Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
26/01/2026
Il European Data Protection Board (EDPB) ha pubblicato le Recommendations 2/2025 on the legal basis for requiring the creation of user accounts on e-commerce websites, attualmente in consultazione pubblica.
È un punto fondamentale da chiarire subito: non siamo di fronte a linee guida definitive né giuridicamente vincolanti, ma a un documento aperto ai commenti di operatori, professionisti e stakeholder fino alla chiusura della consultazione. Il testo potrà quindi essere modificato prima dell’adozione finale.
Detto questo, le Raccomandazioni sono tutt’altro che neutre: delineano una presa di posizione molto netta sul tema dell’account obbligatorio, con effetti potenzialmente rilevanti per migliaia di e-commerce europei.
Se vuoi rimanere sempre aggiornato sulle ultime novità legali del mondo ecommerce puoi seguire i nostri canali Youtube, Facebook e LinkedIn!
SOMMARIO
Il punto di partenza: l'account come fonte di rischio
Quando l'account non è necessario
Quando invece l'account può essere legittimo
Una visione troppo teorica dell'ecommerce
I commenti inviati da LegalBlink - Studio Legale Grassano
Cosa succede ora
L’impostazione del documento è chiara fin dalle prime pagine. Secondo l’EDPB, l’obbligo di creare un account:
espone l’utente a un trattamento di dati più esteso e duraturo;
favorisce la creazione di ambienti “logged-in” permanenti;
aumenta i rischi di conservazione indebita dei dati e di data breach;
facilita, se non correttamente gestito, tracciamento e profilazione.
Per questo motivo, l’EDPB afferma che la creazione obbligatoria di un account è lecita solo in casi limitati, mentre nella maggior parte delle ipotesi l’utente dovrebbe poter acquistare come guest, senza registrazione.
Il cuore del documento è l’analisi delle basi giuridiche dell’art. 6 GDPR. L’EDPB passa in rassegna, una per una, le principali giustificazioni normalmente addotte dagli e-commerce.
Vediamole insieme, per capire la decisione dell'Autorità privacy europea.
Secondo l’EDPB, nella vendita occasionale di un bene o servizio l’account non è necessario per l’esecuzione del contratto (art. 6, par. 1, lett. b GDPR).
I dati indispensabili (nome, indirizzo, contatto) possono essere raccolti tramite un semplice form di checkout.
Esempio concreto del documento
Un e-commerce di abbigliamento che impone la registrazione per acquistare non può, secondo l’EDPB, giustificare l’account obbligatorio: la vendita può avvenire legittimamente anche in modalità guest.
Uno degli aspetti più delicati riguarda il post-vendita. Molti operatori ritengono l’account essenziale per gestire:
resi;
rimborsi;
garanzie;
reclami.
L’EDPB, però, è molto chiaro: queste attività non rendono di per sé “necessaria” la creazione di un account.
Secondo il documento, è sufficiente identificare il cliente tramite email, numero d’ordine o link temporanei.
Qui la posizione è particolarmente rigorosa: il rispetto dei diritti del consumatore e degli obblighi legali non può dipendere dal fatto che l’utente abbia o meno un account.
Altro caso frequente: “l’account serve per tracciare la spedizione”.
Per l’EDPB questo argomento non supera il test di necessità, perché lo stesso risultato può essere ottenuto:
con email automatiche;
con link di tracking;
con comunicazioni one-time.
L’account viene quindi considerato uno strumento “comodo”, ma non giuridicamente indispensabile.
Qui il documento è ancora più esplicito. La creazione obbligatoria di un account non può essere giustificata per:
programmi di loyalty;
offerte personalizzate;
facilitare acquisti futuri;
costruire una customer base.
Secondo l’EDPB, queste finalità richiedono una scelta attiva dell’utente, non possono essere imposte come condizione per acquistare. In molti casi, inoltre, richiedono il consenso ai sensi dell’art. 6, par. 1, lett. a GDPR o dell’ePrivacy.
Molti operatori ritengono l’account uno strumento essenziale per la prevenzione delle frodi.
Il documento, invece, assume una posizione piuttosto drastica: anche la prevenzione delle frodi non rende automaticamente necessario l’account.
L’EDPB osserva che:
i bot possono creare account;
i primi acquisti avvengono senza storico;
esistono misure alternative (CAPTCHA, controlli di pagamento, antifrode transazionale).
Conclusione dell’EDPB: nella maggior parte dei casi il test di necessità e il bilanciamento degli interessi non sono superati.
Le Raccomandazioni non escludono del tutto l’account obbligatorio. Anzi, individuano alcune ipotesi in cui può essere giustificato.
Se il servizio richiede accessi ricorrenti, gestione continuativa, comunicazioni frequenti, l’account può essere necessario per l’esecuzione del contratto.
Esempio del documento
Un servizio di box mensili o contenuti digitali in abbonamento può legittimamente richiedere la creazione di un account.
L’account può essere giustificato anche quando l’e-commerce è riservato a:
membri selezionati;
professionisti con requisiti specifici;
utenti invitati o verificati.
In questi casi, l’account diventa parte integrante del contratto.
Dal punto di vista giuridico, il documento è coerente. Dal punto di vista operativo, però, rischia di semplificare eccessivamente la realtà degli e-commerce.
Nella pratica quotidiana, l’account non è solo uno strumento di marketing, ma spesso:
un presidio di sicurezza;
uno strumento di accountability;
una garanzia di continuità contrattuale;
un mezzo per prevenire abusi seriali difficilmente gestibili con strumenti “one-time”.
Un’interpretazione troppo rigida del concetto di “stretta necessità” rischia di tradursi in:
incertezza applicativa;
aumento dei costi di compliance;
penalizzazione soprattutto per PMI e operatori europei.
Proprio per questo, gli avvocati di LegalBlink – Studio Legale Grassano hanno inviato oggi i propri commenti ufficiali all’EDPB nell’ambito della consultazione pubblica.
In sintesi, il contributo evidenzia che:
l’account deve essere valutato anche come strumento di sicurezza e gestione del rischio; l’imposizione generalizzata del guest checkout può indebolire controlli e tracciabilità;
il criterio di necessità va applicato in modo proporzionato, tenendo conto di settore, scala e profilo di rischio; servono esempi più aderenti alle reali dinamiche dell’e-commerce.
L’obiettivo non è ridurre le tutele del GDPR, ma evitare che la privacy by design si trasformi in un approccio rigido e astratto, scollegato dalla realtà tecnica ed economica.
La consultazione è ancora aperta e il testo potrà cambiare. È quindi un momento cruciale per il confronto tra Autorità, professionisti e imprese.
LegalBlink continuerà a seguire l’evoluzione del documento e ad assistere gli e-commerce nel valutare se, quando e come l’account obbligatorio possa essere realmente giustificato alla luce del GDPR.
Team LegalBlink