La digitalizzazione dei mercati ha reso l’e-commerce una componente strutturale dell’economia contemporanea, incidendo in modo profondo sulle modalità di consumo e sulle relazioni tra operatori economici e utenti finali. Accanto ai vantaggi in termini di efficienza e accessibilità, tale evoluzione ha tuttavia accentuato le criticità connesse al trattamento dei dati personali, in particolare quando l’accesso all’acquisto di beni o servizi venga subordinato alla creazione obbligatoria di un account utente.

La questione assume rilievo giuridico nella misura in cui coinvolge il bilanciamento tra la libertà di iniziativa economica degli operatori digitali e il diritto fondamentale alla protezione dei dati personali, riconosciuto dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea e disciplinato in modo organico dal Regolamento (UE) 2016/679 (GDPR). In questo scenario si inseriscono le Raccomandazioni n. 2/2025 dell’European Data Protection Board (EDPB), adottate nel dicembre 2025, che forniscono un’interpretazione sistematica dei limiti entro cui la registrazione obbligatoria può ritenersi compatibile con il quadro normativo europeo.

Secondo il Board europeo per la protezione dei dati, l’imposizione della creazione di un account per finalizzare un acquisto online non costituisce una scelta neutra sotto il profilo giuridico. Al contrario, essa integra una vera e propria modalità di trattamento dei dati personali che deve essere valutata alla luce dei principi di liceità, necessità, proporzionalità e minimizzazione sanciti dal GDPR.

La registrazione comporta infatti la raccolta e la conservazione di un insieme di informazioni personali che eccede spesso quanto strettamente necessario per la mera esecuzione della transazione commerciale. Oltre ai dati identificativi e di contatto, la creazione di un profilo permanente consente il tracciamento delle interazioni dell’utente, la memorizzazione delle preferenze di acquisto e, in molti casi, il successivo utilizzo dei dati per finalità di profilazione o marketing comportamentale.

Particolarmente problematico risulta l’obbligo di registrazione in presenza di acquisti sporadici o occasionali, nei quali l’interesse dell’utente è limitato alla conclusione di una singola operazione. In tali ipotesi, l’imposizione di un account determina un’estensione ingiustificata del trattamento dei dati, incidendo sulla libertà di autodeterminazione informativa del consumatore.

Le Raccomandazioni n. 2/2025 si rivolgono in modo specifico alle piattaforme di commercio elettronico che operano nella vendita di beni o servizi a consumatori, incluse quelle che svolgono una funzione di intermediazione tra venditori professionali e utenti finali. Restano invece esclusi dall’ambito di applicazione altri servizi digitali, quali i social network, i motori di ricerca, le piattaforme audiovisive, i software online e i siti di informazione, nonché i servizi che agevolano lo scambio tra privati.

Questa delimitazione consente di focalizzare l’attenzione su quei modelli di business in cui la registrazione obbligatoria viene frequentemente utilizzata come strumento di fidelizzazione e raccolta sistematica di dati, piuttosto che come requisito indispensabile per la conclusione del contratto.

Uno degli aspetti centrali analizzati dall’EDPB riguarda l’individuazione delle basi giuridiche che potrebbero legittimare l’obbligo di registrazione ai sensi dell’articolo 6 del GDPR.

Con riferimento all’esecuzione del contratto, il Board adotta un’interpretazione restrittiva: nei casi di vendite occasionali, la creazione di un account non può essere considerata “necessaria” ai fini contrattuali. I dati essenziali per la gestione dell’ordine, del pagamento e della spedizione possono essere legittimamente raccolti anche attraverso modalità alternative, come l’acquisto senza registrazione (guest checkout).

Diverso è il caso dei servizi in abbonamento o delle offerte riservate a comunità chiuse. In tali circostanze, la creazione di un account può trovare giustificazione solo qualora l’appartenenza alla comunità rappresenti un elemento strutturale del rapporto contrattuale. Non è invece sufficiente, ai fini della liceità del trattamento, la mera previsione di vantaggi economici o promozionali accessibili a chiunque scelga di registrarsi.

Quanto alla base giuridica dell’obbligo legale, l’EDPB chiarisce che l’imposizione di un account è ammissibile esclusivamente in presenza di una previsione normativa espressa dell’Unione europea o del diritto nazionale. Nella prassi, tuttavia, gli obblighi fiscali e contabili richiedono la raccolta di specifici dati, senza rendere necessaria la creazione di un profilo utente permanente.

Infine, il ricorso al legittimo interesse del titolare del trattamento è sottoposto a una rigorosa valutazione comparativa. Esigenze quali la gestione degli ordini, la prevenzione delle frodi o l’assistenza post-vendita non rendono di per sé indispensabile la registrazione, potendo essere soddisfatte mediante soluzioni meno invasive per la sfera privata dell’utente.

Alla luce delle considerazioni svolte, il Board individua nel guest checkout il modello maggiormente conforme ai principi del GDPR. La possibilità di acquistare senza creare un account non rappresenta una mera opzione tecnica, ma costituisce un’applicazione concreta del principio di protezione dei dati by design e by default, sancito dall’articolo 25 del Regolamento.

Le piattaforme di e-commerce, in questa prospettiva, devono essere progettate fin dall’origine per limitare la raccolta dei dati allo stretto necessario e per garantire, come impostazione predefinita, il più elevato livello di tutela della riservatezza dell’utente.

Le Raccomandazioni n. 2/2025 dell’EDPB segnano un passaggio rilevante nel processo di definizione dei confini tra libertà economica e tutela dei diritti fondamentali nel contesto digitale. La registrazione obbligatoria non può più essere considerata una prassi generalizzata, ma deve costituire un’eccezione, giustificata solo in presenza di una reale necessità e di una base giuridica adeguata.

La protezione dei dati personali non può essere rimessa a scelte successive dell’utente, ma deve essere incorporata strutturalmente nella progettazione delle piattaforme digitali. Solo attraverso un approccio realmente orientato alla privacy è possibile evitare trattamenti sproporzionati e garantire un equilibrio sostenibile tra innovazione commerciale e tutela della persona.