabili.

Entrando nel merito, le Raccomandazioni n.2/2025 adottate lo scorso dicembre dall'EDBP, ribadiscono che la creazione di un account è solo uno strumento, e come tale deve essere giustificato da una base giuridica adeguata ai sensi dell’art. 6 GDPR. Il Board dei garanti europei analizza quindi tre possibili basi: esecuzione del contratto, obbligo legale e legittimo interesse.

Per quanto riguarda l’art. 6(1)(b), l'European Data Protection Board assume una posizione precisa: per una vendita “una tantum” non è mai necessario imporre un account, poiché i dati indispensabili alla gestione dell’ordine possono essere raccolti anche in modalità “guest checkout”. L’obbligo può invece essere giustificato nei servizi in abbonamento, ovvero per offerte riservate a comunità chiuse e selezionate, purché l’appartenenza a tale comunità sia effettivamente un elemento essenziale del contratto. Non è invece sufficiente offrire semplici sconti accessibili a chiunque crei un account.

Quanto alla base giuridica connessa all’obbligo legale, il titolare può imporre un account solo se una legge dell’UE o nazionale lo richiede esplicitamente. Nella maggior parte dei casi, le normative applicabili non impongono la creazione di account, ma solo la raccolta di dati necessari per obblighi fiscali, contabili o di tracciabilità, finalità che possono essere perseguite senza la creazione di ambienti “logged‑in”.

Riguardo il legittimo interesse, il Board sottolinea che esigenze come la gestione operativa degli ordini, la prevenzione delle frodi o l’offerta di servizi post‑vendita non richiedono necessariamente un account obbligatorio. Esistono alternative meno invasive, e il principio di minimizzazione impone di preferirle.

Per l’EDPB, la soluzione più conforme al GDPR è chiara: la piattaforma di shopping online deve offrire sempre un’alternativa, permettendo all’utente di acquistare come ospite. Questa modalità, oltre a essere tecnicamente praticabile, rappresenta l’opzione più rispettosa del principio di protezione dei dati “by design and by default” previsto dall’art. 25 GDPR.

Note sull'Autore

Domenico Battaglia Domenico Battaglia

Avvocato del foro di Bolzano, socio membro Federprivacy e Delegato per la provincia di Bolzano. Membro dei gruppi di lavoro per la tutela della privacy nella gestione del personale, cybersecurity e studi professionali di Federprivacy. Docente a contratto presso l'Università di Padova. Data Protection Officer del Consiglio dell'Ordine degli Avvocati di Bolzano. - Email: [email protected]

Prev La nuova ISO/DIS 19011:2026 applicata al contesto degli audit sui dati personali
Next Videosorveglianza fai-da-te: non vale l’«eccezione domestica» se le telecamere di casa sono puntate verso la strada pubblica

Il furto d'identità con l'intelligenza artificiale

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy